フロープロセッサの設定
フロープロセッサの構成設定を変更することで、JSAがデバイスから受信したフローを収集して処理する方法を管理できます。
次の表では、 フロー プロセッサ の設定パラメータについて説明します。
パラメーター |
説明 |
---|---|
最大コンテンツキャプチャ |
フロープロセッサがキャプチャしてフローペイロードに保持するデータの最大量(パケットあたりのバイト数)を指定します。 |
最大データキャプチャ/パケット |
フロー プロセッサが分析するデータの最大量(パケットあたりのバイト数)を指定します。 |
フロー バッファー サイズ |
メモリ内にバッファリングできるフローの最大数を指定します。 |
最大フロー数 |
フロープロセッサからイベントコレクタに送信するフローの最大数を指定します。 |
エイリアス自動検出 |
JSAがフローソースを自動検出できるようにするには、はいに設定します。 自動検出をオンにすると、 JSA はルーターなどの外部フローソースのフローソースエイリアスを自動的に作成できます。 |
重複するフローを削除する |
フロー プロセッサで重複するフローを削除する場合は、これを [はい(Yes)] に設定します。 ネットワーク内に非対称トラフィックがある場合は、このパラメーターを [いいえ] に設定します。 |
NetFlow シーケンス番号の確認 |
フロー プロセッサが着信 NetFlow シーケンス番号をチェックして、すべてのパケットが存在し、順序に従っていることを確認する場合は、これを [はい(Yes)] に設定します。 JSA は、パケットが欠落しているか、誤った順序で受信された場合に通知を表示します。 |
外部フロー重複除外方式 |
重複する外部フローの削除に使用する方法を選択します。
|
フローキャリーオーバーウィンドウ |
フロープロセッサプロセスが片側フローを保持する秒数を指定します。デフォルト設定は 6 秒です。 この設定により、 JSA がフローレスポンスを受信する時間が与えられます。持ち越しウィンドウ内にあるフローは、次のレポート間隔まで送信されません。 |
外部フロー・レコード比較マスク |
外部フロー レコードの比較に使用する方法を指定します。 このパラメーターは、外部フローの重複除外に使用する方法として [ 記録 ] を選択した場合にのみ有効です。 外部フロー レコードを比較するときに使用するフロー レコード フィールドを選択できます。
フロー レコード フィールドを組み合わせて、次の組み合わせを含めることができます。
|
スーパーフローの作成 |
JSAで類似したプロパティを持つフローを1つのフローレコードにグループ化する場合は、これを[はい]に設定します。 |
タイプ A スーパーフロー (ネットワーク・スキャン) |
JSAがタイプA(1対多)スーパーフローを作成する前に到達するしきい値を指定します。 |
タイプ B スーパーフロー(DDos) |
JSAがタイプB(多対1)のスーパーフローを作成する前に到達するしきい値を指定します。 |
タイプCスーパーフロー(ポートスキャン) |
JSAがタイプC(1対1)スーパーフローを作成する前に到達するしきい値を指定します。 |
非対称フローの再結合 |
JSA で非対称フローを再結合する場合は、これを Yes に設定します。 |
非対称スーパーフローを無視 |
非対称フローが有効になっているときにJSAでスーパーフローを作成する場合は、これをYesに設定します。 |
共通の宛先ポートを使用 |
フロー方向を反転するかどうかをJSAに決定させる場合は、これを はい に設定します。 |