Collecte et détection de données à l'aide de NetFlow
Mappage des services peut effectuer des détections basées sur les données collectées à l'aide du protocole NetFlow. NetFlow est un protocole que Mappage des services peut utiliser pour collecter des données sur les CI et leurs connexions, avec Netstat et les commandes lsof.
L'utilisation du protocole NetFlow pour la collecte de données est l'une des méthodes de détection basées sur le trafic. D'autres méthodes déployées par Mappage des services utilisent les commandes netstat et lsof ainsi que les journaux de flux VPC. Pour plus d'informations, référez-vous à Détection basée sur le trafic dans Mappage des services.
Dans les systèmes de base, la détection basée sur le trafic utilise uniquement les données liées à TCP collectées à l'aide des commandes netstat, ss et lsof. La détection basée sur les journaux NetFlow et VPC nécessite une configuration supplémentaire. Vous pouvez enrichir votre détection basée sur le trafic en configurant l'application Mappage des services pour qu'elle utilise le protocole NetFlow.
- À des fins de test
- Cette configuration entraîne un flux de collecte de données semi-automatisé, où Mappage des services importe les données uniquement si vous les copiez manuellement à partir du collecteur NetFlow. Vous placez le collecteur NetFlow sur un serveur de votre réseau d'organisation. Il doit s'agir d'un serveur autre que celui hébergeant le Serveur MID. Vous configurez et testez cette configuration comme décrit dans Configurer l'importation de données ponctuelle à l'aide de NetFlow à des fins de test.
- Pour une opération standard
- Cette configuration entraîne un flux de collecte de données entièrement automatisé, où tous les composants impliqués envoient, collectent et analysent automatiquement les données. Vous placez le collecteur NetFlow sur le même serveur que le Serveur MID dans votre réseau d'organisation. Pour obtenir des instructions, consultez Configurer la collecte de données à l'aide de NetFlow.
- Le démon NetFlow s'exécute et reçoit les données des commutateurs qui communiquent avec les serveurs de l'organisation. Le collecteur NetFlow écrit les données reçues du démon NetFlow.
- Le serveur, hébergeant le collecteur NetFlow, utilise l'utilitaire nfdump NetFlow pour écrire les données dans le fichier de sortie nfdump. Ce fichier résume les données brutes sur tous les commutateurs utilisés pour la communication avec le serveur.
Figure 1. Collecter des données et les écrire dans le fichier de sortie nfdump
- Lors des configurations de test, où le collecteur NetFlow n'est pas situé sur le même serveur que le Serveur MID, il se peut que vous deviez convertir le nfdump au format gzip. Ensuite, vous devez copier manuellement les données brutes du fichier de sortie nfdump sur le Serveur MID.
Figure 2. Copier le fichier de sortie nfdump sur le Serveur MID
- Le Serveur MID traite les données brutes du fichier de sortie nfdump et place les informations traitées dans la file d'attente ECC.
Figure 3. Analyser les données brutes et les placer dans la file d'attente ECC
- Un capteur récupère les données traitées de la file d'attente ECC et les écrit dans la table Connexion au flux [sa_flow_connection].
Chaque fois que Mappage des services vérifie la file d'attente ECC et reçoit des informations sur un CI détecté, il vérifie ces tables pour toutes les données sur les connexions sortantes liées au CI : les tables cmdb_tcp et sa_flow_connection. Si ces deux tables contiennent des données uniques que les modèles n'ont pas découvertes, Mappage des services enrichit les informations sur les connexions de CI et les ajoute à la carte.
Figure 4. Mappage des services récupère les données de la table sa_flow_connection