Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exportieren von Datendatensätzen der Version 9 in einen Log Collector – Übersicht mit einem Router der MX-Serie oder NFX250

Eine Flussdatensatzvorlage definiert eine Sammlung von Feldern mit entsprechenden Beschreibungen des Formats und der Syntax für die darin enthaltenen Elemente oder Attribute. Netzwerkelemente (z. B. Router und Switches), die als Exporte bezeichnet werden, sammeln die Datenstromdaten an und exportieren die Informationen an Collectors, bei denen es sich um Hosts oder externe Geräte handelt, die eine große Menge solcher Systemprotokollmeldungen für Ereignisse oder Systemvorgänge speichern können. Die gesammelten Daten liefern granulare, feinere Mess- und statistische Daten für eine hochflexible und detaillierte Ressourcennutzungsrechnung. Vorlagen, die an den Kollektor gesendet werden, enthalten die strukturellen Informationen zu den exportierten Flussdatensatzfeldern. Wenn der Kollektor die Formate der neuen Felder nicht interpretieren kann, kann er den Datenfluss dennoch verarbeiten.

Die Flow-Vorlage der Version 9 verfügt über ein vordefiniertes Format. Ein Exportpaket besteht aus einem Paket-Header, gefolgt von einem oder mehreren FlowSet-Feldern. Bei den FlowSet-Feldern kann es sich um einen der drei möglichen Typen handeln: Vorlage, Daten oder Optionsvorlage. Das Vorlagen-Flowset beschreibt die Felder, die sich in den Datenflowsets (oder Flow-Datensätzen) befinden. Jedes Daten-Flowset enthält die Werte oder Statistiken eines oder mehrerer Flows mit derselben Vorlagen-ID. Ein verschachteltes NetFlow-Version 9-Exportpaket enthält die Felder "Paket-Header", "Template FlowSet" und "Data FlowSet". Ein Vorlagen-FlowSet-Feld kennzeichnet jedes Ereignis, z. B. die Erstellung eines NAT-Eintrags oder die Freigabe eines zugeordneten NAT-Eintrags, und das Feld Daten-FlowSet gibt die NAT-Sitzungen an, denen das Vorlagen-FlowSet (oder der Ereignistyp) zugeordnet ist. Wenn z. B. ein NAT-Adresseintrag erstellt wird, die Adressen in einem NAT-Pool erschöpft sind und ein NAT-Eintrag gelöscht oder freigegeben wird, enthält ein verschachteltes Exportpaket der Version 9 den Paket-Header, ein Vorlagen-FlowSet-Feld für die NAT-Adresserstellung, zwei Daten-FlowSet-Felder für die beiden Sitzungen, für die die Adresserstellung durchgeführt wird, ein weiteres TemplateSet-Feld für das Löschen von NAT-Adressen. zwei Data FlowSet-Felder für die beiden Sitzungen, für die ein Adresslöschereignis auftritt, und das andere TemplateSet-Feld für den NAT-Poolverbrauch, das die konfigurierte Anzahl von Pools überschritten hat.

Im Folgenden sind die möglichen Kombinationen aufgeführt, die in einem Exportpaket auftreten können:

  • Ein Exportpaket, das aus überlappenden Vorlagen- und Daten-FlowSets besteht: Ein Collector-Gerät sollte nicht davon ausgehen, dass die in einem solchen Paket definierten Vorlagen-IDs eine bestimmte Beziehung zu den Daten-FlowSets innerhalb desselben Pakets haben. Der Collector muss immer alle empfangenen Vorlagen zwischenspeichern und den Vorlagencache untersuchen, um die geeignete Vorlagen-ID zum Interpretieren eines Datensatzes zu ermitteln.

  • Ein Exportpaket, das ausschließlich aus Daten-FlowSets besteht: Nachdem die entsprechenden Vorlagen-IDs definiert und an das Collector-Gerät übertragen wurden, bestehen die meisten Exportpakete ausschließlich aus Daten-FlowSets.

  • Ein Exportpaket, das ausschließlich aus Vorlagen-FlowSets besteht: Obwohl dieser Fall die Ausnahme darstellt, ist es möglich, Pakete zu empfangen, die nur Vorlagendatensätze enthalten. Normalerweise werden Vorlagen an Daten-FlowSets angehängt. In einigen Fällen werden jedoch nur Vorlagen gesendet. Wenn ein Router zum ersten Mal hochgefahren oder neu gestartet wird, versucht er, sich so schnell wie möglich mit dem Collector-Gerät zu synchronisieren. Der Router kann Vorlagen-FlowSets mit einer beschleunigten Geschwindigkeit senden, sodass das Kollektorgerät über ausreichende Informationen verfügt, um alle nachfolgenden Daten-FlowSets zu analysieren. Außerdem haben Vorlagendatensätze eine begrenzte Lebensdauer und müssen regelmäßig aktualisiert werden. Wenn das Aktualisierungsintervall für eine Vorlage auftritt und kein geeignetes Daten-FlowSet vorhanden ist, das an das Collector-Gerät gesendet werden muss, wird ein Exportpaket gesendet, das nur aus Vorlagen-FlowSets besteht.