配置流处理器
通过更改 流处理器 配置设置,您可以管理 JSA 收集和处理从设备接收的流的方式。
下表介绍了 流处理器 配置参数:
参数 |
描述 |
---|---|
最大内容捕获量 |
指定希望 流处理器 捕获并保留在流有效负载中的最大数据量(每个数据包的字节)。 |
最大数据捕获/数据包数 |
指定希望 流处理器 分析的最大数据量(每个数据包的字节)。 |
流缓冲区大小 |
指定可在内存中缓冲的最大流数。 |
最大流数 |
指定要从流处理器发送到事件收集器的最大 流 数。 |
别名自动检测 |
设置为 是 以允许 JSA 自动检测流源。 打开自动检测功能后, JSA 可以为外部流源(如路由器)自动创建流源别名。 |
移除重复流 |
如果您希望流处理器删除重复流,请将其设置为“是”。 如果网络中存在非对称流量,请将参数设置为 “否”。 |
验证 NetFlow 序列号 |
如果您希望流处理器检查传入的 NetFlow 序列号,以确保所有数据包均按顺序存在,请将此设置为“是”。 如果数据包丢失或接收顺序不正确,JSA 会显示通知。 |
外部流重复数据消除方法 |
选择要用于移除重复外部流的方法。
|
流随向窗口 |
指定 流处理器 进程保留单面流的秒数。默认设置为 6 秒。 此设置允许 JSA 有时间接收流响应。在下一个报告间隔之前,位于结转窗口内的流不会发送。 |
外部流量记录比较掩码 |
指定用于比较外部流记录的方法。 仅当您选择“ 记录” 作为用于外部流复制消除的方法时,参数才有效。 您可以选择在比较外部流记录时要使用流记录字段:
您可以组合流记录字段以包含以下组合:
|
创建超级流 |
如果您希望 JSA 将具有类似属性的流分组为一条流记录,则将其设置为“是” |
A 类超流(网络扫描) |
指定在 JSA 创建 A 类(一对多)超流之前要达到的阈值。 |
B 类超流量 (DDos) |
指定在 JSA 创建 B 类(多对一)超流之前要达到的阈值。 |
C 类超流(端口扫描) |
指定在 JSA 创建 C 类(一对一)超流之前要达到的阈值。 |
重组非对称流 |
如果您希望 JSA 重新组合非对称流,则将其设置为“是”。 |
忽略非对称超流 |
如果您希望 JSA 在启用非对称流时创建超流,请将其设置为“是”。 |
使用通用目标端口 |
如果您希望 JSA 确定是否反转流量方向,请设置为“是”。 |