Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configure as configurações do netflow

Use modelos de NetFlow pré-definidos

Os modelos de NetFlow fornecem um mecanismo para identificar e decodificar dados de fluxo de entrada antes de enviar para processamento adicional dentro do Paragon Insights.

  1. Clique na configuração > dados Ingerir configurações de > na barra de navegação à esquerda.
  2. Clique na guia NetFlow na página De configurações de ingestão.
  3. Na página de configurações do NetFlow, analise os modelos disponíveis para uso em uma regra.

Usage Notes:

  • Observe que existem modelos de fluxo padrão para IPv4, IPv6, MPLS, MPLS-IPv4, MPLS-IPv6 e VPLS para cada um dos NetFlow v9 e v10.

  • Os modelos de NetFlow incluem padrões de reconhecimento, chamados de campos e campos de exclusão, que ajudam a reconhecer, identificar e categorizar as mensagens de entrada.

  • Como as mensagens NetFlow não distinguem entre chaves e valores (todos os campos são simplesmente dados de entrada), os modelos especificam quais campos devem ser tratados como chaves para dados brutos.

Crie modelos personalizados de netflow

Se os modelos existentes não atenderem às suas necessidades, você pode criar seu próprio modelo. Você também pode usar modelos personalizados para oferecer suporte aos dispositivos de outros fornecedores.

  1. Na página de configurações do Netflow, clique no ícone plus (+).
  2. Na janela Adicionar Modelo que aparece, preencha os seguintes campos (você pode deixar as outras configurações como está):

    • Nome do modelo — Dê um nome ao modelo

    • Descrição — Forneça uma descrição para o modelo

    • Versão netflow — Selecione Netflow v9 ou Netflow v10

    • Prioridade — Selecione qualquer valor de 1 a 10, dependendo do nível de prioridade

    • Inclua Campos — Adicione um ou mais campos que você deseja incluir no modelo que deseja usar

    • Excluir campos — Adicione um ou mais campos que você não deseja incluir no modelo que deseja usar

    • Campos chave — especifique quais campos nas mensagens de entrada devem ser tratados como chaves

  3. Clique em Salvar e Implantar

    Agora, você deve ver o modelo adicionado à página de configurações do NetFlow.

  4. (Opcional) Repita as etapas acima para criar mais modelos.

Usage Notes:

  • Prioridade — quando um manual inclui várias regras usando o sensor de fluxo, o valor de prioridade identifica qual sensor e modelo tem prioridade sobre os outros(s).

  • Incluir/Excluir campos — incluir campos para ajudar a identificar o modelo a ser usado, ou pelo menos uma "lista curta" de modelos a usar; excluir campos e depois restringir-se ao modelo desejado único.

    • Exemplo 1 - considere o modelo hb-ipfix-ipv4 : ele inclui dois campos IPv4 para reduzir para hb-ipfix-ipv4-template e hb-ipfix-mpls-ipv4-template, e exclui um campo MPLS para eliminar hb-ipfix-mpls-ipv4-template, deixando apenas hb-ipfix-ipfix-ipv4-template.

    • Exemplo 2 — considere o modelo hb-ipfix-mpls-ipv4: ele inclui os mesmos dois campos IPv4 para reduzir para hb-ipfix-ipv4-template e hb-ipfix-mpls-ipv4-template. Ele também inclui um campo MPLS, que elimina imediatamente o modelo anterior e deixa este último como modelo a ser usado.

Exclua um modelo de NetFlow

Para excluir um modelo de NetFlow:

  1. Clique na configuração > dados Ingera configurações de > na barra de navegação esquerda.

    A página De configurações de ingestão é exibida.

  2. Clique na guia NetFlow para visualizar a página de Configurações do NetFlow.
  3. Selecione o modelo que deseja excluir e clique no ícone de exclusão (lixeira).

    O pop-up DO MODELO DE EXCLUSÃO CONFIRMAÇÃO aparece.

  4. Faça um dos seguintes:
    Figura 1: Confirme o pop-up do modelo de exclusão Confirm Delete Template Pop-up
    • Clique em Sim para excluir o modelo do banco de dados. No entanto, as mudanças não são aplicadas ao serviço de ingestão.
      Nota:

      • Recomendamos que você não exclua uma configuração do NetFlow que está em uso no momento.

      • Depois de excluir uma configuração específica do NetFlow do banco de dados, você não pode configurar essa configuração do NetFlow em novos dispositivos ou grupos de dispositivos, mesmo se você não tiver implantado alterações.

      • Você também pode implantar alterações no serviço de ingestão ou reverter as mudanças que já excluiu na página de Status de implantação da configuração de saúde . Para obter mais informações, veja alterações de configuração de commit ou roll back no Paragon Insights.

    • Selecione a caixa de verificação de alterações de implantação e clique em Sim para excluir o modelo do banco de dados e aplicar as mudanças no serviço de ingestão.
    • (Opcional) Clique em Não para cancelar esta operação.

    O modelo do NetFlow é excluído.

Clone de um modelo de netflow existente

Para clonar um modelo de NetFlow existente:

  1. Clique na configuração > dados Ingera configurações de > na barra de navegação esquerda.

    A página De configurações de ingestão é exibida.

  2. Clique na guia NetFlow para visualizar a página de Configurações do NetFlow.
  3. Para clonar um modelo específico, clique em Clone.

    O modelo clone: <name of template> página é exibida.

    A partir do modelo de clone: <name of template> página, você pode

    • Edite as seções nome, descrição e prioridade .

    • Escolha entre as versões Netflow v9 ou Netflow v10 .

    • Adicione ou exclua campos de Inclua campos, exclua campos e campos-chave.

  4. Depois de fazer as edições necessárias, clique em Salvar para salvar as modificações e clonar o modelo.

    Como alternativa, clique em Salvar e Implantar para salvar modificações, clonar o modelo e implantar o modelo.

Configure o endereço IP da fonte de fluxo

Os dados brutos de fluxo que o Paragon Insights recebe são em formato binário e ilegível. Para que esses dados sejam utilizáveis, o Paragon Insights processa os dados de fluxo de entrada da seguinte forma:

  • O Paragon Insights ouve os dados de fluxo recebidos em uma porta configurada

  • Como as mensagens netflow não incluem um campo que identifica o dispositivo de envio, o Paragon Insights usa o endereço IP de origem configurado para obter uma ID do dispositivo.

  • Modelos identificam e decodificam dados de fluxo de entrada para determinar quais campos ele contém

    Os dados resultantes decodificados e normalizados agora estão em um formato legível e utilizável.

  • Em seguida, o Paragon Insights realiza mais tags, normalização e agregação conforme definido na regra correspondente pelo usuário.

  • Por fim, o banco de dados da série tempo (TSDB) recebe os dados. É aqui que acontecem coisas como a avaliação do gatilho.

Aviso:

Para o NetFlow, certifique-se de que não há NAT de origem no(s) caminho(s) de rede entre o dispositivo e o Paragon Insights. Se o caminho de rede contém NAT de origem, as informações recebidas do dispositivo não são precisas.

Para configurar endereços IP de origem na configuração do dispositivo:

  1. Vá para dispositivos de > de configuração.

    Você é levado para a página do Dispositivo.

  2. Selecione um dispositivo que deseja configurar para enviar dados do Flow e clique no botão de edição (ícone de lápis).

    Você é levado para a página de edição Device-Name .

  3. Clique no caret detalhes de ID do dispositivo e digite o(es) endereço IP(es) de origem no campo IP de fonte de fluxo.

    Se você quiser inserir vários endereços IP de origem, separe cada um com uma vírgula.

  4. Clique em OK.

Para configurar endereços IP de origem na configuração do Grupo de Dispositivos:

  1. Vá para grupos de configuração > dispositivos.

    Você é levado para a página de configuração do Grupo de Dispositivos.

  2. Selecione um grupo de dispositivos que deseja configurar para enviar dados do Flow e clique no botão de edição (ícone de lápis).

    Você é levado para a página do Grupo de Dispositivos de Edição.

  3. Clique no advanced caret e insira o(es) endereço IP(es) de origem no campo Flow Ingest Deploy Nodes.

    Se você quiser inserir vários endereços IP de origem, separe cada um com uma vírgula.

  4. Clique em Salvar e Implantar.

Configure portas de fluxo

Para configurar portas de fluxo em grupos de dispositivos:

  1. Vá para a configuração > grupos de dispositivos.

    Você é levado para a página de configuração do Grupo de Dispositivos.

  2. Selecione um grupo de dispositivos que deseja configurar para enviar dados do Flow e clique no botão de edição (ícone de lápis).

    Você é levado para a página do Grupo de Dispositivos de Edição.

  3. Clique no caret advanced > Ports e insira as portas receptoras do sensor NetFlow no campo de Portas de Fluxo.

    Se você quiser entrar em várias portas, separe cada uma com uma vírgula.

  4. Clique em Salvar e Implantar.

Documentação relacionada