Netflow を使用したデータ収集の設定

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • サービスマッピング を有効にして、Netflow プロトコルを使用して収集されたデータに基づいて検出を実行します。このセットアップによりデータ収集フローが完全自動化になり、すべての関連コンポーネントが自動的にデータを送信、収集、および分析します。

    始める前に

    サービスマッピング のトラフィックベースのディスカバリー」を参照してください。

    次のスケジュール済みジョブを有効にします:Flow Discovery Scheduler [sysauto_script_74c676f0dbb0220060ff742eaf9619f2]。

    必要なロール:admin または service_mapping_admin

    このタスクについて

    ベースシステムのトラフィックベースのディスカバリーでは、netstatss、および lsof コマンドの助けを借りて収集された TCP 関連のデータのみが使用されます。Netflow および VPC ログに基づくディスカバリーには、追加の設定が必要です。Netflow プロトコルを使用するように サービスマッピング を設定することで、トラフィックベースのディスカバリーを強化できます。サービスマッピング が Netflow を使用する方法の詳細については、「ネットフローを使用したデータ収集と検出」を参照してください。

    MID サーバー をトリガーして Netflow フローからデータを収集し処理するように、ServiceNow Netflow コネクターを設定します。

    手順

    1. MID サーバー をホストしている組織内のサーバーに nfdump パッケージをインストールします。
      • Linux サーバーの場合、nfdump パッケージをダウンロード、コンパイル、およびインストールします。nfdump パッケージは https://sourceforge.net/projects/nfdump/ からダウンロードできます。
      • Ubuntu サーバーの場合、事前にダウンロードやコンパイルはせずに nfdump パッケージをインストールしてください。コマンドラインウィンドウを開き、次のコマンドを実行します。

        sudo apt-get install nfdump

      • Ubuntu サーバーの場合、apt-get コマンドが失敗するときは、nfdump パッケージを事前ダウンロードし、ローカルに保存してからインストールします。コマンドラインウィンドウを開き、次のコマンドを実行します。

        sudo dpkg -i nfdump_1.6.15-3_i386.deb -

        sudo apt-get -f install

        注:
        nfdump パッケージのファイル名の形式は、nfdump_<バージョン番号>.deb です。この例では、nfdump_1.6.15-3_i386.deb です。
    2. Netflow コレクタを設定して、nfdump ファイルを必要なディレクトリに保存します。
      1. /etc/init.d/nfdump ファイルを開きます。
      2. このファイルを必要な場所に保存するためのパラメーターを変更します。
        たとえば、Ubuntu サーバーでは DEAMON_ARGS のパラメーターを使用して場所を指定します。

        DATA_BASE_DIR="/var/cache/nfdump"

        DAEMON_ARGS="-D -l $DATA_BASE_DIR -P $PIDFILE"

      操作上の情報については「https://sourceforge.net/projects/nfdump/」を参照してください。
    3. スイッチを設定して nfdump ファイルを MID サーバー に転送します。
      MID サーバー のデフォルト値はポート 9995 です。
    4. データを 1 日保存するように Netflow コレクターを設定します。
      1. Netflow コレクタをホストしているサーバーでコマンドラインウィンドウを開きます。
      2. cron ジョブを作成します。
        crontab -e
      3. 正しいパスを使用して次のコマンドを入力します。
        */10 * * * * /usr/local/bin/nfexpire -e /data/nfdump -t 1d
    5. Netflow コレクターが正しく設定されており、ネットワークリソースから正しいデータを受け取れることを確認します。
      1. 次のコマンドを実行します。 
        nfdump -q -O tstart -R /data/nfdump/ -o extended
      2. コマンド出力で、マークが付けられているフィールドに実際のデータが含まれていることを確認します。

        コマンド出力の確認
    6. Netflow コレクターによって収集されたデータを受信するように、 サービスマッピング を設定します。
      1. 次のように移動する。 Service Mapping > アドミニストレーション > フローコネクタ.
      2. [New] をクリックします。
      3. [nfdump インストール] をクリックします。
      4. [nfdump インストール] ページで、パラメーターを次のように設定します。
        フィールド 説明
        名前 コネクターのわかりやすい名前
        MID サーバー Netflow コレクターをインストールした MID サーバー
        nfdump データディレクトリ nfdump ファイルの保存場所として Netflow コレクターを設定したデータディレクトリー
      5. [送信] をクリックします。
    7. サービスマッピング が Netflow を使用してデータを収集することを確認します。
      1. [nfdump インストール] フォームで、新しく設定したコネクターを選択し、[今すぐ実行] をクリックしてデータ収集フローを開始し、フロー接続 [sa_flow_connection] テーブルに入力します。
      2. 次のように移動する。 システム定義 > テーブル.
      3. フロー接続 [sa_flow_connection] テーブルをクリックします。
      4. [関連リンク] の下の [リストを表示] をクリックします。
      5. テーブルにデータが含まれていることを確認します。