Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

流源

流信息用于检测仅依赖事件信息时可能会遗漏的威胁和其他可疑活动。

流提供以各种格式同时发送至 JSA 的网络流量信息,包括 Flowlog 文件、NetFlow、J-Flow、sFlow 和 Packeteer。

NetFlowJ-Flow 和 sFlow 是从路由器等网络设备收集流量数据的协议,并将这些数据发送到 JSA

NetFlowJ-Flow 和 sFlow 的配置方式与此类似,但每个网络设备都根据每个网络设备支持的协议进行部署。

如果要收集 NetFlowJ-Flow 或 sFlow 数据,请验证 JSA 是否正在收集完整的流集。流程不完整或缺失可能会使分析网络活动困难重重。

JSA 流处理器和基于数据包的源

JSA 使用 JSA 流处理器从镜像端口或网络中的水龙头捕获流量。

JSA 流处理器默认启用,而镜像端口或分流器连接到 JSA 设备上的监控接口。常见的镜像端口位置包括核心、DMZ、服务器和应用程序交换机。

JSA 流处理器JSA 和流处理器相结合,可提供第 7 层应用程序可见性和网络流量分析,无论应用程序运行在哪个端口上。例如,如果互联网中继聊天 (IRC) 协议在端口 7500 (TCP) 上通信,则 JSA 流处理器会将该流量识别为 IRC,并提供对话开始的数据包捕获。此过程不同于 NetFlowJ-Flow,它们表示流量在端口 7500 (TCP) 上,但未标识协议。

JSA 流处理器不是全数据包捕获引擎,但您可以调整每个流捕获的内容量。默认捕获大小为 64 字节,您可以使用此设置收集有用的数据。但是,您可能希望将此设置调整为 256 个字节,以便每个流捕获更多内容。增加捕获大小会增加 JSA 流处理器流处理器之间的网络流量,而且需要更多磁盘存储。

NetFlow Flow 处理器和外部来源

您必须配置 NetFlow,后者在进入或退出接口时收集 IP 网络流量,以便将数据发送到最近的 JSA 流处理器 设备。

JSA 流处理器还支持外部流源,例如发送 NetFlow、sFlowJ-FlowPacketeer 数据的路由器。

有关这些来源的更多信息,请参阅 《瞻博网络安全分析管理指南》。

您必须将外部网络设备的 IP 缓存流超时值配置为 1,以尽快配置 NetFlow 以发送数据。确保从路由器转发入口和出口流量。并非所有路由器都可以转发入口和出口流量。如果要配置仅提供数据样本的路由器,请将路由器配置为使用尽可能低的采样率,而不增加交换机上的负载。

为了确保 您的 NetFlow 配置正常运行,必须验证 JSA NetFlow 数据。

有关更多信息,请参阅 验证 NetFlow 数据收集

验证 JSA 流处理器数据收集

JSA 流处理器通过网络点击和跨端口被动收集网络流量,可以检测 1000 多个联网应用程序。您可以轻松验证 JSA 流处理器是否正在接收网络流数据。

  1. 单击 网络活动 选项卡。

  2. 网络活动 工具条中,单击 搜索>新搜索

  3. “搜索参数 ”面板中,添加流源搜索过滤器。

    1. 从第一个列表中选择流源

    2. 从第三个列表中选择您的 Flow 接口名称。

  4. 单击 添加过滤器

  5. “搜索参数 ”面板中,添加协议搜索过滤器。

    1. 从第一个列表中选择协议

    2. 单击过滤器

  6. 单击 添加过滤器

  7. 单击 过滤器

如果 “源字节”“目标字节” 列显示许多结果,则零字节,则您的网络分路或跨度配置可能不正确。您必须 验证您的 QFlow 配置

配置 JSA 流处理器设备

您可以验证 JSA 流处理器 是否正常运行,以及是否从路由器或跨端口捕获流。

  1. 检查是否从可能通过流量的所有路由器收集流,特别是在存在多个路由或路径的路由器中。

    如果运行的是动态路由协议,则流量可能会遵循往返主机的不同路径。

  2. 确保跨端口或分流器配置正确,以处理接收和传输的数据包。

  3. 确保任何非对称路由的两侧都可见。

验证 NetFlow 数据收集

为了确保 您的 NetFlow 配置正常运行,必须验证 JSA NetFlow 数据。

配置 NetFlow 以将数据发送到最近的 JSA 流处理器JSA 流处理器 设备。

默认情况下, JSA 在管理接口上侦听端口 2055 (UDP) 上的 NetFlow 流量。如果需要更多 NetFlow 端口,则可以分配更多端口。

  1. 单击 网络活动 选项卡。

  2. 网络活动 工具条上,单击 搜索>新搜索

  3. “搜索参数 ”面板中,添加流源搜索过滤器。

    1. 从第一个列表中选择流源

    2. 从第三个列表中选择您的 NetFlow 路由器的名称或 IP 地址。

    如果您的 NetFlow 路由器未显示在第三个列表中, 则 JSA 可能无法检测到来自该路由器的流量。

  4. 单击 添加过滤器

  5. “搜索参数 ”面板中,添加协议搜索过滤器。

    1. 从第一个列表中选择协议

    2. 从第三个列表中选择 TCP

  6. 单击 添加过滤器

  7. 单击 过滤器

  8. 找到 源字节目标字节 列以验证数据收集。

    如果任一列显示许多结果均为零字节,则您的配置可能不完整。您必须验证您的 NetFlow 配置。

禁用 NetFlow 日志消息

您可以禁用 NetFlow 日志消息,以防止它们使用日志文件空间。

如果将 NetFlow 路由器配置为示例流,则可能会将以下消息记录在 JSA 日志文件中。

11 月 3 16:01:03 qflowhost \[11519\] qflow115:\[警告\] default_Netflow:从 10.10.1.1 丢失 30 个流量 (2061927611,2061927641)

此消息表示数据包的序列号未通过。如果错过的流数与您的采样率一致,则可以忽略此消息。

  1. 在导航菜单上,单击 “管理员”。

  2. 在导航菜单上,单击“ 系统配置”。

  3. 单击 系统和许可证管理

  4. 显示菜单中单击系统

  5. 选择 控制台

  6. 部署操作 菜单中,单击 编辑主机

  7. 单击 “组件管理 ”图标。

  8. 验证 NetFlow 序列号 字段中,选择

  9. 单击 “保存”。

  10. 编辑托管主机窗格上单击保存

  11. 关闭 系统和许可证管理 窗口。

  12. 在工具栏上,单击 部署更改

相关文档