Coleta e descoberta de dados usando o Netflow

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

2 min. de leitura

Mapeamento de serviços pode executar a descoberta com base em dados coletados usando o protocolo Netflow. NetFlow é um protocolo que Mapeamento de serviços pode usar para coletar dados sobre ICs e suas conexões junto com os comandos Netstat e lsof.

Usar o protocolo Netflow para coletar dados é um dos métodos de descoberta com base no tráfego. Outros métodos implantados por Mapeamento de serviços estão usando os comandos netstat e lsof e os logs de fluxo do VPC. Para obter mais informações, consulte Descoberta com base no tráfego no Mapeamento de serviços.

Em sistemas de base, a descoberta baseada no tráfego usa somente dados relacionados ao TCP coletados com a ajuda dos comandos netstat, sse lsof . A Descoberta baseada em logs do Netflow e do VPC requer configuração adicional. Você pode aprimorar sua descoberta com base no tráfego configurando Mapeamento de serviços para usar o protocolo Netflow.

O componente que recebe dados no formato Netflow é o Netflow Collector. Sua localização depende de você configurar a coleta de dados para fins de teste ou operação padrão:

Para fins de teste: Esta configuração resulta em fluxo de coleta de dados automatizado pela metade, em que Mapeamento de serviços importa dados somente se você copiá-los manualmente do Netflow Collector. Você coloca o Coletor Netflow em um servidor dentro da rede da sua organização. Este deve ser um servidor diferente do servidor que hospeda o MID Server. Configure e teste esta configuração conforme descrito em Configurar importação de dados única usando o Netflow para fins de teste.
Para operação padrão: Essa configuração resulta em um fluxo de coleta de dados totalmente automatizado, em que todos os componentes envolvidos enviam, coletam e analisam dados automaticamente. Você coloca o Coletor Netflow no mesmo servidor que MID Server dentro da rede da sua organização. Para obter instruções, consulte Configurar coleta de dados usando o Netflow.

A descoberta baseada em Netflow tem o seguinte fluxo:

O daemon do Netflow é executado e recebe dados de comutadores que se comunicam com servidores na organização. O Coletor Netflow grava os dados recebidos do daemon do Netflow.
O servidor que hospeda o coletor Netflow usa o utilitário Netflow nfdump para gravar os dados no arquivo de saída nfdump. Este arquivo resume os dados brutos em todos os comutadores usados para comunicação com o servidor.
Figura 1. Coletar dados e gravá-los no arquivo de saída nfdump
Em configurações de teste em que o Coletor Netflow não está localizado no mesmo servidor que MID Server, talvez seja necessário converter o nfdump para o formato gzip. Em seguida, você deve copiar manualmente os dados brutos no arquivo de saída nfdump para o MID Server.
Figura 2. Copiando o arquivo de saída nfdump para o MID Server
O MID Server processa os dados brutos no arquivo de saída do nfdump e coloca as informações processadas na fila do ECC.
Figura 3. Analisar os dados brutos e colocá-los na Fila do ECC
Um sensor recupera os dados de processos da fila do ECC e os grava na tabela Conexão de fluxo [sa_flow_connection].
Sempre que Mapeamento de serviços verifica a fila do ECC e recebe informações sobre um IC descoberto, ele verifica essas tabelas em busca de dados nas conexões de saída relacionadas ao IC: as tabelas cmdb_tcp e sa_flow_connection. Se essas duas tabelas contiverem dados exclusivos que os padrões não descobriram, Mapeamento de serviços aprimorará as informações sobre as conexões de IC e as adicionará ao mapa.

Figura 4. Mapeamento de serviços recupera dados da tabela sa_flow_connection