Configure uma regra usando sensor de fluxo
Com as configurações de fluxo concluídas, agora você pode criar uma regra usando o fluxo como sensor.
Esta regra de exemplo inclui três elementos:
Um sensor de fluxo que usa o modelo NetFlow v10 IPv4
Seis campos capturando dados de interesse
Um gatilho que indica quando o fluxo de tráfego é maior ou menor do que o esperado
Veja as notas de uso no final desta seção para obter mais detalhes sobre o que foi configurado.
Usage Notes:
Sensor Tab:
O sensor de sensor de fluxo ipv4 é definido pelo usuário
O tipo de sensor é fluxo
O sensor usa o modelo predefinido hb-ipfix-ipv4-template
Variables Tab:
As variáveis contagem de tráfego máximo e contagem de tráfego min são inteiros configurados estaticamente. Neste caso, os valores representam Bytes por segundo
Esses valores são referenciados em campos de contagem de tráfego máximo e mínimo de contagem de tráfego e fornecem um ponto de referência para comparação com o campo de contagem total de tráfego
Fields Tab:
São definidos seis campos; alguns campos são usados nas configurações do gatilho, enquanto um campo é referenciado em outro campo
Os nomes de campo são campos definidos pelo usuário (UDF)
Campos de origem-ipv4-endereço, endereço ipv4 de destino e contagem de tráfego de sensores estão extraindo informações da entrada do sensor de fluxo
Os valores de caminho para esses campos identificam valores específicos das mensagens NetFlow, usando a nomenclatura de acordo com elementos de informações do IPFIX
Campos de endereço ipv4 e endereço de destino ipv4 têm a configuração de chave add to rule habilitada, indicando que este campo deve ser mostrado como uma chave pesquisável para essa regra nas páginas de integridade do dispositivo
Contagem total de tráfego de campo — resume a contagem de pacotes IPv4 do campo de contagem de tráfego de sensores a cada 10 segundos
Os campos de contagem de tráfego máximo e mínimo de contagem de tráfego são simplesmente valores fixos; os valores são derivados das variáveis definidas acima
Intervalo de tempo de agregação de campo — normalmente definido para um valor maior (mais longo) do que as configurações individuais de intervalo de tempo de campo com o objetivo de reduzir a frequência das informações que estão sendo enviadas para o banco de dados
Triggers Tab:
O nome do gatilho que faz a medição de tráfego é definido pelo usuário.
frequência anos 90 — O Paragon Insights compara a contagem de tráfego a cada 90 segundos
No termo tráfego anormal-gr:
Quando a contagem de tráfego de $total (a contagem periódica de tráfego IPv4 de entrada) é maior do que a contagem máxima de $traffic (2500 Bps), mostre o vermelho e a mensagem: "A contagem total de tráfego está acima do normal. A contagem total de tráfego atual é: contagem de tráfego $total".
No termo tráfego anormal-ls:
Quando a contagem de tráfego $total (a contagem periódica de tráfego IPv4 de entrada) é inferior ao mínimo de $traffic (500 Bps), mostre o amarelo e a mensagem: "A contagem total de tráfego está abaixo do normal. A contagem total de tráfego atual é : contagem de tráfego $total".
No termo padrão:
Caso contrário, mostre o verde e a mensagem: "A contagem total de tráfego é normal. A contagem total de tráfego atual é: contagem de tráfego $total".