Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置流处理器

通过更改 流处理器 配置设置,您可以管理 JSA 收集和处理从设备接收的流的方式。

下表介绍了 流处理器 配置参数:

表 1:流处理器配置参数

参数

描述

最大内容捕获量

指定希望 流处理器 捕获并保留在流有效负载中的最大数据量(每个数据包的字节)。

最大数据捕获/数据包数

指定希望 流处理器 分析的最大数据量(每个数据包的字节)。

流缓冲区大小

指定可在内存中缓冲的最大流数。

最大流数

指定要从流处理器发送到事件收集器的最大 数。

别名自动检测

设置为 以允许 JSA 自动检测流源。

打开自动检测功能后, JSA 可以为外部流源(如路由器)自动创建流源别名。

移除重复流

如果您希望流处理器删除重复流,请将其设置为“是”。

如果网络中存在非对称流量,请将参数设置为 “否”。

验证 NetFlow 序列号

如果您希望流处理器检查传入的 NetFlow 序列号,以确保所有数据包均按顺序存在,请将此设置为“是”。

如果数据包丢失或接收顺序不正确,JSA 会显示通知。

外部流重复数据消除方法

选择要用于移除重复外部流的方法。

  • 选择 以比较始发流源。

    此方法会将导出当前外部流记录的设备的 IP 地址与导出流第一条外部记录的设备的 IP 地址进行比较。如果 IP 地址不匹配,则当前外部流记录将被丢弃。

  • 选择 “记录 ”以比较各个外部流记录。

    此方法记录设备检测到的每个外部流记录列表,并将每个后续记录与该列表进行比较。如果在列表中找到当前记录,则记录将被丢弃。

    如果选择此方法,还必须设置 外部流记录比较掩码 参数。

流随向窗口

指定 流处理器 进程保留单面流的秒数。默认设置为 6 秒。

此设置允许 JSA 有时间接收流响应。在下一个报告间隔之前,位于结转窗口内的流不会发送。

外部流量记录比较掩码

指定用于比较外部流记录的方法。

仅当您选择“ 记录” 作为用于外部流复制消除的方法时,参数才有效。

您可以选择在比较外部流记录时要使用流记录字段:

  • D(指示)

  • B(字节计数)

  • P(数据包计数)

您可以组合流记录字段以包含以下组合:

  • DBP 选项使用方向、字节计数和数据包计数。

  • XBP 选项使用字节计数和数据包计数。

  • DXP 选项使用方向和数据包计数。

  • DBX 选项使用方向和字节计数。

  • DXX 选项使用方向。

  • XBX 选项使用字节计数。

  • XXP 选项使用数据包计数。

创建超级流

如果您希望 JSA 将具有类似属性的流分组为一条流记录,则将其设置为“是”

A 类超流(网络扫描)

指定在 JSA 创建 A 类(一对多)超流之前要达到的阈值。

B 类超流量 (DDos)

指定在 JSA 创建 B 类(多对一)超流之前要达到的阈值。

C 类超流(端口扫描)

指定在 JSA 创建 C 类(一对一)超流之前要达到的阈值。

重组非对称流

如果您希望 JSA 重新组合非对称流,则将其设置为“是”。

忽略非对称超流

如果您希望 JSA 在启用非对称流时创建超流,请将其设置为“是”。

使用通用目标端口

如果您希望 JSA 确定是否反转流量方向,请设置为“是”。

  1. 在导航菜单上,单击 “管理员”。
  2. “系统配置 ”部分,单击“ 系统和许可证管理”。
  3. 显示 列表中,选择 系统,然后选择要配置的 流处理器
  4. “部署操作” 菜单上,单击 “编辑主机”。
  5. 单击 “组件管理”旁边的齿轮图标。
  6. 编辑配置选项,然后单击 保存
  7. 为部署中的每个 流处理器 重复配置步骤。
  8. 关闭 系统和许可证管理 窗口。
  9. 部署更改。

    这将在您修改的每个托管主机上重新启动 流处理器 进程。