Netflow를 사용한 데이터 수집 및 검색
서비스 매핑 은 Netflow 프로토콜을 사용하여 수집된 데이터를 기반으로 검색을 수행할 수 있습니다. Netflow는 Netstat 및 lsof 명령과 함께 CI 및 해당 연결에 대한 데이터를 수집하는 데 사용할 수 있는 서비스 매핑 프로토콜입니다.
데이터 수집에 Netflow 프로토콜을 사용하는 것은 트래픽 기반 검색 방법 중 하나입니다. 에 의해 서비스 매핑 배포되는 다른 방법은 netstat 및 lsof 명령과 VPC 플로우 로그를 사용하는 것입니다. 자세한 내용은 서비스 매핑에서 트래픽 기반 검색 문서를 참조하십시오.
기본 또는 표준 구성인 기본 시스템에서 트래픽 기반 검색은 , ss, 및 명령을 사용하여 netstat수집된 TCP 관련 데이터에만 의존합니다lsof. Netflow 및 VPC 로그를 기반으로 검색하려면 추가 구성이 필요합니다. Netflow 프로토콜을 사용하도록 구성 서비스 매핑 하여 트래픽 기반 검색을 보강할 수 있습니다.
Netflow 형식으로 데이터를 수신하는 구성요소는 Netflow 수집기입니다. 해당 위치는 데이터 수집이 테스트 목적인지 아니면 표준 작업을 위한 것인지에 따라 달라집니다.
- 테스트 목적의 경우
- 이 설정으로 인해 반자동 데이터 수집 플로우가 발생하며, Netflow 수집기에서 데이터를 수동으로 복사하는 경우에만 데이터가 임포트됩니다 서비스 매핑 . Netflow 수집기를 조직 네트워크 내의 서버에 배치합니다. 이 서버는 를 호스팅 MID 서버하는 서버와는 다른 서버여야 합니다. 설명된 테스트 목적으로 Netflow를 사용하여 일회성 데이터 임포트 구성대로 이 설정을 구성하고 테스트합니다.
- 표준 작업의 경우
- 이 설정으로 인해 완전 자동 데이터 수집 플로우가 발생하며, 이 경우 관련된 모든 구성요소가 자동으로 데이터를 보내고 수집하고 분석합니다. Netflow 수집기를 조직 네트워크 내부와 동일한 서버에 배치합니다.MID 서버 지침은 Netflow를 사용하여 데이터 수집 구성 문서를 참조하십시오.
Netflow 기반 검색의 흐름은 다음과 같습니다.
- Netflow 디먼이 조직 내의 서버와 통신하는 스위치에서 데이터를 실행하고 받습니다. Netflow 수집기는 Netflow 디먼에서 수신된 데이터를 기록합니다.
- Netflow 수집기를 호스팅하는 서버는 Netflow nfdump 유틸리티를 사용하여 데이터를 nfdump 출력 파일에 기록합니다. 이 파일은 서버 통신에 사용되는 모든 스위치의 원시 데이터를 요약합니다.
그림 1. 데이터를 수집하고 nfdump 출력 파일에 기록
- 테스트 설정에서 Netflow 수집기가 와 동일한 MID 서버서버에 있지 않은 경우 nfdump를 gzip 형식으로 변환해야 할 수 있습니다. 그런 다음 nfdump 출력 파일의 MID 서버원시 데이터를 수동으로 복사해야 합니다.
그림 2. nfdump 출력 파일을 다음으로 복사 MID 서버
- MID 서버 nfdump 출력 파일에서 원시 데이터를 처리하고 처리된 정보를 ECC 큐에 배치합니다.
그림 3. 원시 데이터를 분석하고 ECC 큐에 배치
- 센서는 ECC 큐에서 프로세스 데이터를 검색하고 플로우 연결 [sa_flow_connection] 테이블에 기록합니다.
ECC 큐를 검사하고 검색된 CI에 대한 정보를 받을 때마다 서비스 매핑 이 테이블에서 CI와 관련된 아웃바운드 연결의 데이터(cmdb_tcp 및 sa_flow_connection 테이블)를 검사합니다. 이 두 테이블에 패턴이 검색 서비스 매핑 되지 않은 고유한 데이터가 포함되어 있는 경우 CI 연결에 대한 정보를 보강하여 맵에 추가합니다.
그림 4. 서비스 매핑 sa_flow_connection 테이블에서 데이터를 검색합니다.