MXシリーズルーターまたはNFX250を使用したバージョン9フローデータレコードのログコレクタへのエクスポートの概要
フロー レコード テンプレートは、フィールドのコレクションと、そこに含まれる要素または属性の形式と構文の対応する説明を定義します。エクスポートと呼ばれるネットワーク要素(ルーターやスイッチなど)は、フローデータを蓄積し、イベントやシステム操作のためにこのような大量のシステムログメッセージを保存できるホストまたは外部デバイスであるコレクターに情報をエクスポートします。収集されたデータは、非常に柔軟で詳細なリソース使用状況の会計処理のために、きめ細かく細かい測定および統計データを提供します。コレクタに送信されるテンプレートには、エクスポートされたフローレコードフィールドに関する構造情報が含まれています。したがって、コレクタが新しいフィールドの形式を解釈できない場合でも、フロー レコードを処理できます。
バージョン 9 のフローテンプレートには、定義済みの形式があります。エクスポート パケットは、パケット ヘッダーとそれに続く 1 つ以上の FlowSet フィールドで構成されます。FlowSet 項目は、[テンプレート]、[データ]、または [オプション テンプレート] の 3 つのタイプのいずれかです。テンプレートフローセットは、データフローセット(またはフローレコード)内のフィールドを記述します。各データ フローセットには、同じテンプレート ID を持つ 1 つ以上のフローの値または統計が含まれています。インターリーブされた NetFlow バージョン 9 エクスポート パケットには、パケット ヘッダー、テンプレート フローセット、およびデータ フローセット フィールドが含まれます。[テンプレート フローセット(Template FlowSet)] フィールドは、NAT エントリの作成や割り当てられた NAT エントリの解放などの各イベントを示し、[データ フローセット(Data FlowSet)] フィールドは、テンプレート フローセット(またはイベント タイプ)が関連付けられている NAT セッションを示します。例えば、NATアドレスエントリーの作成、NAT プール内のアドレスの枯渇、およびNATエントリーの削除または解放が発生した場合、インターリーブされたバージョン9のエクスポートパケットには、パケットヘッダー、NATアドレス作成用の1つのTemplate FlowSetフィールド、アドレス作成が実行される2つのセッション用の2つのData FlowSetフィールド、NATアドレス削除用のもう1つのTemplateSetフィールド、 アドレス削除イベントが発生した 2 つのセッションの 2 つの Data FlowSet フィールドと、設定されたプール数を超えた NAT プール消費用のもう 1 つの TemplateSet フィールド。
以下は、エクスポート パケットで発生する可能性のある組み合わせです。
インターリーブされたテンプレートとデータ FlowSet で構成されるエクスポート パケット—コレクター デバイスは、そのようなパケットで定義されたテンプレート ID が同じパケット内のデータ FlowSet と特定の関係にあると想定しないでください。コレクターは、受信したテンプレートを常にキャッシュし、テンプレートキャッシュを調べて、データレコードを解釈するための適切なテンプレートIDを決定する必要があります。
データ フローセットのみで構成されるエクスポート パケット—適切なテンプレート ID が定義され、コレクター デバイスに送信されると、ほとんどのエクスポート パケットはデータ フローセットのみで構成されます。
テンプレート FlowSet のみで構成されるエクスポート パケット—このケースは例外ですが、テンプレート レコードのみを含むパケットを受信することは可能です。通常、テンプレートはデータフローセットに追加されます。ただし、場合によっては、テンプレートのみが送信されます。ルータは、初めて起動または再起動するときに、できるだけ早くコレクター デバイスとの同期を試みます。ルーターはテンプレート フローセットを加速度的に送信できるため、コレクター デバイスは後続のデータ FlowSet を解析するのに十分な情報を持つことができます。また、テンプレート レコードの有効期間は限られているため、定期的に更新する必要があります。テンプレートの更新間隔が発生し、コレクター デバイスに送信する必要のある適切なデータ FlowSet が存在しない場合は、テンプレート FlowSet のみで構成されるエクスポート パケットが送信されます。