Apstra 流收集器
输入
- EF_FLOW_SERVER_UDP_IP
- EF_FLOW_SERVER_UDP_PORT
- EF_FLOW_SERVER_UDP_READ_BUFFER_MAX_SIZE
- EF_FLOW_PACKET_STREAM_MAX_SIZE
EF_FLOW_SERVER_UDP_IP
Apstra 流收集器通过 UDP 接收网络流记录。使用此设置可以指定收集器将侦听的接口 IP 地址。
- 有效值:
0.0.0.0或 UDP 套接字可以绑定到的任何有效 IP 地址。 - 默认 IP 地址:
0.0.0.0(侦听所有接口)
EF_FLOW_SERVER_UDP_PORT
使用此设置可以指定收集器在其上创建套接字以接收传入数据包的 UDP 端口。您可以指定多个端口,用逗号分隔。例如: 2055,6343,4739。
有效值:任何有效的端口号。常见值包括:
2055: Netflow 标准端口4739:IPFIX 标准端口6343:sFlow 标准端口9995-9998:常用端口号
EF_FLOW_SERVER_UDP_READ_BUFFER_MAX_SIZE
UDP 服务器请求的 UDP 接收缓冲区的大小(以字节为单位)由操作系统内核在创建套接字时创建。如果此值超过允许的最大缓冲区大小(在 Linux 上),net.core.rmem_max 则使用允许的最大大小。
- 违约:
33554432
EF_FLOW_PACKET_STREAM_MAX_SIZE
- 默认值:
16384字节
解码器/处理器
- EF_PROCESSOR_DECODE_IPFIX_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW1_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW5_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW6_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW7_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW9_ENABLE
- EF_PROCESSOR_DECODE_SFLOW5_ENABLE
- EF_PROCESSOR_DECODE_SFLOW_FLOWS_ENABLE
- EF_PROCESSOR_DECODE_SFLOW_FLOWS_KEEP_SAMPLES
- EF_PROCESSOR_DECODE_SFLOW_COUNTERS_ENABLE
- EF_PROCESSOR_DECODE_MAX_RECORDS_PER_PACKET
- EF_PROCESSOR_TRANSLATE_KEEP_IDS
- EF_PROCESSOR_ENRICH_ASN_PREF
- EF_PROCESSOR_ENRICH_JOIN_ASN
- EF_PROCESSOR_ENRICH_JOIN_GEOIP
- EF_PROCESSOR_ENRICH_JOIN_NETATTR
- EF_PROCESSOR_ENRICH_JOIN_SUBNETATTR
- EF_PROCESSOR_ENRICH_JOIN_SEC
- EF_PROCESSOR_EXPAND_CLISRV
- EF_PROCESSOR_EXPAND_CLISRV_NO_L4_PORTS
- EF_PROCESSOR_IFA_ENABLE
- EF_PROCESSOR_IFA_WORKER_SIZE
EF_PROCESSOR_DECODE_IPFIX_ENABLE
设置为以 true 启用 IPFIX 记录的解码。
- 有效值:
true,false - 违约:
true
EF_PROCESSOR_DECODE_NETFLOW1_ENABLE
设置为 true 以启用 Netflow v1 记录的解码。
- 有效值:
true,false - 违约:
true
EF_PROCESSOR_DECODE_NETFLOW5_ENABLE
设置为 true 以启用 Netflow v5 记录的解码。
- 有效值:
true,false - 违约:
true
EF_PROCESSOR_DECODE_NETFLOW6_ENABLE
设置为 true 以启用 Netflow v6 记录的解码。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_DECODE_NETFLOW7_ENABLE
设置为 true 以启用 Netflow v7 记录的解码。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_DECODE_NETFLOW9_ENABLE
设置为 true 以启用 Netflow v9 记录的解码。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_DECODE_SFLOW5_ENABLE
设置为 true 以启用 sFlow v5 记录的解码。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_DECODE_SFLOW_FLOWS_ENABLE
设置为 true 以启用 sFlow flow_sample 和 flow_sample_expanded 记录的解码。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_DECODE_SFLOW_FLOWS_KEEP_SAMPLES
设置为 true时,sFlow sampled_header 记录中的数据包数据存储为 l2.section.sample 十六进制编码的字符串。
- 有效值:
true,false - 违约:
false
EF_PROCESSOR_DECODE_SFLOW_COUNTERS_ENABLE
设置为 true 以启用 sFlow counters_sample 和 counters_sample_expanded 记录的解码。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_DECODE_MAX_RECORDS_PER_PACKET
损坏的数据包可能会导致解码记录时出现问题。若要防止出现这种情况,可以使用此设置来限制将从数据包解码的记录数。当设备和收集器之间的网络的 MTU 大于 1500时,正常数据包可能会超过默认值。该 EF_PROCESSOR_DECODE_MAX_RECORDS_PER_PACKET 设置允许您在必要时增加阈值。
- 默认值:
64
EF_PROCESSOR_TRANSLATE_KEEP_IDS
使用此设置可指定要包含在最终数据集中的标识符值。
有效值:
none:从最终数据集中删除所有标识符。default:大多数标识符将从最终数据集中删除。请注意,常见用例所需的一些标识符(例如原始协议端口值)包含在最终数据集中。all:所有标识符都包含在最终数据集中。- 默认值:
default
EF_PROCESSOR_ENRICH_ASN_PREF
如果使用自治系统 (AS) 属性启用扩充,并且 AS 已直接在流记录数据中指示,则可以使用该 EF_PROCESSOR_ENRICH_ASN_PREF 设置指定首选源。如果首选源对给定记录不可用,解码器将回退到备用选项。
- 有效值:
lookup:AS 通过查找确定。flow:AS 直接在流记录数据中指示。
- 默认值:
lookup
EF_PROCESSOR_ENRICH_JOIN_ASN
某些要素要求将单独字段中的相关值作为数组存储在单个字段中。当EF_PROCESSOR_ENRICH_JOIN_ASN设置为 时true,将启用 AS 相关字段的连接。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_ENRICH_JOIN_GEOIP
某些要素要求将单独字段中的相关值作为数组存储在单个字段中。设置为 EF_PROCESSOR_ENRICH_JOIN_GEOIP 时true,将启用 GeoIP 相关字段的连接。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_ENRICH_JOIN_NETATTR
某些要素要求将单独字段中的相关值作为数组存储在单个字段中。当 EF_PROCESSOR_ENRICH_JOIN_NETATTR设置为 时,true将启用网络属性相关字段的连接。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_ENRICH_JOIN_SUBNETATTR
某些要素要求将单独字段中的相关值作为数组存储在单个字段中。设置为 EF_PROCESSOR_ENRICH_JOIN_SUBNETATTR 时true,将启用 IP 子网属性相关字段的连接。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_ENRICH_JOIN_SEC
某些要素要求将单独字段中的相关值作为数组存储在单个字段中。当EF_PROCESSOR_ENRICH_JOIN_SEC设置为 时true,将启用安全属性相关字段的连接。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_EXPAND_CLISRV
收集器推断两个源/目标终结点的客户端/服务器关系。该 EF_PROCESSOR_EXPAND_CLISRV 设置确定是启用还是禁用推理。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_EXPAND_CLISRV_NO_L4_PORTS
对于与包含“无第 4 层端口”的协议相关的流记录,收集器使用 IP 地址的顺序推断两个源/目标端点的客户端/服务器关系。 EF_PROCESSOR_EXPAND_CLISRV_NO_L4_PORTS 使用此设置可启用或禁用推理。缺省设置为 true。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_IFA_ENABLE
- 有效值:
true,false - 默认值:
false
EF_PROCESSOR_IFA_WORKER_SIZE
用于指定要启动的 IFA 跃点记录处理器的数量。
- 默认编号:
4 * the number of license units
采样率
Devices can sample packets to reduce the overall volume of traffic metered for flow accounting, The various sampling rate configuration options are described as follows:
- EF_PROCESSOR_ENRICH_SAMPLERATE_CACHE_SIZE
- EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_ENABLE
- EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_PATH
- EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_OVERRIDE
EF_PROCESSOR_ENRICH_SAMPLERATE_CACHE_SIZE
Apstra 流收集器会根据所使用的采样率调整字节和数据包的计算。通常,设备会在流量记录中或作为设备定期发送的选项数据通知收集器采样率。使用该 EF_PROCESSOR_ENRICH_SAMPLERATE_CACHE_SIZE 设置指定用于保存从选项数据中获知的采样率信息的缓存大小。
- 默认值:
32768
EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_ENABLE
有时,设备可能不会传输有关其配置的采样率的信息。使用该 EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_ENABLE 设置以静态方式定义提供给收集器的文件中的采样率。
- 有效值:
true,false - 默认值:
false
EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_PATH
如果为文件中的设备配置了静态采样率, EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_PATH 则该设置将指定可从中加载该文件的路径。
例如:
'192.0.2.1': 1024 '192.0.2.2': 512
默认路径为: /etc/juniper/settings/sample_rate.yml
EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_OVERRIDE
在某些用例中,您可能希望使用用户定义的采样率,而不是设备提供的采样率。设置为PROCESSOR_ENRICH_SAMPLERATE_USERDEF_OVERRIDEtrue以检查用户定义的速率,即使设备已提供速率。
- 有效值:
true,false - 默认值:
false
常规设置
EF_PROCESSOR_ENRICH_TOTALS_IF_NO_DELTAS
大多数流导出器提供字节和数据包数量作为 增量 值。增量值是指自上次报告流记录以来的字节和数据包数量。但是,某些导出商(如发送 IPFIX 的瞻博网络 MX 系列路由器)仅将这些数量作为 总 值提供。总值是指流的整个生命周期内的数量。
如果导出程序 仅 发送总计,则可能需要使用这些值来填充 flow.bytes 和 flow.packets。设置为 EF_PROCESSOR_ENRICH_TOTALS_IF_NO_DELTAS 时 true,将使用 总量 。
对于许多数据存储来说,总量可能会出现问题。与增量值一样,时间窗内多个记录的总值的简单总和不会产生准确的数量。因此,如果使用总值,长期流可能会过度报告字节和数据包值。
- 有效值:
true,false - 默认值:
true
应用
- EF_PROCESSOR_ENRICH_APP_ID_ENABLE
- EF_PROCESSOR_ENRICH_APP_ID_PATH
- EF_PROCESSOR_ENRICH_APP_ID_TTL
- EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE
- EF_PROCESSOR_ENRICH_APP_IPPORT_PATH
- EF_PROCESSOR_ENRICH_APP_IPPORT_TTL
- EF_PROCESSOR_ENRICH_APP_IPPORT_PRIVATE
- EF_PROCESSOR_ENRICH_APP_IPPORT_PUBLIC
- EF_PROCESSOR_ENRICH_APP_REFRESH_RATE
EF_PROCESSOR_ENRICH_APP_ID_ENABLE
- 有效值:
true,false - 违约:
false
EF_PROCESSOR_ENRICH_APP_ID_PATH
如果启用了供应商定义的 AppID 到应用程序属性的映射(EF_PROCESSOR_ENRICH_APP_ID_ENABLEtrue为 ),则此设置将指定文件的路径。
默认路径为: /etc/juniper/app/appid.yml
EF_PROCESSOR_ENRICH_APP_ID_TTL
使用此设置可以指定最初提取应用程序属性后缓存应用程序属性的时间长度。
在 AppID 从缓存中过期之前,不会对基础文件进行更改(即使在以刷新间隔重新加载文件之后)。
- 默认值:
7200
EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE
各种流记录源将应用程序 ID 的映射作为选项数据发送到应用程序名称。如果没有可用的应用程序标识技术,则可以按 IP 地址和端口号指定应用程序。
- 有效值:
true,false - 默认值:
false
EF_PROCESSOR_ENRICH_APP_IPPORT_PATH
启用用户定义的 IP/端口到应用程序的映射时,(EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE is true) 设置指定此文件的路径。
例如:
192.168.1.0/24:
8090:
name: "Synergy-cidr-port"
category: "category-cidr-port"
subcategory: "subcategory-cidr-port"
metadata:
".location": "austin-cidr-port"
"business.unit": "finance-cidr-port"
"dev.unit": "dev-cidr-port"
"app.count": 27
192.168.1.1-192.168.1.20:
8090:
name: "Synergy-iprange-port"
category: "category-iprange-port"
subcategory: "subcategory-iprange-port"
metadata:
.location: "austin-iprange-port"
8090-9000:
name: "Synergy-iprange-portrange"
category: "category-iprange-portrange"
subcategory: "subcategory-iprange-portrange"
metadata:
.location: "austin-iprange-portrange"
business.unit: "finance-iprange-portrange"
qa.unit: "qa-iprange-portrange"
finace.unit: "finance-iprange-portrange"
192.168.1.1:
8090:
name: "Synergy-ip-port"
category: "category-ip-port"
subcategory: "subcategory-ip-port"
metadata:
.location: "austin-ip-port"
business.unit: "finance-ip-port"
- 默认路径:
/etc/juniper/app/ipport.yml
EF_PROCESSOR_ENRICH_APP_IPPORT_TTL
使用此设置可以指定最初获取应用程序属性后缓存应用程序属性的时间长度。
即使在以刷新间隔重新加载文件之后,也不会对基础文件进行更改,直到缓存中的 IP/Port 过期。
- 默认值:
7200
EF_PROCESSOR_ENRICH_APP_IPPORT_PRIVATE
如果启用了用户定义的应用程序属性 (EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE 是 true),此设置指定是否检查应用程序名称中的专用 IP 地址。
- 有效值:
true,false - 违约:
true
EF_PROCESSOR_ENRICH_APP_IPPORT_PUBLIC
如果启用了用户定义的应用程序属性 (EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE 是 true),此设置指定是否检查应用程序名称中的公共 IP 地址。
- 有效值:
true,false - 默认值:
false
EF_PROCESSOR_ENRICH_APP_REFRESH_RATE
为应用程序属性扩充定义的文件可以自动加载以刷新值,而无需重新启动收集器。使用此设置可以指定重新加载文件的刷新间隔(以分钟为单位)。
- 默认值:
15(0值禁用此设置)
IP 地址
名称解析
您可以将收集器配置为将 IP 地址解析为主机名。以下设置允许根据环境的需要调整此功能。
- EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE
- EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_IP
- EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_TIMEOUT
- EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PRIVATE
- EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PUBLIC
- EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_PATH
- EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_REFRESH_RATE
- EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_PATH
- EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_REFRESH_RATE
EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE
使用此设置可以启用在收到的流记录中找到的 IP 地址的 DNS 反向查找。
- 有效值:
true,false - 默认值:
false
EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_IP
收集器使用操作系统配置的名称解析将 IP 地址解析为主机名。这是默认行为。(可选)您可以指定要使用的名称服务器。
如果配置,此设置 必须 包含有效的 IP 地址。
- 违约:
empty
EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_TIMEOUT
如果包含有效的 IP 地址,则 EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_IP 此设置包含对名称服务器进行查询的超时期限(以毫秒为单位)。
- 违约:
3000
EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PRIVATE
启用EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE DNS 解析( 为 true) 时,此设置指定是否将专用 IP 地址解析为主机名。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PUBLIC
如果启用了 DNS 解析(EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLEtrue设置为 ),此设置指定是否将公共 IP 地址解析为主机名。
- 有效值:
true,false - 违约:
true
EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_PATH
该 EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_PATH 设置指定包含用户定义的主机名映射的文件的路径。仅当配置了路径时,才会启用此功能,否则将禁用此功能。
'192.0.2.1': 'host1' '192.0.2.2': 'host2'
- 默认设置:
'' - 推荐路径:
/etc/juniper/hostname/user_defined.yml
EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_REFRESH_RATE
使用此设置可自动加载刷新值,而无需重新启动收集器。指定的值指示重新加载文件所需的刷新间隔时间(以分钟为单位)。
- 默认值:
15(如果设置为0,则禁用刷新值)
EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_PATH
为了更好地控制何时应用扩充,您可以通过 AS 或 CIDR 在主机名扩充中包含或排除 IP 地址。使用此设置可以指定文件的路径 inclu_excl.yml 。有关包含/排除功能的详细信息,请参阅 使用包含/排除确定扩充范围。
- 默认设置:
'' - 推荐路径:
/etc/juniper/hostname/incl_excl.yml
EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_REFRESH_RATE
使用此设置可自动刷新值,而无需重新启动收集器。指定的值指示重新加载文件所需的刷新间隔(以分钟为单位)。
- 默认值:
15(如果设置为0,则禁用刷新值)
麦克斯迈德
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_PATH
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_PATH
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_VALUES
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_LANG
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE
使用此设置 (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE is true) 可允许收集器确定与公共 IP 地址所属的 AS 关联的属性。
- 有效值:
true,false - 默认值:
false
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_PATH
使用此设置可以指定 Maxmind 数据库的路径。当为 时true,EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE将使用 Maxmind 数据库中的查找启用 AS 属性扩充。
- 默认路径:
/etc/juniper/maxmind/GeoLite2-ASN.mmdb
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE
设置为EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLEtrue以允许收集器确定与公共 IP 地址关联的 GeoIP 属性。
- 有效值:
true,false - 默认值:
false
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_PATH
如果使用 Maxmind 数据库中EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE 的查找启用了 GeoIP 属性扩充( is true),则会指定 Maxmind 数据库的路径。
- 默认路径:
/etc/juniper/maxmind/GeoLite2-City.mmdb
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_VALUES
如果使用 Maxmind 数据库中的查找启用了 GeoIP 属性扩充 (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE is true),则此设置指定要包含在生成的记录中的 Maxmind 数据库中的 GeoIP 属性。
- 有效值:
city、continent、continent_code、country、country_code、 、locationtimezone
- 默认值:
city,country,country_code,location,timezone
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_LANG
如果使用 Maxmind 数据库中的查找启用了 GeoIP 属性扩充 (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE is true),则此设置用于指定要用于任何特定于语言的值的语言。
- 有效值
de:德语en:英语es:西班牙语fr:法语ja:日语pt-BR: 巴西葡萄牙语ru:俄语zh-CN: 简体中文
- 默认值:
en
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH
为了更好地控制何时应用扩充,您可以按 AS 或 CIDR 在 GeoIP 扩充中包含或排除 IP 地址。该 EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH 设置指定文件的路径 incl_excl.yml 。
- 默认设置:
'' - 推荐路径:
/etc/juniper/hostname/incl_excl.yml
有关包含/排除功能的更多详细信息,请参阅 使用包含/排除限定范围扩充。
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
中 EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH 指定的文件可以自动加载以刷新值,而无需重新启动收集器。使用此设置指定刷新间隔(以分钟为单位),重新加载文件所需的时间(以分钟为单位)。
- 默认值:
15(注意:设置为0时不使用刷新间隔)。
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
中 EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH 指定的文件可以自动加载以刷新值,而无需重新启动收集器。使用此设置指定刷新间隔(以分钟为单位),重新加载文件所需的时间(以分钟为单位)。
- 默认值:
15(注意:当此值设置为0时,不使用刷新间隔)。
用户定义的元数据
用户定义的元数据会将附加信息添加到给定 IP 地址的记录中。它还可用于覆盖现有字段。您可以为 CIDR 块、IP 范围或单个 IP 地址指定元数据。
- EF_PROCESSOR_ENRICH_IPADDR_METADATA_ENABLE
- EF_PROCESSOR_ENRICH_IPADDR_METADATA_USERDEF_PATH
- EF_PROCESSOR_ENRICH_IPADDR_METADATA_REFRESH_RATE
- #reference_jpr_p5q_zzb__subsection_xkv_bkn_f1c
EF_PROCESSOR_ENRICH_IPADDR_METADATA_ENABLE
使用此设置可启用或禁用用户定义的元数据扩充。默认值为 true。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_ENRICH_IPADDR_METADATA_USERDEF_PATH
如果启用了用户定义的元数据扩充(EF_PROCESSOR_ENRICH_IPADDR_METADATA_ENABLE 是 true),则此设置指定元数据文件的路径。如果此值未定义或为空,则禁用元数据扩充。
有关用户定义的元数据功能的详细信息,请参阅: 用户定义的元数据扩充。
- 默认值:
'' - 推荐路径:
/etc/juniper/metadata/ipaddrs.yml
EF_PROCESSOR_ENRICH_IPADDR_METADATA_REFRESH_RATE
中 EF_PROCESSOR_ENRICH_IPADDR_METADATA_USERDEF_PATH 指定的文件可以自动加载以刷新值,而无需重新启动收集器。此值指定将重新加载文件的刷新间隔(以分钟为单位)。的值 0 禁用值的刷新。
- 默认值:
15
网络接口
期权记录
Apstra Flow 收集器将尝试确定从 NetFlow v9 或 IPFIX 选项记录中获知的网络接口属性。
EF_PROCESSOR_ENRICH_NETIF_FLOW_OPTIONS_ENABLE
将此 false 值设置为 将禁用使用从 NetFlow 或 IPFIX 选项记录中获知的接口属性扩充记录。
- 有效值:
true,false - 默认值:
true
SNMP
流记录通常包括网络流量遍历导出设备的入口和出口接口的索引。收集器将尝试确定这些接口的名称和属性,这是通过使用 SNMP 轮询导出设备所获知的。
- EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE
- EF_PROCESSOR_ENRICH_NETIF_SNMP_PORT
- EF_PROCESSOR_ENRICH_NETIF_SNMP_VERSION
- EF_PROCESSOR_ENRICH_NETIF_SNMP_COMMUNITIES
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_USERNAME
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PROTOCOL
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PASSPHRASE
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PROTOCOL
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PASSPHRASE
- EF_PROCESSOR_ENRICH_NETIF_SNMP_TIMEOUT
- EF_PROCESSOR_ENRICH_NETIF_SNMP_RETRIES
EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE
使用此设置可以指定是否使用 SNMP 轮询来收集网络接口属性。
- 有效值:
true,false - 默认值:
false
EF_PROCESSOR_ENRICH_NETIF_SNMP_PORT
如果启用了属性的 SNMP 轮询(EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE 是 true),则此设置指定用于此类轮询的 UDP 端口。
- 默认 UDP 端口:
161(默认 SNMP 端口号)
EF_PROCESSOR_ENRICH_NETIF_SNMP_VERSION
如果启用了属性的 SNMP 轮询(EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE 是 true),则此设置指定用于此类轮询的 SNMP 版本。
轮询的所有网络设备 都必须 支持此版本的 SNMP。
有效值:
1: SNMPv12: SNMPv2c3: SNMPv3
EF_PROCESSOR_ENRICH_NETIF_SNMP_COMMUNITIES
如果启用了属性的 SNMP 轮询(EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE 是 true),则此设置指定可用于此类轮询的 SNMP 社区字符串。如果指定了逗号分隔的列表,则收集器将按指定的顺序尝试每个社区。社区返回成功响应后,收集者会记住社区,以便将来对设备进行轮询。
必须将轮询的所有网络设备配置为使用此社区收集的属性的所有可见性。可能需要指定与此社区关联的视图。请参阅设备文档,获取有关确定正确配置步骤的帮助。
- 例:
public,private,whatever - 默认设置:
public
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_USERNAME
使用此设置可指定用于使用 SNMPv3 对设备进行身份验证的用户名。
- 默认设置:
''
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PROTOCOL
使用此设置可指定用于使用 SNMPv3 对设备进行身份验证的身份验证协议。
有效值:
noauth、md5、sha、sha224、sha256、 、sha384sha512- 默认值:
noauth
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PASSPHRASE
使用此设置可指定用于使用 SNMPv3 对设备进行身份验证的身份验证密码。
- 默认密码:
''
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PROTOCOL
使用此设置可以隔离用于加密 SNMP 输入和设备之间的 SNMPv3 流量的隐私协议。
有效值:
nopriv、des、aes、aes192、aes256、 、aes192caes256c- 默认值:
nopriv
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PASSPHRASE
使用此设置可以指定用于加密 SNMP 输入和设备之间的 SNMPv3 流量的隐私密码。
- 默认密码:
''
EF_PROCESSOR_ENRICH_NETIF_SNMP_TIMEOUT
如果启用了 SNMP 属性轮询(EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE set true),则此设置指定等待轮询设备响应的秒数。
- 默认值:
2
EF_PROCESSOR_ENRICH_NETIF_SNMP_RETRIES
如果启用了属性的 SNMP 轮询 (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE 为 true),则此设置指定初始轮询超时或失败后要尝试的重试次数。每次重试的超时期限都会加倍。
- 默认值:
1
用户定义的元数据
用户定义的元数据允许您向给定网络接口的记录添加附加信息或覆盖现有字段。
- EF_PROCESSOR_ENRICH_NETIF_METADATA_ENABLE
- EF_PROCESSOR_ENRICH_NETIF_METADATA_USERDEF_PATH
- EF_PROCESSOR_ENRICH_NETIF_METADATA_REFRESH_RATE
EF_PROCESSOR_ENRICH_NETIF_METADATA_ENABLE
使用此设置可启用或禁用用户定义的元数据扩充。默认值为 true。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_ENRICH_NETIF_METADATA_USERDEF_PATH
如果启用了用户定义的元数据扩充 (EF_PROCESSOR_ENRICH_NETIF_METADATA_ENABLE 是 true),则此设置指定元数据文件的路径。如果此值未定义或为空,则禁用元数据扩充。
有关用户定义的元数据的更多详细信息,请参阅 用户定义的元数据。
- 默认设置:
'' - 推荐路径:
/etc/juniper/metadata/netifs.yml
EF_PROCESSOR_ENRICH_NETIF_METADATA_REFRESH_RATE
中 EF_PROCESSOR_ENRICH_NETIF_METADATA_USERDEF_PATH 指定的文件可以自动加载以刷新值,而无需重新启动收集器。此值指定将重新加载文件的刷新间隔(以分钟为单位)。
- 默认值:
15(的值0禁用值的刷新)。
社区/对话 ID
- EF_PROCESSOR_ENRICH_COMMUNITYID_ENABLE
- EF_PROCESSOR_ENRICH_COMMUNITYID_SEED
- EF_PROCESSOR_ENRICH_CONVERSATIONID_ENABLE
- EF_PROCESSOR_ENRICH_CONVERSATIONID_SEED
EF_PROCESSOR_ENRICH_COMMUNITYID_ENABLE
使用此设置可以指定是否应使用社区 ID 值扩充流记录。
有关社区 ID 的更多信息,请参阅 社区 ID 规范。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_ENRICH_COMMUNITYID_SEED
此设置是一个 16 位值,用作确定流记录的社区 ID 的种子。
- 默认值:
0
EF_PROCESSOR_ENRICH_CONVERSATIONID_ENABLE
使用此设置可以启用或禁用使用对话 ID 值扩充的流记录。此值类似于社区 ID,但此值不是基于两个终结点的 SRC/DST 关系,而是基于客户端/服务器视角。尽管多个唯一会话(例如每个会话的唯一客户端端口)都有自己的社区 ID,但它们共享相同的对话 ID。这在探索复杂流数据集时提供了更大的灵活性。
- 有效值:
true,false - 默认值:
true
EF_PROCESSOR_ENRICH_CONVERSATIONID_SEED
此设置是一个 16 位值,用作确定流记录的会话 ID 的种子。
- 默认值:
0