Datenerfassung mit Netflow konfigurieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Richten Sie in Service-Mapping die Erkennung basierend auf Daten ein, die mit dem Protokoll Netflow erfasst wurden. Dieses Setup führt zu einem vollständig automatisierten Datenerfassungs-Flow, bei dem alle beteiligten Komponenten Daten automatisch senden, sammeln und analysieren.

    Vorbereitungen

    Informieren Sie sich über die Datenverkehrsbasierte Erkennung in Service-Mapping.

    Aktivieren Sie den folgenden regelmäßigen Auftrag: Flow Discovery-Planer [sysauto_script_74c676f0dbb0220060ff742eaf9619f2]+

    Erforderliche Rolle: admin oder sm_admin

    Warum und wann dieser Vorgang ausgeführt wird

    In Basissystemen verwendet die datenverkehrsbasierte Discovery nur TCP-Daten, die mithilfe der Befehle netstat, ss und lsof erfasst wurden. Die auf Netflow- und VPC-Protokollen basierende Discovery erfordert eine zusätzliche Konfiguration. Sie können Ihre datenverkehrsbasierte Erkennung bereichern, indem Sie Service-Mapping für die Verwendung des Protokolls Netflow konfigurieren. Weitere Informationen über die Nutzung von Netflow durch Service-Mapping finden Sie unter Datenerfassung und -erkennung mit Netflow.

    Konfigurieren Sie den ServiceNow Netflow-Connector so, dass er den MID-Server veranlasst, Daten aus dem Flow-Protokoll zu erfassen und zu verarbeiten.

    Prozedur

    1. Installieren Sie das nfdump-Paket auf einem Server, der in Ihrer Organisation den MID-Server hostet:
      • Laden Sie das nfdump-Paket für einen Linux-Server herunter, kompilieren Sie es und installieren Sie es. Sie können das nfdump-Paket von https://sourceforge.net/projects/nfdump/ herunterladen.
      • Installieren Sie für einen Ubuntu-Server das nfdump-Paket, ohne es vorher herunterzuladen oder zu kompilieren. Öffnen Sie das Befehlszeilenfenster und führen Sie den folgenden Befehl aus:

        sudo apt-get install nfdump

      • Wenn bei einem Ubuntu-Server der apt-get-Befehl fehlschlägt, laden Sie das nfdump-Paket herunter, speichern Sie es lokal, und installieren Sie es. Öffnen Sie das Befehlszeilenfenster und führen Sie die folgenden Befehle aus:

        sudo dpkg -i nfdump_1.6.15-3_i386.deb -

        sudo apt-get -f install

        Hinweis:
        Der Dateiname für das Paket nfdump hat das folgende Format: nfdump_<version number> .deb. In diesem Beispiel ist dies nfdump_1.6.15-3_i386.deb.
    2. Konfigurieren Sie den Netflow-Collector so, dass die nfdump-Datei im erforderlichen Verzeichnis gespeichert wird.
      1. Öffnen Sie die Datei /etc/init.d/nfdump.
      2. Ändern Sie den Parameter, der für das Speichern dieser Datei am erforderlichen Speicherort verantwortlich ist.
        Geben Sie beispielsweise auf einem Ubuntu-Server den Speicherort mit dem Parameter DEAMON_ARGS an:

        DATA_BASE_DIR="/var/cache/nfdump"

        DAEMON_ARGS="-D -l $DATA_BASE_DIR -P $PIDFILE"

      Betriebsinformationen finden Sie unter https://sourceforge.net/projects/nfdump/.
    3. Konfigurieren Sie die Switches so, dass ihre nfdump-Dateien an MID-Server weitergeleitet werden.
      Der Standardwert für MID-Server ist Port 9995.
    4. Konfigurieren Sie den Netflow-Collector, um Daten für einen Tag zu speichern.
      1. Öffnen Sie das Befehlszeilenfenster auf dem Server, auf dem sich der Netflow-Collector befindet.
      2. Erstellen Sie einen Cron-Job.
        crontab -e
      3. Geben Sie den folgenden Befehl mit den richtigen Pfaden ein.
        */10 * * * * /usr/local/bin/nfexpire -e /data/nfdump -t 1d
    5. Stellen Sie sicher, dass der Netflow Collector ordnungsgemäß konfiguriert ist und von den Netzwerkressourcen die richtigen Daten erhält.
      1. Führen Sie den folgenden Befehl aus: 
        nfdump -q -O tstart -R /data/nfdump/ -o extended
      2. Überprüfen Sie in der Befehlsausgabe, ob die markierten Felder reale Daten enthalten:

        Ausgabe des Überprüfungsbefehls
    6. Konfigurieren Sie Service-Mapping zum Empfangen von vom Netflow Collector erfassten Daten:
      1. Navigieren zu Service-Mapping > Administration > Flow-Connectors.
      2. Klicken Sie auf Neu.
      3. Klicken Sie auf nfdump-Installation
      4. Konfigurieren Sie die Parameter auf der Seite „ndfdump-Installation“ wie folgt:
        Feld Beschreibung
        Name Beschreibender Name für den Connector
        MID Server MID-Server, auf dem der Netflow Collector installiert ist
        nfdump-Datenverzeichnis Datenverzeichnis, in dem in Ihrer Konfiguration der Netflow Collector die nfdump-Datei speichern soll
      5. Klicken Sie auf Absenden.
    7. Stellen Sie sicher, dass Service-Mapping Daten mit Netflow erfasst:
      1. Wählen Sie im Formular nfdump-Installation den neu konfigurierten Connector aus, und klicken Sie auf Jetzt ausführen, um den Datenerfassungs-Flow zu starten und die Tabelle „Flow-Verbindung“ [sa_flow_connection] zu füllen.
      2. Navigieren zu Systemdefinitionen > Tabellen.
      3. Klicken Sie auf die Tabelle „Flow-Verbindung“ [sa_flow_connection]
      4. Klicken Sie unter Zugehörige Linksauf Liste anzeigen.
      5. Stellen Sie sicher, dass die Tabelle Daten enthält.