Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exportação de registros de dados de fluxo da versão 9 para uma visão geral do coletor de log usando um roteador da Série MX ou NFX250

Um modelo de registro de fluxo define uma coleção de campos com descrições correspondentes do formato e sintaxe para os elementos ou atributos que estão contidos nele. Elementos de rede (como roteadores e switches), que são chamados de exportações, acumulam os dados de fluxo e exportam as informações para coletores, que são hosts ou dispositivos externos que podem economizar um grande volume dessas mensagens de log do sistema para eventos ou operações do sistema. Os dados coletados fornecem medição granular, de nível mais fino e dados estatísticos para uma contabilidade de uso de recursos altamente flexível e detalhada. Os modelos enviados ao coletor contêm as informações estruturais sobre os campos de registro de fluxo exportado; portanto, se o coletor não conseguir interpretar os formatos dos novos campos, ele ainda pode processar o registro de fluxo.

O modelo de fluxo da versão 9 tem um formato predefinido. Um pacote de exportação consiste em um cabeçalho de pacote seguido por um ou mais campos FlowSet. Os campos FlowSet podem ser qualquer um dos três tipos possíveis — Modelo, dados ou modelo de opções. O fluxo de modelo descreve os campos que estão nos fluxos de dados (ou registros de fluxo). Cada fluxo de dados contém os valores ou estatísticas de um ou mais fluxos com a mesma ID do modelo. Um pacote de exportação da versão 9 do NetFlow interleaved contém os campos de cabeçalho de pacotes, FlowSet template e Data FlowSet. Um campo FlowSet modelo significa cada evento, como a criação de uma entrada NAT ou a versão de uma entrada NAT alocada, e o campo Data FlowSet denota as sessões NAT para as quais o Template FlowSet (ou o tipo de evento) está associado. Por exemplo, se uma criação de entrada de endereço NAT, o esgotamento de endereços em um pool de NAT e uma exclusão ou liberação de entrada nat ocorrerem, um pacote de exportação de versão 9 intercalado contém o cabeçalho de pacotes, um campo Template FlowSet para criação de endereços NAT, dois campos de Fluxo de Dados para as duas sessões para as quais a criação de endereços é realizada, outro campo TemplateSet para exclusão de endereços NAT, dois campos de Fluxo de Dados para as duas sessões para as quais ocorre o evento de exclusão de endereços, e o outro campo TemplateSet para consumo de pool de NAT tendo excedido o número configurado de pools.

A seguir, as possíveis combinações que podem ocorrer em um pacote de exportação:

  • Um pacote de exportação que consiste em modelos interleavados e FlowSets de dados — um dispositivo coletor não deve assumir que os IDs de modelo definidos em tal pacote têm qualquer relação específica com os FlowSets de dados dentro do mesmo pacote. O coletor deve sempre armazenar cache em quaisquer modelos recebidos e examinar o cache de modelo para determinar a ID de modelo apropriada para interpretar um registro de dados.

  • Um pacote de exportação que consiste inteiramente de FlowSets de dados — Depois que os IDs de modelo apropriados tiverem sido definidos e transmitidos para o dispositivo coletor, a maioria dos pacotes de exportação consiste apenas de FlowSets de dados.

  • Um pacote de exportação composto inteiramente por FlowSets de modelo — embora este caso seja a exceção, é possível receber pacotes contendo apenas registros de modelos. Normalmente, os modelos são anexos aos FlowSets de dados. No entanto, em alguns casos, apenas modelos são enviados. Quando um roteador inicializa ou reinicializa, ele tenta sincronizar com o dispositivo coletor o mais rápido possível. O roteador pode enviar flowSets de modelo a uma taxa acelerada para que o dispositivo coletor tenha informações suficientes para analisar quaisquer fluxos de dados subsequentes. Além disso, os registros de modelos têm uma vida útil limitada, e eles devem ser atualizados periodicamente. Se o intervalo de atualização para um modelo ocorrer e nenhum FlowSet de dados apropriado que precisa ser enviado ao dispositivo coletor estiver presente, um pacote de exportação composto apenas por FlowSets modelo é enviado.