Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

フローセンサーを使用したルールの設定

フロー インジェストの設定が完了したら、フローをセンサーとして使用してルールを作成できます。

このルールの例には、次の 3 つの要素が含まれています。

  • NetFlow v10 IPv4 テンプレートを使用するフロー センサー

  • 対象のデータをキャプチャする 6 つのフィールド

  • トラフィックフローが予想よりも多いまたは低いときを示すトリガー

メモ:

設定内容の詳細については、このセクションの最後にある使用上の注意を参照してください。

  1. 左側のナビゲーション バーで [ 構成] > [ルール ] をクリックします。
  2. [ルール] ページで、[ + ルールの追加] ボタンをクリックします。

    [ルール] ページが更新され、ページの右側にほぼ空のルールが表示されます。

  3. ルールウィンドウの一番上の行で、トピックセットを 外部 のままにして、スラッシュ(/)の後に表示されるルール名を設定します。この例では、 定期集計フロールールです。
  4. 必要に応じて、説明と概要を追加します。
  5. [+ センサーの追加] ボタンをクリックし、[センサー] タブに次のパラメーターを入力します。
  6. 次に、[フィールド] タブに移動し、[+ フィールド の追加 ] ボタンをクリックして、最初のフィールドである source-ipv4-address を構成するパラメーターを入力します。
  7. [+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して 2 番目のフィールドである宛先 ipv4-address を設定します。
  8. [+ フィールドの追加(+ Add Field)] ボタンをもう一度クリックし、次のパラメータを入力して、3 番目のフィールドである sensor-traffic-count を設定します。
  9. [+ フィールドの追加(+ Add Field)] ボタンをもう一度クリックし、次のパラメータを入力して 4 番目のフィールド (total-traffic-count) を設定します。
  10. [+ フィールドの追加(+ Add Field )] ボタンをもう一度クリックし、次のパラメータを入力して、5 番目のフィールドである traffic-count-maximum を設定します。
  11. [+ フィールドの追加(+ Add Field )] ボタンをもう一度クリックし、次のパラメータを入力して、6 番目のフィールドである traffic-count-minimum を設定します。
  12. フィールド設定の最後の手順として、フィールド集計の時間範囲の値を 10s に設定します。
  13. 次に、[変数]タブに移動し、[+ 変数の追加]ボタンをクリックして、それぞれフィールドとフィールドの定数traffic-count-maximumtraffic-count-minimumである変数と変数を作成します。traffic-count-max traffic-count-min
    メモ:

    traffic-count-maxの定義のみがグラフィカルに表示されます。と traffic-count-min 変数の両方traffic-count-maxを設定する場合は、適切なデフォルト値を選択します。上記の値はテストのみを目的としており、ネットワークには適していない場合があります。

  14. 次に、[トリガー]タブに移動し、[+トリガーの追加]ボタンをクリックして、次のパラメーターを入力して、トラフィック測定トリガーと呼ばれるトリガーを構成します。
  15. ウィンドウの右上にある [ Save & Deploy ] ボタンをクリックします。

Usage Notes:

  • Sensor Tab:

    • センサー名 ipv4フローセンサー はユーザー定義です

    • センサーの種類は流量です

    • センサーは、事前定義されたテンプレートhb-ipfix-ipv4-templateを使用します

  • Variables Tab:

    • 変数traffic-count-maxとtraffic-count-minは、静的に設定された整数です。この場合、値はバイト/秒を表します

    • これらの値は、トラフィックカウント最大フィールドとトラフィックカウント最小フィールドで参照され、総トラフィックカウントフィールドと比較するための参照ポイントを提供します

  • Fields Tab:

    • 6 つのフィールドが定義されています。一部のフィールドはトリガー設定で使用され、あるフィールドは別のフィールド内で参照されます

    • フィールド名はユーザー定義フィールド (UDF) です

    • 送信元-ipv4-address、宛先-ipv4-addresssensor-traffic-countの各フィールドは、フローセンサー入力から情報を抽出しています

    • これらのフィールドのパス値は、IPFIX 情報要素に従った名前付けを使用して、NetFlow メッセージの特定の値を識別します

    • フィールド source-ipv4-address と destination-ipv4-address では、[ルール キーに追加] 設定が有効になっており、このフィールドをデバイスの正常性ページにこのルールの検索可能なキーとして表示する必要があることを示しています

    • フィールド の合計トラフィック カウント: 10秒ごとにセンサートラフィック カウントフィールドからのIPv4パケットカウントを合計します

    • トラフィック-カウント-最大値とトラフィック-カウント-最小のフィールドは、単に固定値です。値は、上記で定義した変数から派生します

    • フィールド 集約時間範囲 - 通常、データベースに送信される情報の頻度を減らす目的で、個々のフィールド時間範囲設定よりも高い (長い) 値に設定されます

  • Triggers Tab:

    • トリガー名 traffic-measurement-trigger はユーザー定義です。

    • 周波数90秒 - Paragon Insightsが90秒ごとにトラフィックカウントを比較

    • トラフィック異常-grという用語では、

      • $total-traffic-count(受信する IPv4 トラフィックの定期的なカウント)が $traffic-count-max(2500 Bps)より大きい場合、赤と表示し、「総トラフィック カウントは通常を上回っています。現在の総トラフィック数は$totalトラフィック数」です。

    • トラフィック異常-lsという用語では、次のようになります。

      • $total-traffic-count(受信する IPv4 トラフィックの定期的なカウント)が $traffic-count-minimum(500 Bps)未満の場合は、黄色で表示し、「総トラフィック カウントが通常を下回っています。現在の総トラフィック数は$totalトラフィック数」です。

    • default-termという用語では、

    • それ以外の場合は、緑色とメッセージを表示します:「総トラフィック数は正常です。現在の総トラフィック数は$totalトラフィック 」です。