Coleta e descoberta de dados usando o Netflow

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

2 min. de leitura

Mapeamento de serviços pode executar a descoberta com base nos dados coletados usando o protocolo Netflow. NetFlow é um protocolo que Mapeamento de serviços pode usar para coletar dados sobre ICs e suas conexões junto com os comandos Netstat e lsof.

Usar o protocolo Netflow para coletar dados é um dos métodos de descoberta baseados em tráfego. Outros métodos implantados por Mapeamento de serviços estão usando os comandos netstat e lsof e os logs de fluxo do VPC. Para obter mais informações, consulte Descoberta baseada no tráfego no Mapeamento de serviços.

Em sistemas de base, a descoberta baseada no tráfego usa somente dados relacionados ao TCP coletados com a ajuda dos comandos netstat, sse lsof . A Descoberta baseada em logs do Netflow e do VPC requer configuração adicional. Você pode aprimorar sua descoberta baseada no tráfego configurando Mapeamento de serviços para usar o protocolo Netflow.

O componente que recebe dados no formato Netflow é o Netflow Collector. Sua localização depende de você configurar a coleta de dados para fins de teste ou operação padrão:

Para fins de teste: Esta configuração resulta em um fluxo de coleta de dados parcialmente automatizado, em que Mapeamento de serviços importa dados somente se você copiá-los manualmente do Netflow Collector. Você coloca o Netflow Collector em um servidor dentro da rede da sua organização. Este deve ser um servidor diferente do servidor que hospeda o MID Server. Configure e teste esta configuração conforme descrito em Configurar importação de dados única usando o Netflow para fins de teste.
Para operação padrão: Essa configuração resulta em um fluxo de coleta de dados totalmente automatizado, em que todos os componentes envolvidos enviam, coletam e analisam dados automaticamente. Você coloca o Netflow Collector no mesmo servidor que MID Server dentro da rede da sua organização. Para obter instruções, consulte Configurar coleta de dados usando o Netflow.

A descoberta baseada em Netflow tem o seguinte fluxo:

O daemon do Netflow é executado e recebe dados de comutadores que se comunicam com servidores na organização. O Netflow Collector grava os dados recebidos do daemon do Netflow.
O servidor, que hospeda o coletor Netflow, usa o utilitário Netflow nfdump para gravar os dados no arquivo de saída nfdump. Este arquivo resume os dados brutos em todos os comutadores usados para comunicação com o servidor.
Figura 1. Coletando dados e gravando-os no arquivo de saída nfdump
Em configurações de teste, em que o Netflow Collector não está localizado no mesmo servidor que MID Server, talvez seja necessário converter o nfdump para o formato gzip. Em seguida, você deve copiar manualmente os dados brutos no arquivo de saída nfdump para o MID Server.
Figura 2. Copiando o arquivo de saída nfdump para o MID Server
O MID Server processa os dados brutos no arquivo de saída nfdump e coloca as informações processadas na fila do ECC.
Figura 3. Analisar os dados brutos e colocá-los na Fila do ECC
Um sensor recupera os dados de processos da fila do ECC e os grava na tabela Conexão de fluxo [sa_flow_connection].
Sempre que Mapeamento de serviços verifica a fila do ECC e recebe informações sobre um IC descoberto, ele verifica essas tabelas em busca de dados nas conexões de saída relacionadas ao IC: as tabelas cmdb_tcp e sa_flow_connection. Se essas duas tabelas contiverem dados exclusivos que os padrões não descobriram, Mapeamento de serviços aprimorará as informações sobre as conexões de IC e as adicionará ao mapa.

Figura 4. Mapeamento de serviços recupera dados da tabela sa_flow_connection