ネットフローを使用したデータ収集と検出
サービスマッピング は、Netflow プロトコルを使用して収集されたデータに基づいてディスカバリーを実行できます。 ネットフローは、サービスマッピングが Netstat および lsof コマンドとともに CI とその接続に関するデータを収集するために使用できるプロトコルです。
データ収集に Netflow プロトコルを使用することは、トラフィックベースのディスカバリー方法の 1 つです。サービスマッピング によって展開されているその他の方法では、netstat と lsof のコマンドや VPC フローログを使用されます。詳細については、「サービスマッピング のトラフィックベースのディスカバリー」を参照してください。
ベースシステムのトラフィックベースのディスカバリーでは、netstat、ss、および lsof コマンドの助けを借りて収集された TCP 関連のデータのみが使用されます。Netflow および VPC ログに基づくディスカバリーには、追加の設定が必要です。Netflow プロトコルを使用するように サービスマッピング を設定することで、トラフィックベースのディスカバリーを強化できます。
Netflow 形式でデータを受信するコンポーネントは、Netflow コレクターです。その場所は、データ収集をテスト目的と標準的な運用のどちらに設定するかによって異なります。
- テスト目的の場合
- このセットアップによりデータ収集フローが半自動化になり、サービスマッピング は Netflow コレクターから手動でコピーしたデータのみをインポートします。組織ネットワーク内のサーバー上に Netflow コレクターを配置します。これは、MID サーバー をホストするサーバーとは異なるサーバーである必要があります。このセットアップは、「テスト目的での Netflow を使用したワンタイムデータインポートの設定」で説明されているように設定およびテストします。
- 標準的な運用の場合
- このセットアップによりデータ収集フローが完全自動化になり、すべての関連コンポーネントが自動的にデータを送信、収集、および分析します。組織ネットワーク内の MID サーバー と同じサーバー上に Netflow コレクターを配置します。手順については、「Netflow を使用したデータ収集の設定」を参照してください。
Netflow ベースのディスカバリーには次のフローがあります。
- Netflow デーモンは、組織内のサーバーと通信するスイッチからデータを実行および受信します。Netflow コレクターは Netflow デーモンから受信したデータを書き込みます。
- Netflow コレクターをホストしているサーバーは、Netflow nfdump ユーティリティを使用して nfdump 出力ファイルにデータを書き込みます。このファイルは、サーバーの通信に使用されるすべてのスイッチの生データを要約します。
図 : 1. データを収集し、そのデータを nfdump 出力ファイルに書き込む
- Netflow コレクターが MID サーバー と同じサーバーに存在しない場合は、テストのセットアップで nfdump を gzip 形式に変換しなければならない場合があります。その後、nfdump 出力ファイル内の生データを MID サーバー に手動でコピーする必要があります。
図 : 2. nfdump 出力ファイルの MID サーバー へのコピー
- MID サーバー は nfdump 出力ファイル内の生データを処理し、処理された情報を ECC キューに格納します。
図 : 3. 生データを分析し、ECC キューに格納する
- センサーが ECC キューからプロセスデータを取得し、フロー接続 [sa_flow_connection] テーブルに書き込みます。
サービスマッピング では、ECC キューをチェックして検出された CI に関する情報を受け取るたびに、これらのテーブルで CI に関連するアウトバウンド接続のデータ (cmdb_tcp および sa_flow_connection テーブル) をチェックします。これらの 2 つのテーブルに、パターンで検出できなかった固有のデータが含まれている場合、サービスマッピング は CI 接続に関する情報を拡充させ、それらをマップに追加します。
図 : 4. サービスマッピング は sa_flow_connection テーブルからデータを取得する