Configure as configurações do netflow
Use modelos de NetFlow pré-definidos
Os modelos de NetFlow fornecem um mecanismo para identificar e decodificar dados de fluxo de entrada antes de enviar para processamento adicional dentro do Paragon Insights.
- Clique na configuração > dados Ingerir configurações de > na barra de navegação à esquerda.
- Clique na guia NetFlow na página De configurações de ingestão.
- Na página de configurações do NetFlow, analise os modelos disponíveis para uso em uma regra.
Usage Notes:
-
Observe que existem modelos de fluxo padrão para IPv4, IPv6, MPLS, MPLS-IPv4, MPLS-IPv6 e VPLS para cada um dos NetFlow v9 e v10.
-
Os modelos de NetFlow incluem padrões de reconhecimento, chamados de campos e campos de exclusão, que ajudam a reconhecer, identificar e categorizar as mensagens de entrada.
-
Como as mensagens NetFlow não distinguem entre chaves e valores (todos os campos são simplesmente dados de entrada), os modelos especificam quais campos devem ser tratados como chaves para dados brutos.
Crie modelos personalizados de netflow
Se os modelos existentes não atenderem às suas necessidades, você pode criar seu próprio modelo. Você também pode usar modelos personalizados para oferecer suporte aos dispositivos de outros fornecedores.
Usage Notes:
-
Prioridade — quando um manual inclui várias regras usando o sensor de fluxo, o valor de prioridade identifica qual sensor e modelo tem prioridade sobre os outros(s).
-
Incluir/Excluir campos — incluir campos para ajudar a identificar o modelo a ser usado, ou pelo menos uma "lista curta" de modelos a usar; excluir campos e depois restringir-se ao modelo desejado único.
-
Exemplo 1 - considere o modelo hb-ipfix-ipv4 : ele inclui dois campos IPv4 para reduzir para hb-ipfix-ipv4-template e hb-ipfix-mpls-ipv4-template, e exclui um campo MPLS para eliminar hb-ipfix-mpls-ipv4-template, deixando apenas hb-ipfix-ipfix-ipv4-template.
-
Exemplo 2 — considere o modelo hb-ipfix-mpls-ipv4: ele inclui os mesmos dois campos IPv4 para reduzir para hb-ipfix-ipv4-template e hb-ipfix-mpls-ipv4-template. Ele também inclui um campo MPLS, que elimina imediatamente o modelo anterior e deixa este último como modelo a ser usado.
-
Exclua um modelo de NetFlow
Para excluir um modelo de NetFlow:
Clone de um modelo de netflow existente
Para clonar um modelo de NetFlow existente:
Configure o endereço IP da fonte de fluxo
Os dados brutos de fluxo que o Paragon Insights recebe são em formato binário e ilegível. Para que esses dados sejam utilizáveis, o Paragon Insights processa os dados de fluxo de entrada da seguinte forma:
-
O Paragon Insights ouve os dados de fluxo recebidos em uma porta configurada
-
Como as mensagens netflow não incluem um campo que identifica o dispositivo de envio, o Paragon Insights usa o endereço IP de origem configurado para obter uma ID do dispositivo.
-
Modelos identificam e decodificam dados de fluxo de entrada para determinar quais campos ele contém
Os dados resultantes decodificados e normalizados agora estão em um formato legível e utilizável.
-
Em seguida, o Paragon Insights realiza mais tags, normalização e agregação conforme definido na regra correspondente pelo usuário.
-
Por fim, o banco de dados da série tempo (TSDB) recebe os dados. É aqui que acontecem coisas como a avaliação do gatilho.
Para o NetFlow, certifique-se de que não há NAT de origem no(s) caminho(s) de rede entre o dispositivo e o Paragon Insights. Se o caminho de rede contém NAT de origem, as informações recebidas do dispositivo não são precisas.
Para configurar endereços IP de origem na configuração do dispositivo:
Para configurar endereços IP de origem na configuração do Grupo de Dispositivos:
-
Vá para grupos de configuração > dispositivos.
Você é levado para a página de configuração do Grupo de Dispositivos.
-
Selecione um grupo de dispositivos que deseja configurar para enviar dados do Flow e clique no botão de edição (ícone de lápis).
Você é levado para a página do Grupo de Dispositivos de Edição.
-
Clique no advanced caret e insira o(es) endereço IP(es) de origem no campo Flow Ingest Deploy Nodes.
Se você quiser inserir vários endereços IP de origem, separe cada um com uma vírgula.
-
Clique em Salvar e Implantar.
Configure portas de fluxo
Para configurar portas de fluxo em grupos de dispositivos: