フローセンサーを使用したルールの設定
フロー インジェストの設定が完了したら、フローをセンサーとして使用してルールを作成できます。
このルールの例には、次の 3 つの要素が含まれています。
NetFlow v10 IPv4 テンプレートを使用するフロー センサー
対象のデータをキャプチャする 6 つのフィールド
トラフィックフローが予想よりも多いまたは低いときを示すトリガー
設定内容の詳細については、このセクションの最後にある使用上の注意を参照してください。
Usage Notes:
Sensor Tab:
センサー名 ipv4フローセンサー はユーザー定義です
センサーの種類は流量です
センサーは、事前定義されたテンプレートhb-ipfix-ipv4-templateを使用します
Variables Tab:
変数traffic-count-maxとtraffic-count-minは、静的に設定された整数です。この場合、値はバイト/秒を表します
これらの値は、トラフィックカウント最大フィールドとトラフィックカウント最小フィールドで参照され、総トラフィックカウントフィールドと比較するための参照ポイントを提供します
Fields Tab:
6 つのフィールドが定義されています。一部のフィールドはトリガー設定で使用され、あるフィールドは別のフィールド内で参照されます
フィールド名はユーザー定義フィールド (UDF) です
送信元-ipv4-address、宛先-ipv4-address、sensor-traffic-countの各フィールドは、フローセンサー入力から情報を抽出しています
これらのフィールドのパス値は、IPFIX 情報要素に従った名前付けを使用して、NetFlow メッセージの特定の値を識別します
フィールド source-ipv4-address と destination-ipv4-address では、[ルール キーに追加] 設定が有効になっており、このフィールドをデバイスの正常性ページにこのルールの検索可能なキーとして表示する必要があることを示しています
フィールド の合計トラフィック カウント: 10秒ごとにセンサートラフィック カウントフィールドからのIPv4パケットカウントを合計します
トラフィック-カウント-最大値とトラフィック-カウント-最小のフィールドは、単に固定値です。値は、上記で定義した変数から派生します
フィールド 集約時間範囲 - 通常、データベースに送信される情報の頻度を減らす目的で、個々のフィールド時間範囲設定よりも高い (長い) 値に設定されます
Triggers Tab:
トリガー名 traffic-measurement-trigger はユーザー定義です。
周波数90秒 - Paragon Insightsが90秒ごとにトラフィックカウントを比較
トラフィック異常-grという用語では、
$total-traffic-count(受信する IPv4 トラフィックの定期的なカウント)が $traffic-count-max(2500 Bps)より大きい場合、赤と表示し、「総トラフィック カウントは通常を上回っています。現在の総トラフィック数は$totalトラフィック数」です。
トラフィック異常-lsという用語では、次のようになります。
$total-traffic-count(受信する IPv4 トラフィックの定期的なカウント)が $traffic-count-minimum(500 Bps)未満の場合は、黄色で表示し、「総トラフィック カウントが通常を下回っています。現在の総トラフィック数は$totalトラフィック数」です。
default-termという用語では、
それ以外の場合は、緑色とメッセージを表示します:「総トラフィック数は正常です。現在の総トラフィック数は$totalトラフィック 数」です。