MX シリーズ ルーターまたは NFX250 を使用したバージョン 9 フロー データ レコードのログ コレクターへのエクスポートの概要
フロー レコード テンプレートは、それに含まれる要素または属性の形式と構文の対応する説明を含むフィールドのコレクションを定義します。エクスポートと呼ばれるネットワーク要素(ルーターやスイッチなど)は、フロー データを蓄積し、その情報をコレクターにエクスポートします。コレクターは、イベントやシステム運用のために大量のシステム ログ メッセージを保存できるホストまたは外部デバイスです。収集されたデータは、きめ細かく、より細かいレベルの測定と統計データを提供し、非常に柔軟で詳細なリソース使用アカウンティングを実現します。コレクターに送信されるテンプレートには、エクスポートされたフロー レコード フィールドに関する構造情報が含まれています。そのため、コレクターが新しいフィールドのフォーマットを解釈できない場合でも、フローレコードを処理できます。
バージョン 9 のフロー テンプレートには、事前定義された形式があります。エクスポート パケットは、パケット ヘッダーの後に 1 つ以上の FlowSet フィールドが続いて構成されます。FlowSetフィールドには、テンプレート、データ、オプションテンプレートの3種類があります。テンプレートフローセットは、データフローセット(またはフローレコード)内のフィールドを説明します。各データ フロー セットには、同じテンプレート ID を持つ 1 つ以上のフローの値または統計情報が含まれています。インターリーブされた NetFlow バージョン 9 のエクスポート パケットには、パケット ヘッダー、Template FlowSet、Data FlowSet フィールドが含まれています。Template FlowSetフィールドは、NATエントリーの作成や割り当てられたNATエントリーのリリースなどの各イベントを示し、Data FlowSetフィールドはテンプレートフローセット(またはイベントタイプ)が関連付けられているNATセッションを示します。例えば、NATアドレスエントリーの作成、NATプール内のアドレスの枯渇、NATエントリの削除またはリリースが発生した場合、インターリーブバージョン9のエクスポートパケットにはパケットヘッダーが含まれており、NATアドレス作成用のテンプレートフローセットフィールドが1つ、アドレス作成が実行される2つのセッション用の2つのデータフローセットフィールド、NATアドレス削除用の別のテンプレートセットフィールド、 アドレス削除イベントが発生する 2 つのセッション用の 2 つの Data FlowSet フィールドと、構成済みのプール数を超えた NAT プール消費用の他の TemplateSet フィールド。
エクスポート パケットで発生する可能性のある組み合わせを以下に示します。
インターリーブされたテンプレートとデータで構成されるエクスポート パケット FlowSets - コレクター デバイスは、このようなパケットで定義されたテンプレート ID が、同じパケット内のデータ FlowSets と特定の関係があることを想定しないでください。コレクターは、常に受信したテンプレートをキャッシュし、テンプレート キャッシュを調べて、データ レコードを解釈するための適切なテンプレート ID を決定する必要があります。
データ FlowSetsで構成されるエクスポートパケット-適切なテンプレート ID が定義され、コレクターデバイスに送信された後、ほとんどのエクスポートパケットはデータフローセットのみで構成されます。
テンプレート FlowSetsで構成されるエクスポートパケット-このケースは例外ですが、テンプレートレコードのみを含むパケットを受信できます。通常、テンプレートはデータフローセットに追加されます。ただし、場合によってはテンプレートのみが送信されます。ルーターが最初に起動または再起動すると、できるだけ早くコレクターデバイスとの同期を試みます。ルーターは、コレクターデバイスが後続のデータ FlowSetを解析するのに十分な情報を持つように、迅速な速度でテンプレートフローセットを送信できます。また、テンプレート レコードのライフタイムは制限されており、定期的に更新する必要があります。テンプレートの更新間隔が発生し、コレクターデバイスに送信する必要のある適切なデータFlowSetがない場合、テンプレートFlowSetsのみで構成されるエクスポートパケットが送信されます。