NetFlowのモニタリングの設定
最終更新日: 17 年 2023 月 XNUMX 日概要
ネットワークトラフィックフローモニタリングは、IPネットワークトラフィックがインターフェイスに出入りするときに収集する機能です。 LogicMonitorは、一般的なフローエクスポートプロトコルをサポートするすべてのデバイスのネットワークトラフィックフローデータを監視できます。
具体的には、LogicMonitorコレクターは、デバイスのエクスポートされたフロー統計を受信して分析するように構成されています。 LogicMonitorコレクターがレポートできる統計には次のものがあります。
- トップトーカー
- 上位の送信元/宛先エンドポイント
- トップフロー
- トップポート
- トップアプリケーション
- サービス品質(QoS)
システム要件
LogicMonitorコレクターをデバイスのエクスポートされたネットワークフローの受信者として割り当てる前に、次のシステム要件と推奨されるベストプラクティスを確認してください。
サポートされているプロトコル
LogicMonitorコレクターは、次のようなさまざまなネットワークフローエクスポートプロトコルをサポートします。
- NetFlowバージョン5、7、および9
- フレキシブルNetFlow(バージョン9と同じ構成が必要)
- IPFIX(NetFlowバージョン10と呼ばれることもあります)
- sFlowバージョン1、3、および5(バージョン5にはCollectorバージョン29.105以降が必要)(バージョン2は サポートされている)
- JFlow(バージョン5)
- NBAR2(LogicMonitor Enterpriseユーザーのみが利用可能)
注: NetFlowLiteはサポートされていません。
LogicMonitorコレクターの要件
コレクターにネットワークトラフィックフローを快適に監視する能力があることを確認してください。 見る コレクター容量 さまざまな環境にわたるネットワークフロー容量制限のサンプルセット。
NBAR2の要件
次世代ネットワークベースのアプリケーション認識(NBAR2)データを収集する場合は、 netflow.nbar.enable LogicMonitor CollectorのプロパティをTRUE(デフォルトではFALSE)に設定します。 ネットワークトラフィックフロー監視用のLogicMonitorコレクターの構成 この記事のセクション。
注: LogicMonitor内でNBAR2データを収集する機能は、LogicMonitorEnterpriseユーザーのみが利用できます。 さらに、このデータを収集するLogicMonitor Collectorは、バージョン29.101以降である必要があります。
推奨されるベストプラクティス
- LogicMonitorコレクターとデバイス間のネットワークホップを最小限に抑えます。 ネットワークフローレコードは、UDP通信プロトコルを使用して送信されます。 UDP配信は保証されていないため、ネットワークの輻輳や複雑さによる潜在的なフローの中断を最小限に抑えるために、LogicMonitorコレクターがネットワークトラフィックフローレコードを生成するデバイスへのネットワークホップができるだけ少なくなるようにしてください。
- クロックを同期します。 ネットワークトラフィックデータは、ネットワークトラフィックに関する詳細なリアルタイム統計で構成されます。 したがって、混乱を避けるために、送信デバイスとLogicMonitorコレクターをホストしているデバイスの間でクロックを同期させることが重要です。 これは、NTPプロトコルを介して行うのが最適です。 さらに、デバイスが異なるタイムゾーンにある場合は、UTCを使用するか、単一のタイムゾーンで標準化することを検討してください。
- ポートの競合を排除します。 ネットワークトラフィックデータを収集しているコレクターホストには、指定されたポートでリッスンしている他のアプリケーション(つまり、別のネットワークトラフィックアナライザー)があってはなりません。 これにより、競合が発生し、トラフィックデータがLogicMonitorに表示されなくなる可能性があります。
LogicMonitorでのネットワークトラフィック監視の有効化
ネットワークトラフィックの監視は、LogicMonitorでデバイスごとに有効になっています。 これは、デバイスを最初に監視に追加するとき(エキスパートモード)またはその後の任意の時点で有効にできます。
デバイスのネットワークトラフィックモニタリングを有効にするには:
- [リソース]ページに移動し、[リソース]ツリーから、ネットワークトラフィックの監視を有効にするデバイスを見つけます。
- デバイスを選択した状態で、 管理 ヘッダーにあるボタン。
- [管理]ダイアログから、 ネットワークフロー分析を有効にする オプション。 (これは system.enablenetflow デバイスのプロパティをTRUEに設定します。)
- ノーザンダイバー社の ネットワークフローコレクター 動的に表示されるフィールドで、エクスポートされたネットワークフローデータの受信に使用されるコレクターを識別します。 特定のコレクターを指定する必要があります。 ネットワークフロー収集の義務を自動バランスコレクタグループに割り当てることはできません。
注: ネットワークトラフィックフローモニタリングに割り当てられたコレクタは、デバイスモニタリングに割り当てられたコレクタとは異なる場合があります。 コレクターをネットワークトラフィックフローデータ専用にする機能では、負荷をより適切に制御するか、すべてのネットワークフローアクティビティを少数のコレクターに集中化して、コレクターホストで開く必要のあるファイアウォールポートの数を最小限に抑えることができます。
注: LogicMonitor EnterpriseおよびCollectorバージョン2以降を必要とするデバイスのNBAR29.101データを収集する場合は、追加で設定する必要があります。 netflow.nbar.enable LogicMonitorコレクターのプロパティをTRUEに設定します(デフォルトではFALSEです)。 を参照してください ネットワークトラフィックフロー監視用のLogicMonitorコレクターの構成 詳細については、この記事のセクションを参照してください。
- Save.
注: ネットワークフローエクスポータが(LogicMonitorで構成されている)デバイスの監視対象IPと同じではないIPアドレスからデータを送信している場合は、 netflow.allowips ネットワークフローの発信元のIPアドレスを持つデバイスのプロパティ。 このプロパティは、単一のIPまたはコンマ区切りのリストのいずれかを値として受け入れます。 範囲を受け入れません。 プロパティの詳細については、を参照してください。 リソースとインスタンスのプロパティ.
ネットワークトラフィックフロー監視用のLogicMonitorコレクターの構成
デフォルトでは、コレクターは、ほとんどのユースケースで変更を必要としない標準のネットワークトラフィックフロー監視設定でインストールされます。 ただし、これらの設定は構成可能であるため、デフォルトをオーバーライドして、監視環境の固有のニーズを満たすことができます。
| 名前> | タイプ | デフォルト | 詳細 |
| ネットフローを有効にする | ブーリアン | TRUE | TRUEの場合、ネットワークフローモジュールはコレクターで有効になります。 |
| ネットフローポート | 整数 | 2055 | ネットワークフロープロトコルデータのUDPリスニングポート。 フローデータを送信するデバイスのUDPポートは、ここで指定されたUDPポートと一致する必要があります。 複数のポートで複数のプロトコルをサポートする必要がある場合は、ここで複数のポートを構成できます(たとえば、 netflow.ports=2055,4739).
|
| netflow.sflow.ports | 整数 | 6343 | sFlowプロトコルデータのUDPリスニングポート。 |
| netflow.datadir | 文字列 | ネットフロー | HSQLデータベースのパス。 |
| netflow.datadir.maxSizeInMB | 整数 | 10240 | ネットワークフローデータディレクトリの最大サイズ(メガバイト単位)。 |
| netflow.log.maxNumPerMinute | 整数 | 5 | XNUMX分間のネットワークフロー監視中に書き込むことができる最大ログ数。 |
| netflow.netflow9.templateLife | 整数 | 720 | NetFlowバージョン9テンプレートの有効期限(時間単位)。 |
| netflow.topFlowSamples | 整数 | 1000 | トップフローの最大サンプル数。 許容範囲は100〜2000です。 |
| netflow.ignoreTimestampValidate | ブーリアン | 間違った情報 | TRUEの場合、コレクターはネットワークフローデバイスの時間情報を無視します。 現在、デフォルトのFALSE値をオーバーライドする必要がある既知のデバイスはSonicWallsのみです。 |
| netflow.nbar.enable | ブーリアン | 間違った情報 | TRUEの場合、コレクターはapplicationIDとApplicationTypeの解析を開始します。 LogicMonitorEnterpriseおよびCollectorバージョン29.101以降が必要です。 |
| netflow.ipv6.enabled | ブーリアン | TRUE | FALSEの場合、コレクターはIPv6アドレスからのフローを無視します |
| netflow.log.largeBytesOrPackets | 整数 | 1073741824 | 指定された整数より大きいパケットまたはバイトを含む監査ログのログフロー |
ネットワークフロー設定は、コレクターの構成ファイルからコレクターごとに編集できます。 手順については、を参照してください。 コレクター構成ファイルの編集.
デバイスでのネットワークトラフィックフロー監視の有効化
LogicMonitorでネットワークトラフィックフローの監視を有効にするだけでなく、デバイスでも有効にする必要があります。 構成は、使用しているデバイス、ベンダー、ネットワークトポロジ、およびプロトコルによって大きく異なります。 実際、このドキュメントでカバーできるよりも多くの組み合わせとオプションがあり、特定のセットアップについてメーカーのガイドラインを確認することをお勧めします。
ただし、次にいくつかの基本的な要件と、サンプルのNetFlow構成をリストしました。
基本的なデバイス構成要件
すべてのプロトコルに適用可能なデバイス構成:
- ネットワークフローモニタリングは、インターフェイスごとに有効にする必要があります。
- バージョン番号を指定する必要があります。
- フローエクスポータのソースインターフェイスを指定する必要があります。
- エクスポータ用に設定されたUDPポートは、コレクタのagent.confファイルで指定されたポートと一致する必要があります。 ネットワークトラフィックフロー監視用のLogicMonitorコレクターの構成 この記事のセクション。
- デバイスのクロックは、コレクターホストのクロックと同期している必要があります。
- 宛先(LogicMonitorコレクター)のIPアドレスを指定する必要があります。
NetFlowバージョン9に適用可能なデバイス構成:
- NetFlowバージョン9の場合、追加のテンプレート設定オプションを設定する必要があります。
sFlowに適用可能なデバイス構成:
- sFlowの場合、パケットデータはで提供する必要があります
enterprise=0&format=1RFC2233で説明されているパケット構成。 - sFlowはポート6343を使用します。
NBAR2に適用可能なデバイス構成:
- NBAR2アプリケーション情報を収集するために、 オプションアプリケーションテーブル & オプションアプリケーション属性 デバイスのエクスポータ構成で有効にする必要があります。 シスコの NBAR構成ガイド 。
注: NBAR2データ収集には、LogicMonitorEnterpriseおよびCollectorバージョン29.101以降が必要です。
サンプル構成
次に、サンプルのNetFlowバージョン9デバイス構成を強調表示しました。 これらのサンプル構成は、シスコが更新を行うと古くなる可能性があるため、シスコの NetFlow設定 & 柔軟なNetFlow構成 最新の情報を確保するためのガイド。
Cisco IOS 3745ルータ– NetFlowバージョン9、メインキャッシュエクスポート
グローバル設定を構成します:送信元インターフェース、NetFlowバージョン、ターゲットNetFlowコレクター、およびUDPポート。
開始するには、コマンドラインで次のように入力します。
ルーター#conf t
次に、グローバル設定の構成を入力します。
Router(config)#ip flow-export source FastEthernet0/0
Router(config)#ip flow-export version 9
Router(config)#ip flow-export destination 10.0.0.10 2055
グローバルテンプレート設定を構成します:リフレッシュレート、タイムアウトレート、およびオプション。
開始するには、コマンドラインで次のように入力します。
ルーター#conf t
次に、グローバルテンプレート設定の構成を入力します。
Router(config)#ip flow-export template refresh-rate 15
Router(config)#ip flow-export template timeout-rate 90
Router(config)#ip flow-export template options export-stats
Router(config)#ip flow-export template options refresh-rate 25
Router(config)#ip flow-export template options timeout-rate 120
インターフェイス設定を構成します。ルートキャッシュフローを有効にします
開始するには、コマンドラインで次のように入力します。
ルーター#conf t
次に、グローバルテンプレート設定の構成を入力します。
Router(config)#interface fa0/0
Router(config-if)#ip route-cache flow
注(パロアルトユーザー): パロアルトインターフェースの名前をカスタマイズする機能には制限があります。 Palo Altoによると、インターフェイス名は編集できません。 ただし、サブインターフェイス、集約インターフェイス、VLANインターフェイス、ループバックインターフェイス、およびトンネルインターフェイスのインターフェイス名に数値のサフィックスを追加することはできます。
注(バラクーダユーザー向け): IPFIX / NetFlowv9をエクスポートするBarracudaNG Firewallを使用している場合は、相談する必要があります。 バラクーダのドキュメント 適切な構成のため。 具体的には、次の設定を調整する必要があります。「バイト順序」を「リトルエンディアン」に変更し、エクスポートのIPFIXテンプレートを「バラクーダフィールドなしのデフォルト」に変更します。
NetFlowエクスポートに必須およびサポートされるフィールド
| フィールドタイプ | 数 | 説明 | コメント |
| プロトコル | 4 | IPプロトコルタイプ | 必須の |
| IPV4_SRC_ADDR | 8 | IPv4送信元アドレス | IPv4アドレスには必須(コレクターがIPv6対応で、フローにIPv6アドレスがある場合、IPv6の送信元フィールドと宛先フィールド(IPV6_SRC_ADDRとIPV6_DST_ADDR)を交互に使用する必要があります) |
| IPV4_DST_ADDR | 12 | IPv4宛先アドレス | |
| 方向 | 61 | 流れ方向 | オプション(指定されていない場合、デフォルト値の0が使用されます。これは入力を示します) |
| SRC_TOS | 5 | 着信インターフェイスに入るときのサービスタイプバイト設定 | オプション |
| DST_TOS | 55 | 発信インターフェイスを終了するときのサービスタイプのバイト設定 | オプション |
| TCP_FLAGS | 6 | このフローで見られるすべてのTCPフラグの累積 | オプション |
| LAST_SWITCHED_FT | 21 | このフローの最後のパケットが切り替えられたシステムの稼働時間 | オプション(指定されていない場合、現在のエポック時間がデフォルト値として使用されます) |
| FIRST_SWITCHED_FT | 22 | このフローの最初のパケットが切り替えられたシステムの稼働時間 | オプション(指定されていない場合、現在のエポック時間から60秒を引いた値がデフォルト値として使用されます) |
マルチキャストグループ |
|||
| IS-マルチキャスト | 206 | このオクテットの最初のビットは、IPヘッダーのバージョンフィールドの値が1で、宛先アドレスフィールドに4〜224.0.0.0の範囲の予約済みマルチキャストアドレスが含まれている場合、239.255.255.255に設定されます。 それ以外の場合、このビットは0に設定されます。
このオクテットのXNUMX番目とXNUMX番目のビットは、将来の使用のために予約されています。 |
オプション |
| REPLICATION_FACTOR | 99 | マルチキャストレプリケーションファクター | オプション |
| MUL_DST_PKTS | 19 | IPフローに関連付けられたパケット用の長さNx8ビットのIPマルチキャスト発信パケットカウンター | オプション |
| MUL_DST_BYTES | 20 | IPフローに関連付けられたバイト用の長さNx8ビットのIPマルチキャスト発信バイトカウンター | オプション |
インターフェースグループ |
|||
| 入力_SNMP | 10 | SNMP入力インターフェイスインデックス | これらのフィールドの少なくともXNUMXつが存在する必要があります |
| 出力_SNMP | 14 | SNMP出力インターフェイスインデックス | |
バイトグループ |
|||
| IN_BYTES | 1 | IPフローに関連付けられたバイト数の長さN×8ビットの着信カウンター | これらのフィールドの少なくともXNUMXつが存在する必要があります |
| OUT_BYTES | 23 | IPフローに関連付けられたバイト数の長さNx8ビットの発信カウンター | |
送信元/宛先ポートグループ |
|||
| L4_SRC_ポート | 7 | TCP / UDP送信元ポート番号 | これらのフィールドの少なくともXNUMXつが存在する必要があります |
| L4_DST_PORT | 11 | TCP / UDP宛先ポート番号 | |
パケットグループ |
|||
| IN_PKTS | 2 | IPフローに関連付けられたパケット数の長さNx8ビットの着信カウンター | これらのフィールドの少なくともXNUMXつが存在する必要があります |
| OUT_PKTS | 24 | IPフローに関連付けられたパケット数の長さNx8ビットの発信カウンター | |
NBARグループ |
|||
| アプリケーションの説明 | 94 | アプリケーションの説明 | これらのフィールドの少なくともXNUMXつが存在する必要があります |
| アプリケーション名 | 96 | 分類に関連付けられたアプリケーション名 | |
| アプリケーションタグ | 95 | XNUMXビットのエンジンIDとそれに続くnビットの分類 | 必須の |
| アプリケーショングループ | 12234/45002 | 同じネットワークアプリケーションに属するアプリケーションをグループ化します | これらのフィールドの少なくともXNUMXつが存在する必要があります |
| CATEGORY | 12232/45000 | 各アプリケーションの第XNUMXレベルの分類を提供します | |
| 暗号化 | 290 | アプリケーションが暗号化されたネットワークプロトコルであるかどうかを指定します | |
| P2Pテクノロジー | 288 | アプリケーションがピアツーピアテクノロジーに基づいているかどうかを指定します | |
| サブカテゴリー | 12233/45001 | 各アプリケーションの第XNUMXレベルの分類を提供します | |
| トンネル技術 | 289 | アプリケーションが他のプロトコルのトラフィックをトンネリングするかどうかを指定します | |
IPv6グループ |
|||
| IPV6_SRC_ADDR | 27 | IPv6送信元アドレス | IPv6アドレスのフローには必須 |
| IPV6_DST_ADDR | 28 | IPv6宛先アドレス | |
| IPV6_SRC_MASK | 29 | 連続ビット単位のIPv6ソースマスクの長さ | オプション |
| IPV6_DST_MASK | 30 | 連続ビット単位のIPv6宛先マスクの長さ | オプション |
| IPV6_FLOW_LABEL | 31 | RFC6定義に基づくIPv2460フローラベル | オプション |
サンプリンググループ |
|||
| FLOW_SAMPLER_ID | 48 | 「showflow-sampler」に表示される識別子 | オプション |
| FLOW_SAMPLER_MODE | 49 | データのサンプリングに使用されるアルゴリズムのタイプ:0x02ランダムサンプリング | オプション |
| SAMPLING_ALGORITHM | 35 | サンプリングされたNetFlowに使用されるアルゴリズムのタイプ:0x01決定論的サンプリング、0x02ランダムサンプリング | オプション |
| FLOW_SAMPLER_RANDOM_INTERVAL | 50 | サンプリングするパケット間隔。 FLOW_SAMPLER_MODEと組み合わせて使用します | オプション |
| サンプリング間隔 | 34 | サンプリングするパケット間隔 | オプション |
| SAMPLER_NAME | 84 | フローサンプルの名前 | オプション |
拡張CiscoASAデバイスグループ |
|||
| NF_F_CONN_ID | 148 | デバイスの一意のフローの識別子 | オプション |
| NF_F_FLOW_CREATE_TIME_MSEC | 152 | フローが作成された時刻。これは、flow-createイベントが以前に送信されなかった拡張flow-teardownイベントに含まれます。 フロー期間は、フローティアダウン時間とフロー作成時間のイベント時間で決定できます。 | オプション |
| NF_F_EVENT_TIME_MSEC | 323 | イベントが発生した時刻。IPFIXから取得されます。 マイクロ秒単位の時間には324を使用し、ナノ秒単位の時間には325を使用します。 0000年1月1970日XNUMXUTC以降、時間はミリ秒としてカウントされています。 | オプション |
| NF_F_FLOW_BYTES | 85 | Cisco ASA9.0では必須 | |
| NF_F_FW_EVENT_90 | 40005 | これらのフィールドの少なくともXNUMXつが存在する必要があります | |
| NF_F_FW_EVENT_91 | 233 | 高レベルのイベントコード。 値は次のとおりです。
|
|
| NF_F_FWD_FLOW_DELTA_BYTES | 231 | ソースから宛先までのデルタバイト数 | Cisco ASA9.1では必須 |
| NF_F_REV_FLOW_DELTA_BYTES | 232 | 宛先から送信元までのデルタバイト数 | Cisco ASA9.1では必須 |
IPFIX / NetFlowバージョン10グループ |
|||
| フロー開始秒数 | 150 | このフローの最初のパケットの絶対タイムスタンプ | オプション |
| フロー終了秒数 | 151 | このフローの最後のパケットの絶対タイムスタンプ。 | オプション |
| フロー終了ミリ秒 | 153 | このフローの最後のパケットの絶対タイムスタンプ | オプション |
| systemInitTimeミリ秒 | 160 | IPFIXデバイスの最後の再初期化の絶対タイムスタンプ | オプション |
ネットワークトラフィックフローデータの表示
ネットワークトラフィックフローデータは、有効なデバイスの[リソース]ページ(具体的には[トラフィック]タブ)に表示されます。 詳細については、を参照してください。 NetFlowデータの表示、フィルタリング、およびレポート.