테스트 목적으로 Netflow를 사용하여 일회성 데이터 임포트 구성

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • Netflow 프로토콜을 사용하여 수집된 데이터를 기반으로 서비스 매핑 검색 프로세스를 구성하고 테스트합니다.

    시작하기 전에

    서비스 매핑에서 트래픽 기반 검색에 대해 알아보기.

    필요한 역할: admin 또는 service_mapping_admin

    이 태스크 정보

    기본 또는 표준 구성인 기본 시스템에서 트래픽 기반 검색은 , ss, 및 명령을 사용하여 netstat수집된 TCP 관련 데이터에만 의존합니다lsof. Netflow 및 VPC 로그를 기반으로 검색하려면 추가 구성이 필요합니다. Netflow 프로토콜을 사용하도록 서비스 매핑을 구성하여 트래픽 기반 검색을 보강할 수 있습니다. 서비스 매핑에서 Netflow 데이터를 수집하는 방법에 대한 자세한 내용은 Netflow를 사용한 데이터 수집 및 검색 문서를 참조하십시오.

    테스트 목적인 경우, 조직 내의 Unix 서버에 Netflow 수집기(nfdump)를 설치합니다. 이 경우 이 Unix 서버는 MID 서버 서버를 호스팅하는 서버와 달라야 합니다.

    ServiceNow 커넥터가 MID 서버를 트리거하여 플로우 로그에서 데이터를 수집하고 처리하도록 구성합니다.

    프로시저

    1. 조직 내의 Unix 또는 Ubuntu 서버에 Netflow 수집기(nfdump)를 다운로드하여 설치합니다.
      • Linux 서버의 경우 nfdump 패키지를 다운로드하고 컴파일하고 설치합니다. https://sourceforge.net/projects/nfdump/에서 nfdump 패키지를 다운로드할 수 있습니다.
      • Ubuntu 서버의 경우 사전에 다운로드하거나 컴파일하지 않고 nfdump 패키지를 설치합니다. 명령줄 창을 열고 다음 명령을 실행합니다.

        sudo apt-get install nfdump

      • Ubuntu 서버의 경우 apt-get 명령이 실패하면 nfdump 패키지를 사전에 다운로드하여 로컬에 저장한 다음 설치합니다. 명령줄 창을 열고 다음 명령을 실행합니다.

        sudo dpkg -i nfdump_1.6.15-3_i386.deb -

        sudo apt-get -f install

        주:
        nfdump 패키지의 파일 이름 형식은 nfdump_<버전 번호> .deb입니다. 이 예시에서는 nfdump_1.6.15-3_i386.deb입니다.
    2. 1일 동안 데이터를 저장하도록 Netflow 수집기를 구성합니다.
      1. Netflow 수집기를 호스팅하는 서버에서 명령줄 창을 엽니다.
      2. cron 작업을 생성합니다.
        crontab -e
      3. 올바른 경로를 사용하여 다음 명령을 입력합니다.
        */10 * * * * /usr/local/bin/nfexpire -e /data/nfdump -t 1d
    3. Nfdump 데이터를 사용하여 파일을 만듭니다.
      예를 들어, 다음 명령을 사용합니다.

      nfdump -q -m -R /data/nfdump/ -o extended -t 2016/07/06.07:00:00-2016/07/06.07:10:00 'inet and proto tcp' >> /tmp/my_file

    4. 파일이 매우 큰 경우에는 다음 명령으로 gzip 형식을 사용하여 압축할 수 있습니다.
      gzip /tmp/my_file
    5. Nfdump 데이터 파일을 MID 서버에 복사합니다.
    6. Netflow 수집기에서 수집한 데이터를 받도록 서비스 매핑을 구성합니다.
      1. 다음으로 이동 서비스 매핑 > 관리 > 플로우 커넥터.
      2. 새로 만들기를 클릭합니다.
      3. ndfdump 파일을 클릭합니다.
      4. dfdump 파일 페이지에서 다음과 같이 매개변수를 구성합니다.
        필드 설명
        이름 커넥터에 대한 설명이 포함된 이름입니다.
        nfdump 데이터 경로 5에 nfdump 데이터 파일을 저장한 MID 서버의 위치 경로입니다.
        MID 서버 nfdump 파일을 복사할 MID 서버입니다.
        Gzip된 파일 nfdump 파일을 MID 서버에 저장하기 전에 gzip 형식으로 변환한 경우 이 매개변수를 true로 설정하여 압축을 풉니다.
      5. 제출을 클릭합니다.
    7. 서비스 매핑에서 Netflow를 사용하여 데이터를 수집하는지 확인합니다.
      1. nfdump 파일 양식에서 새로 구성된 커넥터를 선택하고 지금 실행을 클릭하여 데이터 수집 흐름을 시작하고 플로우 연결 [sa_flow_connection] 테이블을 채웁니다.
      2. 다음으로 이동 시스템 정의 > 테이블.
      3. 플로우 연결 [sa_flow_connection] 테이블을 클릭합니다.
      4. 관련 링크에서 목록 표시를 클릭합니다.
      5. 테이블에 데이터가 포함되어 있는지 확인합니다.

    다음에 수행할 작업

    테스트 결과가 만족스러우면 Netflow를 사용하여 데이터 수집 구성에 설명된 대로 Netflow 기반 데이터 수집을 구성합니다.