Colector de flujo Apstra
Entradas
- EF_FLOW_SERVER_UDP_IP
- EF_FLOW_SERVER_UDP_PORT
- EF_FLOW_SERVER_UDP_READ_BUFFER_MAX_SIZE
- EF_FLOW_PACKET_STREAM_MAX_SIZE
EF_FLOW_SERVER_UDP_IP
El recopilador de flujo de Apstra recibe registros de flujo de red a través de UDP. Utilice esta configuración para especificar la dirección IP de la interfaz en la que el recopilador escuchará.
- Valores válidos:
0.0.0.0o cualquier dirección IP válida a la que se pueda vincular el socket UDP. - Dirección IP predeterminada:
0.0.0.0(escucha en todas las interfaces)
EF_FLOW_SERVER_UDP_PORT
Utilice esta configuración para especificar el puerto UDP en el que el recopilador crea un socket para recibir los paquetes entrantes. Puede especificar varios puertos separados por una coma. Por ejemplo: 2055,6343,4739.
Valores válidos: cualquier número de puerto válido.
Los valores comunes incluyen:
2055: puerto estándar de flujo de red4739: Puerto estándar IPFIX6343: puerto estándar de sFlow9995-9998: Números de puerto de uso común
EF_FLOW_SERVER_UDP_READ_BUFFER_MAX_SIZE
El tamaño (en bytes) del búfer de recepción UDP que solicita el servidor UDP es creado por el kernel del sistema operativo cuando se crea el socket. Si este valor supera el tamaño máximo permitido de búfer (net.core.rmem_max en Linux), se utiliza el tamaño máximo permitido.
- Predeterminado:
33554432
EF_FLOW_PACKET_STREAM_MAX_SIZE
- Predeterminado:
16384bytes
Decodificador/procesador
- EF_PROCESSOR_DECODE_IPFIX_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW1_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW5_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW6_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW7_ENABLE
- EF_PROCESSOR_DECODE_NETFLOW9_ENABLE
- EF_PROCESSOR_DECODE_SFLOW5_ENABLE
- EF_PROCESSOR_DECODE_SFLOW_FLOWS_ENABLE
- EF_PROCESSOR_DECODE_SFLOW_FLOWS_KEEP_SAMPLES
- EF_PROCESSOR_DECODE_SFLOW_COUNTERS_ENABLE
- EF_PROCESSOR_DECODE_MAX_RECORDS_PER_PACKET
- EF_PROCESSOR_TRANSLATE_KEEP_IDS
- EF_PROCESSOR_ENRICH_ASN_PREF
- EF_PROCESSOR_ENRICH_JOIN_ASN
- EF_PROCESSOR_ENRICH_JOIN_GEOIP
- EF_PROCESSOR_ENRICH_JOIN_NETATTR
- EF_PROCESSOR_ENRICH_JOIN_SUBNETATTR
- EF_PROCESSOR_ENRICH_JOIN_SEC
- EF_PROCESSOR_EXPAND_CLISRV
- EF_PROCESSOR_EXPAND_CLISRV_NO_L4_PORTS
- EF_PROCESSOR_IFA_ENABLE
- EF_PROCESSOR_IFA_WORKER_SIZE
EF_PROCESSOR_DECODE_IPFIX_ENABLE
Establézcalo en true para habilitar la decodificación de registros IPFIX.
- Valores válidos:
true,false - Predeterminado:
true
EF_PROCESSOR_DECODE_NETFLOW1_ENABLE
Establézcalo en true para habilitar la decodificación de registros de Netflow v1.
- Valores válidos:
true,false - Predeterminado:
true
EF_PROCESSOR_DECODE_NETFLOW5_ENABLE
Establézcalo en true para habilitar la decodificación de registros de Netflow v5.
- Valores válidos:
true,false - Predeterminado:
true
EF_PROCESSOR_DECODE_NETFLOW6_ENABLE
Establézcalo en true para habilitar la decodificación de registros de Netflow v6.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_DECODE_NETFLOW7_ENABLE
Establézcalo en true para habilitar la decodificación de registros de Netflow v7.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_DECODE_NETFLOW9_ENABLE
Establézcalo en true para habilitar la decodificación de registros de Netflow v9.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_DECODE_SFLOW5_ENABLE
Establézcalo en true para habilitar la decodificación de registros de sFlow v5.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_DECODE_SFLOW_FLOWS_ENABLE
Establézcalo en true para habilitar la decodificación de sFlow flow_sample y flow_sample_expanded registros.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_DECODE_SFLOW_FLOWS_KEEP_SAMPLES
Cuando se establece en true, los datos del paquete de un registro sFlow sampled_header se almacenan como una cadena codificada en l2.section.sample hexadecimal.
- Valores válidos:
true,false - Predeterminado:
false
EF_PROCESSOR_DECODE_SFLOW_COUNTERS_ENABLE
Establézcalo en true para habilitar la decodificación de sFlow counters_sample y counters_sample_expanded registros.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_DECODE_MAX_RECORDS_PER_PACKET
Los paquetes dañados pueden causar problemas al decodificar registros. Para evitar esto, puede usar esta configuración para limitar la cantidad de registros que se decodificarán de un paquete. Cuando la red entre el dispositivo y el recopilador tiene una UMT mayor que 1500, los paquetes normales pueden superar el valor predeterminado. La EF_PROCESSOR_DECODE_MAX_RECORDS_PER_PACKET configuración le permite aumentar el umbral, cuando sea necesario.
- Valor predeterminado:
64
EF_PROCESSOR_TRANSLATE_KEEP_IDS
Utilice esta configuración para especificar los valores de identificador que se incluirán en el conjunto de datos final.
Valores válidos:
none: Todos los identificadores se eliminan del conjunto de datos final.default: La mayoría de los identificadores se eliminan del conjunto de datos final. Tenga en cuenta que algunos identificadores necesarios para casos de uso comunes (como los valores de puerto de protocolo sin procesar) se incluyen en el conjunto de datos final.all: Todos los identificadores se incluyen en el conjunto de datos final.- Valor predeterminado:
default
EF_PROCESSOR_ENRICH_ASN_PREF
Si habilita el enriquecimiento con atributos de sistema autónomo (AS) y si AS ya está indicado directamente en los datos del registro de flujo, puede utilizar la EF_PROCESSOR_ENRICH_ASN_PREF configuración para especificar qué origen se prefiere. Si el origen preferido no está disponible para un registro determinado, el descodificador recurre a la opción alternativa.
- Valores válidos:
lookup: El AS se determina mediante la búsqueda.flow: El AS se indica directamente en los datos del registro de flujo.
- Valor predeterminado:
lookup
EF_PROCESSOR_ENRICH_JOIN_ASN
Algunas entidades requieren que los valores relacionados de campos separados se almacenen como una matriz en un solo campo. Una combinación de campos relacionados con el AS se habilita cuando EF_PROCESSOR_ENRICH_JOIN_ASN se establece en true.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_ENRICH_JOIN_GEOIP
Algunas entidades requieren que los valores relacionados de campos separados se almacenen como una matriz en un solo campo. Se habilita una combinación de campos relacionados con GeoIP cuando EF_PROCESSOR_ENRICH_JOIN_GEOIP se establece en true.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_ENRICH_JOIN_NETATTR
Algunas entidades requieren que los valores relacionados de campos separados se almacenen como una matriz en un solo campo. Una unión de campos relacionados con atributos de red se habilita cuando EF_PROCESSOR_ENRICH_JOIN_NETATTR se establece en true.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_ENRICH_JOIN_SUBNETATTR
Algunas entidades requieren que los valores relacionados de campos separados se almacenen como una matriz en un solo campo. Una combinación de campos relacionados con atributos de subred IP está habilitada cuando EF_PROCESSOR_ENRICH_JOIN_SUBNETATTR se establece en true.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_ENRICH_JOIN_SEC
Algunas entidades requieren que los valores relacionados de campos separados se almacenen como una matriz en un solo campo. Una combinación de campos relacionados con atributos de seguridad se habilita cuando EF_PROCESSOR_ENRICH_JOIN_SEC se establece en true.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_EXPAND_CLISRV
El recopilador infiere la relación cliente/servidor de dos puntos de conexión de origen/destino. La EF_PROCESSOR_EXPAND_CLISRV configuración determina si la inferencia está habilitada o deshabilitada.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_EXPAND_CLISRV_NO_L4_PORTS
En el caso de los registros de flujo relacionados con protocolos que incluyen "puertos sin capa 4", el recopilador infiere la relación cliente/servidor de los dos puntos de conexión de origen y destino mediante el orden de las direcciones IP. Utilice esta EF_PROCESSOR_EXPAND_CLISRV_NO_L4_PORTS configuración para habilitar o deshabilitar la inferencia. La configuración predeterminada es true.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_IFA_ENABLE
- Valores válidos:
true,false - Valor predeterminado:
false
EF_PROCESSOR_IFA_WORKER_SIZE
Se utiliza para especificar el número de procesadores de registro de salto IFA que se van a iniciar.
- Número predeterminado:
4 * the number of license units
Frecuencias de muestreo
Devices can sample packets to reduce the overall volume of traffic metered for flow accounting, The various sampling rate configuration options are described as follows:
- fEF_PROCESSOR_ENRICH_SAMPLERATE_CACHE_SIZE
- EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_ENABLE
- EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_PATH
- EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_OVERRIDE
fEF_PROCESSOR_ENRICH_SAMPLERATE_CACHE_SIZE
El recopilador de flujo de Apstra ajusta el cálculo de bytes y paquetes en función de la frecuencia de muestreo utilizada. Por lo general, los dispositivos informan al recolector de la frecuencia de muestreo, ya sea dentro del registro de flujo o como datos opcionales enviados periódicamente por el dispositivo. Utilice la EF_PROCESSOR_ENRICH_SAMPLERATE_CACHE_SIZE configuración para especificar el tamaño de la memoria caché que se utilizará para contener la información de frecuencia de muestreo aprendida de los datos de opciones.
- Valor predeterminado:
32768
EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_ENABLE
A veces, es posible que un dispositivo no transmita información sobre la frecuencia de muestreo para la que está configurado. Utilice la EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_ENABLE configuración para definir estáticamente la frecuencia de muestreo en el archivo proporcionado al recopilador.
- Valores válidos:
true,false - Valor predeterminado:
false
EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_PATH
Si se configuran frecuencias de muestreo estáticas para dispositivos en un archivo, la EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_PATH configuración especifica la ruta desde la que se puede cargar ese archivo.
Por ejemplo:
'192.0.2.1': 1024 '192.0.2.2': 512
La ruta predeterminada es: /etc/flowdata/settings/sample_rate.yml
EF_PROCESSOR_ENRICH_SAMPLERATE_USERDEF_OVERRIDE
En algunos casos de uso, es posible que desee usar una frecuencia de muestreo definida por el usuario en lugar de la velocidad proporcionada por el dispositivo. Establezca la PROCESSOR_ENRICH_SAMPLERATE_USERDEF_OVERRIDE configuración en true para comprobar si hay una velocidad definida por el usuario, incluso si el dispositivo ya ha proporcionado una tasa.
- Valores válidos:
true,false - Valor predeterminado:
false
Configuración general
EF_PROCESSOR_ENRICH_TOTALS_IF_NO_DELTAS
La mayoría de los exportadores de flujo proporcionan cantidades de bytes y paquetes como valores delta . Los valores delta hacen referencia a las cantidades de bytes y paquetes desde que se notificó el último registro de flujo. Sin embargo, algunos exportadores, como el enrutador de la serie MX de Juniper que envía IPFIX, proporcionan estas cantidades solo como valores totales . Los valores totales se refieren a la cantidad durante toda la vida útil del flujo.
En los casos en los que el exportador envía solo totales, es posible que desee utilizar estos valores para rellenar el flow.bytes archivo y flow.packets. Cuando EF_PROCESSOR_ENRICH_TOTALS_IF_NO_DELTAS se establece en true, se utilizan las cantidades totales .
Las cantidades totales pueden ser problemáticas para muchos almacenes de datos. Una simple suma de valores totales en varios registros dentro de una ventana de tiempo no producirá una cantidad precisa, como ocurre con los valores delta . Como resultado, los flujos de larga duración pueden notificar en exceso los valores de bytes y paquetes si se utilizan valores totales .
- Valores válidos:
true,false - Valor predeterminado:
true
Aplicaciones
- EF_PROCESSOR_ENRICH_APP_ID_ENABLE
- EF_PROCESSOR_ENRICH_APP_ID_PATH
- EF_PROCESSOR_ENRICH_APP_ID_TTL
- EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE
- EF_PROCESSOR_ENRICH_APP_IPPORT_PATH
- EF_PROCESSOR_ENRICH_APP_IPPORT_TTL
- EF_PROCESSOR_ENRICH_APP_IPPORT_PRIVATE
- EF_PROCESSOR_ENRICH_APP_IPPORT_PUBLIC
- EF_PROCESSOR_ENRICH_APP_REFRESH_RATE
EF_PROCESSOR_ENRICH_APP_ID_ENABLE
- Valores válidos:
true,false - Predeterminado:
false
EF_PROCESSOR_ENRICH_APP_ID_PATH
Si el AppID definido por el proveedor para las asignaciones de atributos de aplicación está habilitado (EF_PROCESSOR_ENRICH_APP_ID_ENABLE is true), esta configuración especifica la ruta al archivo.
La ruta predeterminada es: /etc/flowdata/app/appid.yml
EF_PROCESSOR_ENRICH_APP_ID_TTL
Utilice esta configuración para especificar el período de tiempo que se almacenan en caché los atributos de la aplicación después de que se obtengan inicialmente.
Los cambios en los archivos subyacentes no se realizan (incluso después de que los archivos se hayan vuelto a cargar en el intervalo de actualización) hasta que el AppID haya expirado de la memoria caché.
- Valor predeterminado:
7200
EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE
Varios orígenes de registros de flujo envían la asignación de ID de aplicación a nombres de aplicaciones como datos de opción. En los casos en que no haya tecnología de identidad de aplicaciones disponible, puede especificar aplicaciones por dirección IP y número de puerto.
- Valores válidos:
true,false - Valor predeterminado:
false
EF_PROCESSOR_ENRICH_APP_IPPORT_PATH
Cuando se habilitan las asignaciones de IP/puerto a aplicación definidas por el usuario, la configuración (EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE es true) especifica la ruta a este archivo.
Por ejemplo:
192.168.1.0/24:
8090:
name: "Synergy-cidr-port"
category: "category-cidr-port"
subcategory: "subcategory-cidr-port"
metadata:
".location": "austin-cidr-port"
"business.unit": "finance-cidr-port"
"dev.unit": "dev-cidr-port"
"app.count": 27
192.168.1.1-192.168.1.20:
8090:
name: "Synergy-iprange-port"
category: "category-iprange-port"
subcategory: "subcategory-iprange-port"
metadata:
.location: "austin-iprange-port"
8090-9000:
name: "Synergy-iprange-portrange"
category: "category-iprange-portrange"
subcategory: "subcategory-iprange-portrange"
metadata:
.location: "austin-iprange-portrange"
business.unit: "finance-iprange-portrange"
qa.unit: "qa-iprange-portrange"
finace.unit: "finance-iprange-portrange"
192.168.1.1:
8090:
name: "Synergy-ip-port"
category: "category-ip-port"
subcategory: "subcategory-ip-port"
metadata:
.location: "austin-ip-port"
business.unit: "finance-ip-port"
- Ruta predeterminada:
/etc/flowdata/app/ipport.yml
EF_PROCESSOR_ENRICH_APP_IPPORT_TTL
Utilice esta configuración para especificar el período de tiempo que los atributos de aplicación se almacenan en caché después de que se obtienen inicialmente.
No se realizan cambios en los archivos subyacentes, incluso después de que los archivos se hayan vuelto a cargar en el intervalo de actualización, hasta que la IP/puerto haya caducado de la caché.
- Valor predeterminado:
7200
EF_PROCESSOR_ENRICH_APP_IPPORT_PRIVATE
Si los atributos de aplicación definidos por el usuario están habilitados (EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE is true), esta configuración especifica si se comprueban los nombres de aplicación para direcciones IP privadas.
- Valores válidos:
true,false - Predeterminado:
true
EF_PROCESSOR_ENRICH_APP_IPPORT_PUBLIC
Si los atributos de aplicación definidos por el usuario están habilitados (EF_PROCESSOR_ENRICH_APP_IPPORT_ENABLE is true), esta configuración especifica si los nombres de aplicación se comprueban para las direcciones IP públicas.
- Valores válidos:
true,false - Valor predeterminado:
false
EF_PROCESSOR_ENRICH_APP_REFRESH_RATE
Los archivos definidos para el enriquecimiento de atributos de la aplicación se pueden cargar automáticamente para actualizar los valores sin reiniciar el recopilador. Utilice esta configuración para especificar el intervalo de actualización, en minutos, en el que se volverá a cargar el archivo.
- Valor predeterminado:
15(0valor deshabilita esta configuración)
Direcciones IP
Resolución de nombres
Puede configurar el recopilador para resolver las direcciones IP en nombres de host. La siguiente configuración permite que esta característica se ajuste a las necesidades de su entorno.
- EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE
- EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_IP
- EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_TIMEOUT
- EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PRIVATE
- EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PUBLIC
- EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_PATH
- EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_REFRESH_RATE
- EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_PATH
- EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_REFRESH_RATE
EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE
Utilice esta configuración para habilitar las búsquedas inversas de DNS de las direcciones IP que se encuentran en los registros de flujo recibidos.
- Valores válidos:
true,false - Valor predeterminado:
false
EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_IP
El recopilador utiliza la resolución de nombres configurada del sistema operativo para resolver las direcciones IP en nombres de host. Este es el comportamiento predeterminado. Opcionalmente, puede especificar un servidor de nombres para usar en su lugar.
Si está configurado, esta opción debe contener una dirección IP válida.
- Predeterminado:
empty
EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_TIMEOUT
Si EF_PROCESSOR_ENRICH_IPADDR_DNS_NAMESERVER_IP contiene una dirección IP válida, esta configuración contiene el período de tiempo de espera, en milisegundos, para las consultas al servidor de nombres.
- Predeterminado:
3000
EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PRIVATE
Cuando la resolución DNS está habilitada (EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE es true), esta configuración especifica si las direcciones IP privadas se resolverán en nombres de host.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_ENRICH_IPADDR_DNS_RESOLVE_PUBLIC
Si la resolución DNS está habilitada (EF_PROCESSOR_ENRICH_IPADDR_DNS_ENABLE establecida en true), esta configuración especifica si las direcciones IP públicas se resolverán en nombres de host.
- Valores válidos:
true,false - Predeterminado:
true
EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_PATH
La EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_PATH configuración especifica la ruta al archivo que contiene las asignaciones de nombre de host definidas por el usuario. Esta característica solo se habilita si se configura una ruta de acceso; de lo contrario, se deshabilita.
'192.0.2.1': 'host1' '192.0.2.2': 'host2'
- Configuración predeterminada:
'' - Ruta recomendada:
/etc/flowdata/hostname/user_defined.yml
EF_PROCESSOR_ENRICH_IPADDR_DNS_USERDEF_REFRESH_RATE
Utilice esta configuración para cargar automáticamente los valores de actualización sin reiniciar el recopilador. El valor que especifique indica el tiempo del intervalo de actualización, en minutos, que tardará el archivo en volver a cargarse.
- Valor predeterminado:
15(si se establece en0, los valores de actualización están deshabilitados)
EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_PATH
Para tener más control sobre cuándo se aplica el enriquecimiento, puede incluir o excluir direcciones IP del enriquecimiento de nombres de host mediante AS o CIDR. Utilice esta configuración para especificar la ruta al inclu_excl.yml archivo. Para obtener más información acerca de la funcionalidad de inclusión/exclusión, vea Enriquecimiento de ámbito con inclusión/exclusión.
- Configuración predeterminada:
'' - Ruta recomendada:
/etc/flowdata/hostname/incl_excl.yml
EF_PROCESSOR_ENRICH_IPADDR_DNS_INCLEXCL_REFRESH_RATE
Utilice esta configuración para actualizar automáticamente los valores sin reiniciar el recopilador. El valor que especifique indica el intervalo de actualización, en minutos, que tardará el archivo en volver a cargarse.
- Valor predeterminado:
15(si se establece en0, los valores de actualización están deshabilitados)
Maxmind
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_PATH
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE
Use esta configuración (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE is true) para permitir que el recopilador determine los atributos asociados con los AS a los que pertenece una dirección IP pública.
- Valores válidos:
true,false - Valor predeterminado:
false
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_PATH
Utilice esta configuración para especificar la ruta a la base de datos Maxmind. El enriquecimiento con atributos de AS se habilita mediante búsquedas en una base de datos Maxmind cuando EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_ASN_ENABLE es true.
- Ruta predeterminada:
/etc/flowdata/maxmind/GeoLite2-ASN.mmdb
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE
Establézcalo EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE para true permitir que el recopilador determine los atributos GeoIP asociados con una dirección IP pública.
- Valores válidos:
true,false - Valor predeterminado:
false
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_PATH
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_VALUES
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_LANG
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
- EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_PATH
Si el enriquecimiento con atributos GeoIP está habilitado mediante búsquedas en una base de datos Maxmind (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE es true), esto especifica la ruta a la base de datos Maxmind.
- Ruta predeterminada:
/etc/flowdata/maxmind/GeoLite2-City.mmdb
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_VALUES
Si el enriquecimiento con atributos GeoIP está habilitado mediante búsquedas en una base de datos Maxmind (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE is true), esta configuración especifica los atributos GeoIP de la base de datos Maxmind que se incluirán en el registro resultante.
- Valores válidos:
city,continent,continent_code, ,country,country_code,location,timezone
- Valores predeterminados:
city,country,country_code,location,timezone
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_LANG
Si el enriquecimiento con atributos GeoIP está habilitado mediante búsquedas en una base de datos Maxmind (EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_ENABLE is true), esta configuración especifica el idioma que se utilizará para cualquier valor específico del idioma.
- Valores válidos
de:Alemánen:Ingléses:Españolfr:Francésja:Japonéspt-BR: Portugués de Brasilru:Rusozh-CN: Chino simplificado
- Valor predeterminado:
en
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH
Para tener más control sobre cuándo se aplica el enriquecimiento, puede incluir o excluir direcciones IP del enriquecimiento GeoIP mediante AS o CIDR. La EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH configuración especifica la ruta al incl_excl.yml archivo.
- Configuración predeterminada:
'' - Ruta recomendada:
/etc/flowdata/hostname/incl_excl.yml
Para obtener más información sobre la funcionalidad de inclusión/exclusión, consulte Enriquecimiento de ámbito con inclusión/exclusión.
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
El archivo especificado en EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH se puede cargar automáticamente para actualizar los valores sin reiniciar el recopilador. Utilice esta configuración para especificar el intervalo de actualización, en minutos, que tardará el archivo en volver a cargarse.
- Valor predeterminado:
15(Nota: cuando se establece en0, no se utiliza el intervalo de actualización).
EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_REFRESH_RATE
El archivo especificado en EF_PROCESSOR_ENRICH_IPADDR_MAXMIND_GEOIP_INCLEXCL_PATH se puede cargar automáticamente para actualizar los valores sin reiniciar el recopilador. Utilice esta configuración para especificar el intervalo de actualización, en minutos, que tardará el archivo en volver a cargarse.
- Valor predeterminado:
15(Nota: cuando este valor se establece en0, no se utiliza el intervalo de actualización).
Metadatos definidos por el usuario
Los metadatos definidos por el usuario agregan información adicional a un registro para una dirección IP determinada. También se puede utilizar para anular los campos existentes. Puede especificar metadatos para bloques CIDR, rangos de IP o direcciones IP individuales.
- EF_PROCESSOR_ENRICH_IPADDR_METADATA_ENABLE
- EF_PROCESSOR_ENRICH_IPADDR_METADATA_USERDEF_PATH
- EF_PROCESSOR_ENRICH_IPADDR_METADATA_REFRESH_RATE
EF_PROCESSOR_ENRICH_IPADDR_METADATA_ENABLE
Utilice esta configuración para habilitar o deshabilitar el enriquecimiento de metadatos definidos por el usuario. El valor predeterminado es true.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_ENRICH_IPADDR_METADATA_USERDEF_PATH
Si el enriquecimiento de metadatos definido por el usuario está habilitado (EF_PROCESSOR_ENRICH_IPADDR_METADATA_ENABLE is true), esta configuración especifica la ruta al archivo de metadatos. Si este valor no está definido o está vacío, se deshabilita el enriquecimiento de metadatos.
Para obtener más información sobre la funcionalidad de metadatos definidos por el usuario, consulte: Enriquecimiento de metadatos definidos por el usuario.
- Valor predeterminado:
'' - Ruta recomendada:
/etc/flowdata/metadata/ipaddrs.yml
EF_PROCESSOR_ENRICH_IPADDR_METADATA_REFRESH_RATE
El archivo especificado en EF_PROCESSOR_ENRICH_IPADDR_METADATA_USERDEF_PATH se puede cargar automáticamente para actualizar los valores sin reiniciar el recopilador. Este valor especifica el intervalo de actualización, en minutos, en el que se volverá a cargar el archivo. El valor de 0 deshabilita la actualización de los valores.
- Valor predeterminado:
15
Interfaces de red
Registros de opciones
El recopilador de Apstra Flow intentará determinar los atributos de la interfaz de red aprendidos de los registros de opción de Netflow v9 o IPFIX.
EF_PROCESSOR_ENRICH_NETIF_FLOW_OPTIONS_ENABLE
Si se establece este valor en false se deshabilitará el enriquecimiento de registros con atributos de interfaz aprendidos de los registros de opciones de NetFlow o IPFIX.
- Valores válidos:
true,false - Valor predeterminado:
true
SNMP
Los registros de flujo generalmente incluyen los índices de las interfaces de entrada y salida por las que el tráfico de red atravesó el dispositivo exportador. El recopilador intentará determinar los nombres y atributos de estas interfaces tal como se aprendieron mediante el sondeo del dispositivo exportador mediante SNMP.
- EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE
- EF_PROCESSOR_ENRICH_NETIF_SNMP_PORT
- EF_PROCESSOR_ENRICH_NETIF_SNMP_VERSION
- EF_PROCESSOR_ENRICH_NETIF_SNMP_COMMUNITIES
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_USERNAME
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PROTOCOL
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PASSPHRASE
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PROTOCOL
- EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PASSPHRASE
- EF_PROCESSOR_ENRICH_NETIF_SNMP_TIMEOUT
- EF_PROCESSOR_ENRICH_NETIF_SNMP_RETRIES
EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE
Utilice esta configuración para especificar si se deben utilizar sondeos SNMP para recopilar los atributos de la interfaz de red.
- Valores válidos:
true,false - Valor predeterminado:
false
EF_PROCESSOR_ENRICH_NETIF_SNMP_PORT
Si el sondeo SNMP de atributos está habilitado (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE is true), esta configuración especifica el puerto UDP que se utiliza para dichos sondeos.
- Puerto UDP predeterminado:
161(el número de puerto SNMP predeterminado)
EF_PROCESSOR_ENRICH_NETIF_SNMP_VERSION
Si el sondeo SNMP de atributos está habilitado (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE is true), esta configuración especifica la versión SNMP que se utiliza para dichos sondeos.
Todos los dispositivos de red sondeados deben ser compatibles con esta versión de SNMP.
Valores válidos:
1: SNMPv12: SNMPv2c3: SNMPv3
EF_PROCESSOR_ENRICH_NETIF_SNMP_COMMUNITIES
Si el sondeo SNMP de atributos está habilitado (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE is true), esta configuración especifica las cadenas de comunidad SNMP que se pueden utilizar para dichos sondeos. Si se especifica una lista separada por comas, el recopilador probará cada comunidad en el orden especificado. Una vez que una comunidad devuelve una respuesta correcta, el recopilador recuerda a la comunidad para futuras encuestas del dispositivo.
Todos los dispositivos de red sondeados deben configurarse para que todos los atributos de visibilidad recopilados mediante esta comunidad. Puede ser necesario especificar una vista asociada con esta comunidad. Consulte la documentación de sus dispositivos para obtener ayuda para determinar los pasos de configuración correctos.
- Ejemplo:
public,private,whatever - Configuración predeterminada:
public
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_USERNAME
Utilice esta configuración para especificar el nombre de usuario utilizado para autenticar el dispositivo mediante SNMPv3.
- Configuración predeterminada:
''
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PROTOCOL
Utilice esta configuración para especificar el protocolo de autenticación utilizado para autenticar el nombre de usuario con el dispositivo mediante SNMPv3.
Valores válidos:
noauth,md5,sha, ,sha224,sha256,sha384,sha512- Valor predeterminado:
noauth
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_AUTHENTICATION_PASSPHRASE
Utilice esta configuración para especificar la frase de contraseña de autenticación utilizada para autenticar el nombre de usuario con el dispositivo mediante SNMPv3.
- Frase de contraseña predeterminada:
''
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PROTOCOL
Utilice esta configuración para especificar el protocolo de privacidad utilizado para cifrar el tráfico SNMPv3 entre la entrada SNMP y el dispositivo.
Valores válidos:
nopriv,des,aes, ,aes192,aes256,aes192c,aes256c- Valor predeterminado:
nopriv
EF_PROCESSOR_ENRICH_NETIF_SNMP_V3_PRIVACY_PASSPHRASE
Utilice esta configuración para especificar la frase de contraseña de privacidad utilizada para cifrar el tráfico SNMPv3 entre la entrada SNMP y el dispositivo.
- Frase de contraseña predeterminada:
''
EF_PROCESSOR_ENRICH_NETIF_SNMP_TIMEOUT
Si el sondeo de atributos SNMP está habilitado (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE set true), esta configuración especifica el número de segundos que debe esperar el dispositivo sondeado para responder.
- Valor predeterminado:
2
EF_PROCESSOR_ENRICH_NETIF_SNMP_RETRIES
Si el sondeo SNMP de atributos está habilitado (EF_PROCESSOR_ENRICH_NETIF_SNMP_ENABLE is true), esta configuración especifica el número de reintentos que se intentarán después de que se haya agotado el tiempo de espera del sondeo inicial o se produzca un error. El período de tiempo de espera se duplica para cada reintento.
- Valor predeterminado:
1
Metadatos definidos por el usuario
Los metadatos definidos por el usuario le permiten agregar información adicional a un registro para una interfaz de red determinada o anular campos existentes.
- EF_PROCESSOR_ENRICH_NETIF_METADATA_ENABLE
- EF_PROCESSOR_ENRICH_NETIF_METADATA_USERDEF_PATH
- EF_PROCESSOR_ENRICH_NETIF_METADATA_REFRESH_RATE
EF_PROCESSOR_ENRICH_NETIF_METADATA_ENABLE
Utilice esta configuración para habilitar o deshabilitar el enriquecimiento de metadatos definidos por el usuario. El valor predeterminado es true.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_ENRICH_NETIF_METADATA_USERDEF_PATH
Si el enriquecimiento de metadatos definido por el usuario está habilitado (EF_PROCESSOR_ENRICH_NETIF_METADATA_ENABLE is true), esta configuración especifica la ruta al archivo de metadatos. Si este valor no está definido o está vacío, se deshabilita el enriquecimiento de metadatos.
Para obtener más información sobre los metadatos definidos por el usuario, consulte Metadatos definidos por el usuario.
- Configuración predeterminada:
'' - Ruta recomendada:
/etc/flowdata/metadata/netifs.yml
EF_PROCESSOR_ENRICH_NETIF_METADATA_REFRESH_RATE
El archivo especificado en EF_PROCESSOR_ENRICH_NETIF_METADATA_USERDEF_PATH se puede cargar automáticamente para actualizar los valores sin reiniciar el recopilador. Este valor especifica el intervalo de actualización, en minutos, en el que se volverá a cargar el archivo.
- Valor predeterminado:
15(El valor de0deshabilita la actualización de los valores).
ID de comunidad/conversación
- EF_PROCESSOR_ENRICH_COMMUNITYID_ENABLE
- EF_PROCESSOR_ENRICH_COMMUNITYID_SEED
- EF_PROCESSOR_ENRICH_CONVERSATIONID_ENABLE
- EF_PROCESSOR_ENRICH_CONVERSATIONID_SEED
EF_PROCESSOR_ENRICH_COMMUNITYID_ENABLE
Utilice esta configuración para especificar si los registros de flujo deben enriquecerse con un valor de Id. de comunidad.
Para obtener más información acerca de los ID de comunidad, consulte community-id-spec.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_ENRICH_COMMUNITYID_SEED
Esta configuración es un valor de 16 bits que se utiliza como inicialización para determinar el ID de comunidad de un registro de flujo.
- Valor predeterminado:
0
EF_PROCESSOR_ENRICH_CONVERSATIONID_ENABLE
Utilice esta configuración para habilitar o deshabilitar los registros de flujo enriquecidos con un valor de ID de conversación. Este valor es similar a un ID de comunidad, sin embargo, en lugar de basarse en la relación SRC/DST de dos puntos de conexión, este valor se basa en la perspectiva cliente/servidor. Aunque varias sesiones únicas (como un puerto de cliente único para cada sesión) tienen su propio ID de comunidad, comparten el mismo ID de conversación. Esta configuración permite una mayor flexibilidad al explorar un dataset de flujo complejo.
- Valores válidos:
true,false - Valor predeterminado:
true
EF_PROCESSOR_ENRICH_CONVERSATIONID_SEED
Esta configuración es un valor de 16 bits que se utiliza como inicialización para determinar el ID de conversación de un registro de flujo.
-
Valor predeterminado:
0