Netflow를 사용한 데이터 수집 및 검색
서비스 매핑은 Netflow 프로토콜을 사용하여 수집된 데이터를 기반으로 검색을 수행할 수 있습니다. Netflow는 Netstat 및 lsof 명령과 함께 CI 및 그 연결에 대한 데이터를 수집하기 위해 서비스 매핑에서 사용할 수 있는 프로토콜입니다.
데이터 수집에 Netflow 프로토콜을 사용하는 것은 트래픽 기반 검색 방법 중 하나입니다. 서비스 매핑에서 배포되는 다른 방법은 netstat 및 lsof 명령과 VPC 플로우 로그를 사용하는 것입니다. 자세한 내용은 서비스 매핑에서 트래픽 기반 검색 문서를 참조하십시오.
기본 시스템에서 트래픽 기반 검색은 netstat, ss 및 lsof 명령의 도움을 받아 수집된 TCP 관련 데이터만 사용합니다. Netflow 및 VPC 로그를 기반으로 검색하려면 추가 구성이 필요합니다. Netflow 프로토콜을 사용하도록 서비스 매핑을 구성하여 트래픽 기반 검색을 보강할 수 있습니다.
Netflow 형식으로 데이터를 수신하는 구성요소는 Netflow 수집기입니다. 해당 위치는 데이터 수집이 테스트 목적인지 아니면 표준 작업을 위한 것인지에 따라 달라집니다.
- 테스트 목적인 경우
- 이 설정으로 인해 반자동 데이터 수집 플로우가 발생하며, 이 경우 서비스 매핑은 Netflow 수집기에서 데이터를 수동으로 복사하는 경우에만 데이터를 가져옵니다. Netflow 수집기를 조직 네트워크 내의 서버에 배치합니다. 이 서버는 MID 서버를 호스팅하는 서버와는 다른 서버여야 합니다. 테스트 목적으로 Netflow를 사용하여 일회성 데이터 임포트 구성에 설명된 대로 이 설정을 구성하고 테스트합니다.
- 표준 작업인 경우
- 이 설정으로 인해 완전 자동 데이터 수집 플로우가 발생하며, 이 경우 관련된 모든 구성요소가 자동으로 데이터를 보내고 수집하고 분석합니다. Netflow 수집기를 조직 네트워크 내부의 MID 서버와 동일한 서버에 배치합니다. 지침은 Netflow를 사용하여 데이터 수집 구성 문서를 참조하십시오.
Netflow 기반 검색의 플로우는 다음과 같습니다.
- Netflow 디먼이 조직 내의 서버와 통신하는 스위치에서 데이터를 실행하고 받습니다. Netflow 수집기는 Netflow 디먼에서 수신된 데이터를 기록합니다.
- Netflow 수집기를 호스팅하는 서버는 Netflow nfdump 유틸리티를 사용하여 데이터를 nfdump 출력 파일에 기록합니다. 이 파일은 서버 통신에 사용되는 모든 스위치의 원시 데이터를 요약합니다.
그림 1. 데이터를 수집하고 nfdump 출력 파일에 기록
- 테스트 설정에서 Netflow 수집기가 MID 서버와 동일한 서버에 있지 않은 경우 nfdump를 gzip 형식으로 변환해야 할 수 있습니다. 그런 다음 nfdump 출력 파일의 원시 데이터를 MID 서버에 수동으로 복사해야 합니다.
그림 2. nfdump 출력 파일을 MID 서버로 복사
- MID 서버에서 nfdump 출력 파일의 원시 데이터를 처리하고 처리된 정보를 ECC 큐에 배치합니다.
그림 3. 원시 데이터를 분석하고 ECC 큐에 배치
- 센서는 ECC 큐에서 프로세스 데이터를 검색하고 플로우 연결 [sa_flow_connection] 테이블에 기록합니다.
ECC 큐를 검사하고 검색된 CI에 대한 정보를 받을 때마다 서비스 매핑은 해당 테이블에서 CI와 관련된 아웃바운드 연결에 있는 데이터(cmdb_tcp 및 sa_flow_connection 테이블)을 검사합니다. 이 두 테이블에 패턴이 검색되지 않은 고유한 데이터가 포함되어 있는 경우 서비스 매핑은 CI 연결 정보를 보강하여 맵에 추가합니다.
그림 4. 서비스 매핑이 sa_flow_connection 테이블에서 데이터를 검색합니다.