Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exportação de registros de dados de fluxo da versão 9 para uma visão geral do coletor de log usando um roteador da Série MX ou NFX250

Um modelo de registro de fluxo define uma coleção de campos com descrições correspondentes do formato e sintaxe para os elementos ou atributos contidos nele. Elementos de rede (como roteadores e switches), que são chamados de exportações, acumulam os dados de fluxo e exportam as informações para coletores, que são hosts ou dispositivos externos que podem economizar um grande volume dessas mensagens de registro de sistema para eventos ou operações do sistema. Os dados coletados fornecem dados estatísticos e de medição granulares e de nível mais fino para uma contabilidade de uso de recursos altamente flexível e detalhada. Os modelos enviados ao coletor contêm as informações estruturais sobre os campos de registro de fluxo exportados; portanto, se o coletor não conseguir interpretar os formatos dos novos campos, ele ainda pode processar o registro de fluxo.

O modelo de fluxo da versão 9 tem um formato predefinido. Um pacote de exportação consiste em um cabeçalho de pacote seguido de um ou mais campos FlowSet. Os campos FlowSet podem ser qualquer um dos três tipos possíveis — Template, Data ou Options Template. O fluxode modelo descreve os campos que estão nos fluxos de dados (ou registros de fluxo). Cada fluxo de dados contém os valores ou estatísticas de um ou mais fluxos com o mesmo ID do modelo. Um pacote de exportação interleaved NetFlow versão 9 contém os campos de cabeçalho de pacote, Template FlowSet e Data FlowSet. Um campo FlowSet template significa cada evento, como a criação de uma entrada NAT ou a versão de uma entrada NAT alocada, e o campo Data FlowSet denota as sessões NAT para as quais o Template FlowSet (ou o tipo de evento) está associado. Por exemplo, se uma criação de entrada de endereço NAT, o esgotamento de endereços em um pool NAT e uma exclusão ou versão de entrada NAT ocorrerem, um pacote de exportação de versão 9 interleaved contém o cabeçalho de pacote, um campo Template FlowSet para criação de endereços NAT, dois campos Data FlowSet para as duas sessões para as quais a criação de endereços é realizada, outro campo TemplateSet para exclusão de endereços NAT, dois campos Data FlowSet para as duas sessões para as quais ocorre o evento de exclusão de endereços, e o outro campo TemplateSet para consumo de pool NAT excedeu o número configurado de pools.

A seguir, as possíveis combinações que podem ocorrer em um pacote de exportação:

  • Um pacote de exportação que consiste em modelos interleavados e fluxos de dados — um dispositivo coletor não deve assumir que os IDs de modelo definidos em tal pacote têm qualquer relação específica com os FlowSets de dados dentro do mesmo pacote. O coletor deve sempre armazenar cache em quaisquer modelos recebidos e examinar o cache de modelo para determinar o ID de modelo apropriado para interpretar um registro de dados.

  • Um pacote de exportação que consiste inteiramente em FlowSets de dados — Após os IDs de modelo apropriados terem sido definidos e transmitidos para o dispositivo coletor, a maioria dos pacotes de exportação consiste apenas em Fluxos de dados.

  • Um pacote de exportação composto inteiramente por FlowSets de modelo — embora este caso seja a exceção, é possível receber pacotes contendo apenas registros de modelo. Normalmente, os modelos são aplicados aos Fluxos de dados. No entanto, em alguns casos, apenas modelos são enviados. Quando um roteador inicializa ou reinicializa, ele tenta sincronizar com o dispositivo coletor o mais rápido possível. O roteador pode enviar FlowSets de modelo a uma taxa acelerada para que o dispositivo coletor tenha informações suficientes para analisar quaisquer Fluxos de dados subseqüentes. Além disso, os registros de modelo têm uma vida útil limitada, e eles devem ser atualizados periodicamente. Se o intervalo de atualização de um modelo ocorrer e nenhum FlowSet de dados apropriado que precisa ser enviado ao dispositivo coletor estiver presente, um pacote de exportação composto apenas por FlowSets de modelo é enviado.