Einmaligen Datenimport mit Netflow zu Testzwecken konfigurieren

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Konfigurieren und testen Sie den Erkennungsprozess in Service-Mapping basierend auf Daten, die mit dem Protokoll Netflow erfasst wurden.

    Vorbereitungen

    Informieren Sie sich über die Datenverkehrsbasierte Erkennung in Service-Mapping.

    Erforderliche Rolle: admin oder service_mapping_admin

    Warum und wann dieser Vorgang ausgeführt wird

    In Basissystemen verwendet die Traffic-basierte Discovery nur TCP-Daten, die mithilfe der Befehle netstat, ss und lsof erfasst wurden. Die auf Netflow- und VPC-Protokollen basierende Discovery erfordert eine zusätzliche Konfiguration. Sie können Ihre datenverkehrsbasierte Erkennung bereichern, indem Sie Service-Mapping für die Verwendung des Protokolls Netflow konfigurieren. Weitere Informationen darüber, wie Sie in Service-Mapping Netflow-Daten erfassen, finden Sie unter Datenerfassung und -erkennung mit Netflow.

    Installieren Sie den Netflow Collector (nfdump) zu Testzwecken auf einem Unix-Server in Ihrer Organisation. In diesem Fall darf es sich nicht um denselben Server handeln, auf dem der MID-Server gehostet wird.

    Konfigurieren Sie den ServiceNow-Connector so, dass er MID-Server veranlasst, Daten aus dem Flow-Protokoll zu erfassen und zu verarbeiten.

    Prozedur

    1. Laden Sie den Netflow Collector (nfdump) auf einen Unix-Server in Ihrer Organisation herunter, und installieren Sie ihn.
      • Laden Sie das nfdump-Paket für einen Linux-Server herunter, kompilieren Sie es und installieren Sie es. Sie können das nfdump-Paket von https://sourceforge.net/projects/nfdump/ herunterladen.
      • Installieren Sie für einen Ubuntu-Server das nfdump-Paket, ohne es vorher herunterzuladen oder zu kompilieren. Öffnen Sie das Befehlszeilenfenster und führen Sie den folgenden Befehl aus:

        sudo apt-get install nfdump

      • Wenn bei einem Ubuntu-Server der apt-get-Befehl fehlschlägt, laden Sie das nfdump-Paket herunter, speichern Sie es lokal, und installieren Sie es. Öffnen Sie das Befehlszeilenfenster und führen Sie die folgenden Befehle aus:

        sudo dpkg -i nfdump_1.6.15-3_i386.deb -

        sudo apt-get -f install

        Hinweis:
        Der Dateiname für das Paket nfdump hat das folgende Format: nfdump_<version number> .deb. In diesem Beispiel ist dies nfdump_1.6.15-3_i386.deb.
    2. Konfigurieren Sie den Netflow-Collector, um Daten für einen Tag zu speichern.
      1. Öffnen Sie das Befehlszeilenfenster auf dem Server, auf dem sich der Netflow-Collector befindet.
      2. Erstellen Sie einen Cron-Job.
        crontab -e
      3. Geben Sie den folgenden Befehl mit den richtigen Pfaden ein.
        */10 * * * * /usr/local/bin/nfexpire -e /data/nfdump -t 1d
    3. Erstellen Sie eine Datei mit den nfdump-Daten.
      Verwenden Sie beispielsweise den folgenden Befehl:

      nfdump -q -m -R /data/nfdump/ -o extended -t 2016/07/06.07:00:00-2016/07/06.07:10:00 'inet and proto tcp' >> /tmp/my_file

    4. Wenn die Datei sehr groß ist, können Sie sie mit dem folgenden Befehl im gzip-Format komprimieren:
      gzip /tmp/my_file
    5. Kopieren Sie die nfdump-Datendatei auf den MID-Server.
    6. Konfigurieren Sie Service-Mapping zum Empfangen von vom Netflow Collector erfassten Daten:
      1. Navigieren zu Service-Mapping > Administration > Flow-Connectors.
      2. Klicken Sie auf Neu.
      3. Klicken Sie auf die ndfdump-Datei.
      4. Konfigurieren Sie die Parameter auf der Seite für die ndfdump-Datei wie folgt:
        Feld Beschreibung
        Name Beschreibender Name für den Connector
        nfdump-Datenpfad Pfad zu einem Speicherort auf dem MID-Server, in dem Sie die nfdump-Datendatei in 5 gespeichert haben
        MID Server MID-Server, auf den Sie die nfdump-Datei kopiert haben
        Gzip-Datei Wenn Sie die nfdump-Datei in das gzip-Format konvertiert haben, bevor Sie sie auf dem MID-Server gespeichert haben, setzen Sie diesen Parameter auf „true“, um die Datei zu dekomprimieren.
      5. Klicken Sie auf Absenden.
    7. Stellen Sie sicher, dass Service-Mapping Daten mit Netflow erfasst:
      1. Wählen Sie im Formular für die nfdump-Datei den neu konfigurierten Connector aus, und klicken Sie auf Jetzt ausführen, um den Datenerfassungs-Flow zu starten und die Tabelle „Flow-Verbindung“ [sa_flow_connection] zu füllen.
      2. Navigieren zu Systemdefinitionen > Tabellen.
      3. Klicken Sie auf die Tabelle „Flow-Verbindung“ [sa_flow_connection]
      4. Klicken Sie unter Zugehörige Linksauf Liste anzeigen.
      5. Stellen Sie sicher, dass die Tabelle Daten enthält.

    Nächste Maßnahme

    Wenn Sie mit den Testergebnissen zufrieden sind, konfigurieren Sie die Netflow-basierte Datenerfassung (siehe Beschreibung in Datenerfassung mit Netflow konfigurieren).