Apstra 流量收集器
输入
- EF_FLOW_SERVER_UDP_IP
- EF_FLOW_SERVER_UDP_PORT
- EF_FLOW_SERVER_UDP_READ_BUFFER_MAX_SIZE
- EF_FLOW_PACKET_STREAM_MAX_SIZE
EF_FLOW_SERVER_UDP_IP
Apstra 流量收集器通过 UDP 接收网络流量记录。使用此设置可以指定收集器将侦听的接口 IP 地址。
- 有效值:
0.0.0.0或 UDP 套接字可以绑定到的任何有效 IP 地址。 - 默认 IP 地址:
0.0.0.0(侦听所有接口)
EF_FLOW_SERVER_UDP_PORT
使用此设置可以指定收集器在其上创建套接字以接收传入数据包的 UDP 端口。您可以指定多个端口,并用逗号分隔。例如: 2055,6343,4739.
有效值:任何有效的端口号。
常见值包括:
2055: Netflow 标准端口4739:IPFIX 标准端口6343: sFlow 标准端口9995-9998:常用端口号
EF_FLOW_SERVER_UDP_READ_BUFFER_MAX_SIZE
UDP 服务器请求的 UDP 接收缓冲区的大小(以字节为单位)由操作系统内核在创建套接字时创建。如果此值超过允许的最大缓冲区大小(net.core.rmem_max 在 Linux 上),则使用允许的最大大小。
- 违约:
33554432
EF_FLOW_PACKET_STREAM_MAX_SIZE
- 默认值:
16384字节
解码器/处理器
- EF_PROCESSOR_DECODE_IPFIX_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW1_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW5_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW6_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW7_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW9_ENABLE
- EF_PROCESSOR_DECODE_SFLOW5_ENABLE
- EF_PROCESSOR_DECODE_SFLOW_FLOWS_ENABLE
- EF_PROCESSOR_DECODE_SFLOW_FLOWS_KEEP_SAMPLES
- EF_PROCESSOR_DECODE_SFLOW_COUNTERS_ENABLE
- EF_PROCESSOR_DECODE_MAX_RECORDS_PER_PACKET
- EF_PROCESSOR_TRANSLATE_KEEP_IDS
- EF_PROCESSOR_ENRICH_ASN_PREF
- EF_PROCESSOR_ENRICH_JOIN_ASN
- EF_PROCESSOR_ENRICH_JOIN_GEOIP
- EF_PROCESSOR_ENRICH_JOIN_NETATTR
- EF_PROCESSOR_ENRICH_JOIN_SUBNETATTR
- EF_PROCESSOR_ENRICH_JOIN_SEC
- EF_PROCESSOR_EXPAND_CLISRV
- EF_PROCESSOR_EXPAND_CLISRV_NO_L4_PORTS
- EF_PROCESSOR_IFA_ENABLE
- EF_PROCESSOR_IFA_WORKER_SIZE
EF_PROCESSOR_DECODE_IPFIX_ENABLE
设置为 true 以启用 IPFIX 记录的解码。
- 取值范围:
true、false - 违约:
true
EF_PROCESSOR_DECODE_NETFLOW1_ENABLE
设置为 true 以启用 Netflow v1 记录的解码。
- 取值范围:
true、false - 违约:
true
EF_PROCESSOR_DECODE_NETFLOW5_ENABLE
设置为 true 以启用 Netflow v5 记录的解码。
- 取值范围:
true、false - 违约:
true
EF_PROCESSOR_DECODE_NETFLOW6_ENABLE
设置为 true 以启用 Netflow v6 记录的解码。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_DECODE_NETFLOW7_ENABLE
设置为 true 以启用 Netflow v7 记录的解码。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_DECODE_NETFLOW9_ENABLE
设置为 true 以启用 Netflow v9 记录的解码。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_DECODE_SFLOW5_ENABLE
设置为 true 以启用 sFlow v5 记录的解码。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_DECODE_SFLOW_FLOWS_ENABLE
设置为 true 以启用对 sFlow flow_sample 和 flow_sample_expanded 记录的解码。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_DECODE_SFLOW_FLOWS_KEEP_SAMPLES
当设置为 true时,sFlow sampled_header 记录中的数据包数据将 l2.section.sample 存储为十六进制编码的字符串。
- 取值范围:
true、false - 违约:
false
EF_PROCESSOR_DECODE_SFLOW_COUNTERS_ENABLE
设置为 true 以启用对 sFlow counters_sample 和 counters_sample_expanded 记录的解码。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_DECODE_MAX_RECORDS_PER_PACKET
损坏的数据包可能会导致记录解码出现问题。为防止出现这种情况,您可以使用此设置来限制将从数据包解码的记录数。当设备和收集器之间的网络的 MTU 大 1500于 时,正常数据包可能会超过默认值。该 EF_PROCESSOR_DECODE_MAX_RECORDS_PER_PACKET 设置允许您在必要时提高阈值。
- 默认值:
64
EF_PROCESSOR_TRANSLATE_KEEP_IDS
使用此设置可以指定要包含在最终数据集中的标识符值。
取值范围:
none:所有标识符都将从最终数据集中删除。default:大多数标识符将从最终数据集中删除。请注意,常见用例所需的一些标识符(如原始协议端口值)包含在最终数据集中。all:所有标识符都包含在最终数据集中。- 默认值:
default
EF_PROCESSOR_ENRICH_ASN_PREF
如果启用了使用自治系统 (AS) 属性的扩充,并且已在流记录数据中直接指示 AS,则可以使用该 EF_PROCESSOR_ENRICH_ASN_PREF 设置指定首选源。如果首选源不适用于给定记录,解码器将回退到备用选项。
- 取值范围:
lookup:AS 通过查找确定。flow:AS 直接在流记录数据中指示。
- 默认值:
lookup
EF_PROCESSOR_ENRICH_JOIN_ASN
某些功能要求将来自不同字段的相关值作为数组存储在单个字段中。当设置为true时EF_PROCESSOR_ENRICH_JOIN_ASN,将启用 AS 相关字段的联接。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_ENRICH_JOIN_GEOIP
某些功能要求将来自不同字段的相关值作为数组存储在单个字段中。当设置为true时EF_PROCESSOR_ENRICH_JOIN_GEOIP,将启用 GeoIP 相关字段的联接。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_ENRICH_JOIN_NETATTR
某些功能要求将来自不同字段的相关值作为数组存储在单个字段中。当设置为true时 EF_PROCESSOR_ENRICH_JOIN_NETATTR,将启用网络属性相关字段的联接。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_ENRICH_JOIN_SUBNETATTR
某些功能要求将来自不同字段的相关值作为数组存储在单个字段中。当设置为true时 EF_PROCESSOR_ENRICH_JOIN_SUBNETATTR,将启用 IP 子网属性相关字段的联接。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_ENRICH_JOIN_SEC
某些功能要求将来自不同字段的相关值作为数组存储在单个字段中。当设置为true时EF_PROCESSOR_ENRICH_JOIN_SEC,将启用安全属性相关字段的联接。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_EXPAND_CLISRV
收集器推断两个源/目标端点的客户端/服务器关系。该 EF_PROCESSOR_EXPAND_CLISRV 设置确定是启用还是禁用推理。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_EXPAND_CLISRV_NO_L4_PORTS
对于与包含“无第 4 层端口”的协议相关的流记录,收集器将使用 IP 地址的顺序推断两个源/目标端点的客户端/服务器关系。使用此 EF_PROCESSOR_EXPAND_CLISRV_NO_L4_PORTS 设置可启用或禁用推理。默认设置为 true。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_IFA_ENABLE
- 取值范围:
true、false - 默认值:
false
EF_PROCESSOR_IFA_WORKER_SIZE
用于指定要启动的 IFA 跃点记录处理器的数量。
- 默认数字:
4 * the number of license units
采样率
Devices can sample packets to reduce the overall volume of traffic metered for flow accounting, The various sampling rate configuration options are described as follows:
- fEF_PROCESSOR_ENRICH_SAMPLERATE_CACHE_SIZE
- EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_ENABLE
- EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_PATH
- EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_OVERRIDE
fEF_PROCESSOR_ENRICH_SAMPLERATE_CACHE_SIZE
Apstra 流量收集器会根据所使用的采样率调整字节和数据包的计算。通常,设备会在流记录中或作为设备定期发送的选项数据通知收集器采样率。使用该 EF_PROCESSOR_ENRICH_SAMPLERATE_CACHE_SIZE 设置指定用于保存从选项数据中获知的采样率信息的缓存大小。
- 默认值:
32768
EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_ENABLE
有时,设备可能不会传输有关其配置的采样率的信息。使用该 EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_ENABLE 设置在提供给收集器的文件中静态定义采样率。
- 取值范围:
true、false - 默认值:
false
EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_PATH
如果为文件中的设备配置了静态采样率,则该 EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_PATH 设置将指定可从中加载该文件的路径。
例如:
'192.0.2.1': 1024 '192.0.2.2': 512
默认路径为: /etc/flowdata/settings/sample_rate.yml
EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_OVERRIDE
在某些用例中,您可能希望使用用户定义的采样率,而不是设备提供的采样率。将 PROCESSOR_ENRICH_SAMPLERATE_USERDEF_OVERRIDE 设置设置为 true 检查用户定义的速率,即使设备已提供速率。
- 取值范围:
true、false - 默认值:
false
常规设置
EF_PROCESSOR_ENRICH_TOTALS_IF_NO_DELTAS
大多数流导出器提供字节和数据包数量作为 增量 值。增量值是指自上次报告流记录以来的字节和数据包数量。但是,某些出口商(如发送 IPFIX 的瞻博网络 MX 系列路由器)仅将这些数量作为 总 值提供。总值是指流量整个生存期内的数量。
如果导出器 仅 发送总计,则可能需要使用这些值来填充 flow.bytes 和 flow.packets。当 EF_PROCESSOR_ENRICH_TOTALS_IF_NO_DELTAS 设置为 true时,将使用 总 数量。
对于许多数据存储来说,总数量可能会成为问题。在时间窗口内对多个记录 的总 值进行简单总和不会像 增量 值那样产生准确的数量。因此,如果使用 总 值,长期流可能会过度报告字节和数据包值。
- 取值范围:
true、false - 默认值:
true
应用
- EF_PROCESSOR_ENRICH_APP_ID_ENABLE
- EF_PROCESSOR_ENRICH_APP_ID_PATH
- EF_PROCESSOR_ENRICH_APP_ID_TTL
- EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE
- EF_PROCESSOR_ENRICH_APP_IPPORT_PATH
- EF_PROCESSOR_ENRICH_APP_IPPORT_TTL
- EF_PROCESSOR_ENRICH_APP_IPPORT_PRIVATE
- EF_PROCESSOR_ENRICH_APP_IPPORT_PUBLIC
- EF_PROCESSOR_ENRICH_APP_REFRESH_RATE
EF_PROCESSOR_ENRICH_APP_ID_ENABLE
- 取值范围:
true、false - 违约:
false
EF_PROCESSOR_ENRICH_APP_ID_PATH
如果启用了供应商定义的 AppID 到应用程序属性的映射 (EF_PROCESSOR_ENRICH_APP_ID_ENABLE 是 true),则此设置指定文件的路径。
默认路径为: /etc/flowdata/app/appid.yml
EF_PROCESSOR_ENRICH_APP_ID_TTL
使用此设置可指定应用程序属性在最初提取后缓存的时间长度。
在 AppID 从缓存中过期之前,不会对基础文件进行更改(即使在以刷新间隔重新加载文件之后也是如此)。
- 默认值:
7200
EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE
各种流记录源将应用程序 ID 到应用程序名称的映射作为选项数据发送。在没有应用程序标识技术的情况下,您可以按 IP 地址和端口号指定应用程序。
- 取值范围:
true、false - 默认值:
false
EF_PROCESSOR_ENRICH_APP_IPPORT_PATH
启用用户定义的 IP/端口到应用程序的映射时,(EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE 是 true) 设置指定此文件的路径。
例如:
192.168.1.0/24:
8090:
name: "Synergy-cidr-port"
category: "category-cidr-port"
subcategory: "subcategory-cidr-port"
metadata:
".location": "austin-cidr-port"
"business.unit": "finance-cidr-port"
"dev.unit": "dev-cidr-port"
"app.count": 27
192.168.1.1-192.168.1.20:
8090:
name: "Synergy-iprange-port"
category: "category-iprange-port"
subcategory: "subcategory-iprange-port"
metadata:
.location: "austin-iprange-port"
8090-9000:
name: "Synergy-iprange-portrange"
category: "category-iprange-portrange"
subcategory: "subcategory-iprange-portrange"
metadata:
.location: "austin-iprange-portrange"
business.unit: "finance-iprange-portrange"
qa.unit: "qa-iprange-portrange"
finace.unit: "finance-iprange-portrange"
192.168.1.1:
8090:
name: "Synergy-ip-port"
category: "category-ip-port"
subcategory: "subcategory-ip-port"
metadata:
.location: "austin-ip-port"
business.unit: "finance-ip-port"
- 默认路径:
/etc/flowdata/app/ipport.yml
EF_PROCESSOR_ENRICH_APP_IPPORT_TTL
使用此设置可以指定应用程序属性在最初提取后缓存的时间长度。
即使在刷新间隔重新加载文件后,也不会对基础文件进行更改,直到 IP/端口从缓存中过期。
- 默认值:
7200
EF_PROCESSOR_ENRICH_APP_IPPORT_PRIVATE
如果启用了用户定义的应用程序属性 (EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE is true),则此设置指定是否检查应用程序名称中的专用 IP 地址。
- 取值范围:
true、false - 违约:
true
EF_PROCESSOR_ENRICH_APP_IPPORT_PUBLIC
如果启用了用户定义的应用程序属性 (EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE 是 true),则此设置指定是否检查应用程序名称中的公共 IP 地址。
- 取值范围:
true、false - 默认值:
false
EF_PROCESSOR_ENRICH_APP_REFRESH_RATE
可以自动加载为应用程序属性扩充定义的文件以刷新值,而无需重新启动收集器。使用此设置可以指定重新加载文件的刷新间隔(以分钟为单位)。
- 默认值:
15(0值禁用此设置)
IP 地址
名称解析
您可以将收集器配置为将 IP 地址解析为主机名。以下设置允许此功能根据您的环境需求进行调整。
- EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE
- EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_IP
- EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_TIMEOUT
- EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PRIVATE
- EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PUBLIC
- EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_PATH
- EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_REFRESH_RATE
- EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_PATH
- EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_REFRESH_RATE
EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE
使用此设置可以启用在收到的流记录中找到的 IP 地址的 DNS 反向查找。
- 取值范围:
true、false - 默认值:
false
EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_IP
收集器使用操作系统配置的名称解析将 IP 地址解析为主机名。这是默认行为。或者,您可以指定要改用的名称服务器。
如果已配置,则此设置 必须 包含有效的 IP 地址。
- 违约:
empty
EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_TIMEOUT
如果 EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_IP 包含有效的 IP 地址,则此设置包含对名称服务器进行查询的超时期限(以毫秒为单位)。
- 违约:
3000
EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PRIVATE
启用 DNS 解析 (EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE 是 true) 时,此设置指定是否将专用 IP 地址解析为主机名。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PUBLIC
如果启用了 DNS 解析(EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE 设置为 true),此设置指定是否将公共 IP 地址解析为主机名。
- 取值范围:
true、false - 违约:
true
EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_PATH
该 EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_PATH 设置指定包含用户定义主机名映射的文件的路径。仅当配置了路径时,才会启用此功能,否则将被禁用。
'192.0.2.1': 'host1' '192.0.2.2': 'host2'
- 默认设置:
'' - 推荐路径:
/etc/flowdata/hostname/user_defined.yml
EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_REFRESH_RATE
使用此设置可自动加载刷新值,而无需重新启动收集器。指定的值表示重新加载文件所需的刷新间隔时间(以分钟为单位)。
- 默认值:
15(如果设置为0,则禁用刷新值)
EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_PATH
为了更好地控制应用扩充的时机,您可以通过 AS 或 CIDR 在主机名扩充中包含或排除 IP 地址。使用此设置可以指定文件的 inclu_excl.yml 路径。有关包含/排除功能的详细信息,请参阅 使用包含/排除确定范围扩充。
- 默认设置:
'' - 推荐路径:
/etc/flowdata/hostname/incl_excl.yml
EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_REFRESH_RATE
使用此设置可自动刷新值,而无需重新启动收集器。指定的值表示重新加载文件所需的刷新间隔(以分钟为单位)。
- 默认值:
15(如果设置为0,则禁用刷新值)
麦克斯迈德
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_PATH
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE
使用此设置 (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE is true) 可允许收集器确定与公共 IP 地址所属的 AS 关联的属性。
- 取值范围:
true、false - 默认值:
false
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_PATH
使用此设置可以指定 Maxmind 数据库的路径。使用 AS 属性的扩充是在 时true使用 Maxmind 数据库中的查找来启用的EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE。
- 默认路径:
/etc/flowdata/maxmind/GeoLite2-ASN.mmdb
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE
设置为EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLEtrue以允许收集器确定与公共 IP 地址关联的 GeoIP 属性。
- 取值范围:
true、false - 默认值:
false
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_PATH
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_VALUES
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_LANG
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_PATH
如果使用 Maxmind 数据库中的查找启用了 GeoIP 属性的扩充 (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE is true),则指定 Maxmind 数据库的路径。
- 默认路径:
/etc/flowdata/maxmind/GeoLite2-City.mmdb
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_VALUES
如果使用 Maxmind 数据库中的查找 (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE trueis ) 启用了 GeoIP 属性的扩充,则此设置将指定 Maxmind 数据库中的 GeoIP 属性要包含在生成的记录中。
- 取值范围:
city、continent、、continent_code、country_codecountry、、locationtimezone
- 默认值:
city,country,country_code,location,timezone
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_LANG
如果使用 Maxmind 数据库 (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE true) 中的查找启用了 GeoIP 属性的扩充,则此设置将指定要用于任何语言特定值的语言。
- 取值范围
de:德语en:英语es:西班牙语fr:法语ja:日语pt-BR: 巴西葡萄牙语ru:俄语zh-CN: 简体中文
- 默认值:
en
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH
为了更好地控制应用扩充的时间,可以通过 AS 或 CIDR 在 GeoIP 扩充中包含或排除 IP 地址。该 EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH 设置指定文件的 incl_excl.yml 路径。
- 默认设置:
'' - 推荐路径:
/etc/flowdata/hostname/incl_excl.yml
有关包含/排除功能的更多详细信息,请参阅 使用包含/排除确定范围扩充。
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
中指定的 EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH 文件可以自动加载以刷新值,而无需重新启动收集器。使用此设置可以指定重新加载文件所需的刷新间隔(以分钟为单位)。
- 默认值:
15(注意:当设置为0时,不使用刷新间隔)。
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
中指定的 EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH 文件可以自动加载以刷新值,而无需重新启动收集器。使用此设置可以指定重新加载文件所需的刷新间隔(以分钟为单位)。
- 默认值:
15(注意:当此值设置为0时,不使用刷新间隔)。
用户定义的元数据
用户定义的元数据将附加信息添加到给定 IP 地址的记录中。它还可用于覆盖现有字段。您可以指定 CIDR 块、IP 范围或单个 IP 地址的元数据。
- EF_PROCESSOR_ENRICH_IPADDR_METADATA_ENABLE
- EF_PROCESSOR_ENRICH_IPADDR_METADATA_USERDEF_PATH
- EF_PROCESSOR_ENRICH_IPADDR_METADATA_REFRESH_RATE
EF_PROCESSOR_ENRICH_IPADDR_METADATA_ENABLE
使用此设置可以启用或禁用用户定义的元数据扩充。默认值为 true。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_ENRICH_IPADDR_METADATA_USERDEF_PATH
如果启用了用户定义的元数据扩充 (EF_PROCESSOR_ENRICH_IPADDR_METADATA_ENABLE 是 true),则此设置指定元数据文件的路径。如果此值未定义或为空,则禁用元数据扩充。
有关用户定义的元数据功能的详细信息,请参阅: 用户定义的元数据扩充。
- 默认值:
'' - 推荐路径:
/etc/flowdata/metadata/ipaddrs.yml
EF_PROCESSOR_ENRICH_IPADDR_METADATA_REFRESH_RATE
中指定的 EF_PROCESSOR_ENRICH_IPADDR_METADATA_USERDEF_PATH 文件可以自动加载以刷新值,而无需重新启动收集器。此值指定重新加载文件的刷新间隔(以分钟为单位)。的值 0 禁用刷新值。
- 默认值:
15
网络接口
期权记录
Apstra Flow 收集器将尝试确定从 Netflow v9 或 IPFIX 选项记录中获知的网络接口属性。
EF_PROCESSOR_ENRICH_NETIF_FLOW_OPTIONS_ENABLE
将此值 false 设置为将禁用使用从 NetFlow 或 IPFIX 选项记录中获知的接口属性来扩充记录。
- 取值范围:
true、false - 默认值:
true
SNMP
流记录通常包括入口接口和出口接口的索引,网络流量通过这些接口遍历导出设备。收集器将尝试确定这些接口的名称和属性,方法是通过使用 SNMP 轮询导出设备来学习这些接口的名称和属性。
- EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE
- EF_PROCESSOR_ENRICH_NETIF_SNMP_PORT
- EF_PROCESSOR_ENRICH_NETIF_SNMP_VERSION
- EF_PROCESSOR_ENRICH_NETIF_SNMP_COMMUNITIES
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_USERNAME
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PROTOCOL
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PASSPHRASE
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PROTOCOL
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PASSPHRASE
- EF_PROCESSOR_ENRICH_NETIF_SNMP_TIMEOUT
- EF_PROCESSOR_ENRICH_NETIF_SNMP_RETRIES
EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE
使用此设置可以指定是否使用 SNMP 轮询来收集网络接口属性。
- 取值范围:
true、false - 默认值:
false
EF_PROCESSOR_ENRICH_NETIF_SNMP_PORT
如果启用了属性的 SNMP 轮询 (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE 是 true),此设置将指定用于此类轮询的 UDP 端口。
- 默认 UDP 端口:
161(默认 SNMP 端口号)
EF_PROCESSOR_ENRICH_NETIF_SNMP_VERSION
如果启用了属性的 SNMP 轮询 (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE 是 true),此设置将指定用于此类轮询的 SNMP 版本。
所有被轮询的网络设备 都必须 支持此版本的 SNMP。
取值范围:
1:SNMPv12: SNMPv2c3: SNMPv3
EF_PROCESSOR_ENRICH_NETIF_SNMP_COMMUNITIES
如果启用了属性的 SNMP 轮询 (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE 是 true),此设置将指定可用于此类轮询的 SNMP 社区字符串。如果指定了逗号分隔的列表,则收集器将按指定的顺序尝试每个社区。一旦社区返回成功的响应,收集器就会记住该社区,以便将来对设备进行投票。
必须使用此社区将轮询的所有网络设备配置为对收集的属性的所有可见性。可能需要指定与此社区关联的视图。请参阅设备的文档,以帮助您确定正确的配置步骤。
- 例:
public,private,whatever - 默认设置:
public
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_USERNAME
使用此设置可以指定用于使用 SNMPv3 对设备进行身份验证的用户名。
- 默认设置:
''
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PROTOCOL
使用此设置可以指定用于向使用 SNMPv3 的设备验证用户名的身份验证协议。
取值范围:
noauth、md5、、sha、sha256sha224、、sha384sha512- 默认值:
noauth
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PASSPHRASE
使用此设置可以指定用于通过 SNMPv3 对设备的用户名进行身份验证的身份验证密码。
- 默认密码:
''
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PROTOCOL
使用此设置可指定用于加密 SNMP 输入与设备之间的 SNMPv3 流量的隐私协议。
取值范围:
nopriv、des、、aes、aes256aes192、、aes192caes256c- 默认值:
nopriv
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PASSPHRASE
使用此设置可以指定用于加密 SNMP 输入与设备之间的 SNMPv3 流量的隐私密码。
- 默认密码:
''
EF_PROCESSOR_ENRICH_NETIF_SNMP_TIMEOUT
如果启用了 SNMP 属性轮询 (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE set true),此设置将指定等待轮询设备响应的秒数。
- 默认值:
2
EF_PROCESSOR_ENRICH_NETIF_SNMP_RETRIES
如果启用了属性的 SNMP 轮询 (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE true是 ),此设置指定在初始轮询超时或失败后要尝试的重试次数。每次重试的超时期限都会加倍。
- 默认值:
1
用户定义的元数据
用户定义的元数据允许您将附加信息添加到给定网络接口的记录中,或覆盖现有字段。
- EF_PROCESSOR_ENRICH_NETIF_METADATA_ENABLE
- EF_PROCESSOR_ENRICH_NETIF_METADATA_USERDEF_PATH
- EF_PROCESSOR_ENRICH_NETIF_METADATA_REFRESH_RATE
EF_PROCESSOR_ENRICH_NETIF_METADATA_ENABLE
使用此设置可以启用或禁用用户定义的元数据扩充。默认值为 true。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_ENRICH_NETIF_METADATA_USERDEF_PATH
如果启用了用户定义的元数据扩充 (EF_PROCESSOR_ENRICH_NETIF_METADATA_ENABLE 是 true),则此设置指定元数据文件的路径。如果此值未定义或为空,则禁用元数据扩充。
有关用户定义元数据的更多详细信息,请参阅 用户定义元数据。
- 默认设置:
'' - 推荐路径:
/etc/flowdata/metadata/netifs.yml
EF_PROCESSOR_ENRICH_NETIF_METADATA_REFRESH_RATE
中指定的 EF_PROCESSOR_ENRICH_NETIF_METADATA_USERDEF_PATH 文件可以自动加载以刷新值,而无需重新启动收集器。此值指定重新加载文件的刷新间隔(以分钟为单位)。
- 默认值:
15(的0值禁用刷新值)。
社区/对话 ID
- EF_PROCESSOR_ENRICH_COMMUNITYID_ENABLE
- EF_PROCESSOR_ENRICH_COMMUNITYID_SEED
- EF_PROCESSOR_ENRICH_CONVERSATIONID_ENABLE
- EF_PROCESSOR_ENRICH_CONVERSATIONID_SEED
EF_PROCESSOR_ENRICH_COMMUNITYID_ENABLE
使用此设置可以指定是否应使用社区 ID 值扩充流记录。
有关社区 ID 的详细信息,请参阅 community-id-spec。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_ENRICH_COMMUNITYID_SEED
此设置是一个 16 位值,用作确定流记录的社区 ID 的种子。
- 默认值:
0
EF_PROCESSOR_ENRICH_CONVERSATIONID_ENABLE
使用此设置可以启用或禁用使用对话 ID 值扩充的流记录。此值类似于社区 ID,但是,此值不是基于两个端点的 SRC/DST 关系,而是基于客户端/服务器视角。尽管多个唯一会话(例如每个会话的唯一客户端端口)都有自己的社区 ID,但它们共享相同的对话 ID。此设置允许在浏览复杂流数据集时具有更大的灵活性。
- 取值范围:
true、false - 默认值:
true
EF_PROCESSOR_ENRICH_CONVERSATIONID_SEED
此设置是一个 16 位值,用作用于确定流记录的对话 ID 的种子。
-
默认值:
0