Netflow를 사용하여 데이터 수집 구성

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 서비스 매핑을 사용하도록 설정하여 Netflow 프로토콜을 사용하여 수집된 데이터를 기반으로 검색을 수행합니다. 이 설정으로 인해 완전 자동 데이터 수집 플로우가 발생하며, 이 경우 관련된 모든 구성요소가 자동으로 데이터를 보내고 수집하고 분석합니다.

    시작하기 전에

    서비스 매핑에서 트래픽 기반 검색에 대해 알아보기.

    예약된 다음 작업 활성화: 플로우 검색 스케줄러 [sysauto_script_74c676f0dbb0220060ff742eaf9619f2].

    필요한 역할: admin 또는 service_mapping_admin

    이 태스크 정보

    기본 시스템에서 트래픽 기반 검색은 netstat, sslsof 명령의 도움을 받아 수집된 TCP 관련 데이터만 사용합니다. Netflow 및 VPC 로그를 기반으로 검색하려면 추가 구성이 필요합니다. Netflow 프로토콜을 사용하도록 서비스 매핑을 구성하여 트래픽 기반 검색을 보강할 수 있습니다. 서비스 매핑에서 Netflow 데이터를 사용하는 방법에 대한 자세한 내용은 Netflow를 사용한 데이터 수집 및 검색 문서를 참조하십시오.

    ServiceNow Netflow 커넥터가 MID 서버를 트리거하여 Netflow 플로우에서 데이터를 수집하고 처리하도록 구성합니다.

    프로시저

    1. 조직에서 MID 서버를 호스팅하는 서버에 nfdump 패키지를 설치합니다.
      • Linux 서버의 경우 nfdump 패키지를 다운로드하고 컴파일하고 설치합니다. https://sourceforge.net/projects/nfdump/에서 nfdump 패키지를 다운로드할 수 있습니다.
      • Ubuntu 서버의 경우 사전에 다운로드하거나 컴파일하지 않고 nfdump 패키지를 설치합니다. 명령줄 창을 열고 다음 명령을 실행합니다.

        sudo apt-get install nfdump

      • Ubuntu 서버의 경우 apt-get 명령이 실패하면 nfdump 패키지를 사전에 다운로드하여 로컬에 저장한 다음 설치합니다. 명령줄 창을 열고 다음 명령을 실행합니다.

        sudo dpkg -i nfdump_1.6.15-3_i386.deb -

        sudo apt-get -f install

        주:
        nfdump 패키지의 파일 이름 형식은 nfdump_<버전 번호> .deb입니다. 이 예시에서는 nfdump_1.6.15-3_i386.deb입니다.
    2. Netflow 수집기를 구성하여 nfdump 파일을 필수 디렉터리에 저장 합니다.
      1. /etc/init.d/nfdump 파일을 엽니다.
      2. 필요한 위치에 이 파일의 저장을 담당하는 매개변수를 수정합니다.
        예를 들어, Ubuntu 서버에서 DEAMON_ARGS 매개변수를 사용하여 위치를 지정합니다.

        DATA_BASE_DIR="/var/cache/nfdump"

        DAEMON_ARGS="-D -l $DATA_BASE_DIR -P $PIDFILE"

      작업 정보는 https://sourceforge.net/projects/nfdump/ 문서를 참조하십시오.
    3. 스위치를 구성하여 nfdump 파일을 MID 서버에 전달합니다.
      MID 서버의 기본값은 port 9995입니다.
    4. 1일 동안 데이터를 저장하도록 Netflow 수집기를 구성합니다.
      1. Netflow 수집기를 호스팅하는 서버에서 명령줄 창을 엽니다.
      2. cron 작업을 생성합니다.
        crontab -e
      3. 올바른 경로를 사용하여 다음 명령을 입력합니다.
        */10 * * * * /usr/local/bin/nfexpire -e /data/nfdump -t 1d
    5. Netflow 수집기가 올바르게 구성되어 있는지, 네트워크 자원에서 올바른 데이터를 수신하는지 확인합니다.
      1. 다음 명령을 실행합니다. 
        nfdump -q -O tstart -R /data/nfdump/ -o extended
      2. 명령 출력에서 표시된 필드에 실제 데이터가 포함되어 있는지 확인합니다.

        검증 명령 출력
    6. Netflow 수집기에서 수집한 데이터를 받도록 서비스 매핑을 구성합니다.
      1. 다음으로 이동 서비스 매핑 > 관리 > 플로우 커넥터.
      2. 새로 만들기를 클릭합니다.
      3. nfdump 설치를 클릭합니다.
      4. nfdump 설치 페이지에서 다음과 같이 매개변수를 구성합니다.
        필드 설명
        이름 커넥터에 대한 설명이 포함된 이름입니다.
        MID 서버 Netflow 수집기가 설치된 MID 서버입니다.
        nfdump 데이터 디렉터리 nfdump 파일을 저장하도록 Netflow 수집기를 구성한 데이터 디렉터리입니다.
      5. 제출을 클릭합니다.
    7. 서비스 매핑에서 Netflow를 사용하여 데이터를 수집하는지 확인합니다.
      1. nfdump 설치 양식에서 새로 구성된 커넥터를 선택하고 지금 실행을 클릭하여 데이터 수집 흐름을 시작하고 플로우 연결 [sa_flow_connection] 테이블을 채웁니다.
      2. 다음으로 이동 시스템 정의 > 테이블.
      3. 플로우 연결 [sa_flow_connection] 테이블을 클릭합니다.
      4. 관련 링크에서 목록 표시를 클릭합니다.
      5. 테이블에 데이터가 포함되어 있는지 확인합니다.