Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (2024)

Table of Contents
Inleiding Voorwaarden Vereisten Configuratiehandleidingen Gebruikte componenten Achtergrondinformatie Verplichte velden Proces voor probleemoplossing Gerelateerde informatie

    Inleiding

    Dit document beschrijft hoe u problemen kunt oplossen met NetFlow Telemetry Ingest in Secure Network Analytics (SNA).

    Voorwaarden

    • Cisco SNA-kennis
    • Kennis van NetFlow/IPFIX

    Vereisten

    • Secure Network Analytics in 7.5.0 of nieuwer
    • Flow Collector in 7.5.0 of nieuwer
    • CLI-toegang als sysadmin tot de Flow Collector
    • Admin UI-toegang als beheerder van Flow Collector

    Configuratiehandleidingen

    • NetFlow/IPFIX configureren voor telemetrieoverzicht voor beveiligde netwerkanalyses

    Gebruikte componenten

    • SNA Manager en Flow Collector op 7.5.0
    • Wireshark-software

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De Flow Collector is een SNA-apparaat dat verantwoordelijk is voor het verzamelen, verwerken en opslaan van stromen die naar Secure Network Analytics worden verzonden. Voor NetFlow versie 9 of IPFIX kunnen er verschillende velden worden opgenomen in NetFlow/IPFIX sjabloon om meer informatie toe te voegen met betrekking tot netwerkverkeer, maar er zijn 9 specifieke velden die moeten worden opgenomen in NetFlow/IPFIX sjabloon voor de Flow Collector om die stromen te verwerken. Flow Collector verwerkt geen inkomende stromen die een niet-geldige sjabloon omvatten, daarom geeft SNA geen stroominformatie weer van die exporteurs onder Web UI of Desktop Client.

    Verplichte velden

    Volgende velden moeten worden opgenomen in NetFlow/IPFIX sjabloon voor telemetrie inname. Zorg ervoor dat deze 9 velden zijn opgenomen in NetFlow/IPFIX-sjabloon, zodat Secure Network Analytics inkomende stromen kan verwerken.

    • IP-bronadres
    • IP-adres van bestemming
    • Bronpoort
    • Doelpoort
    • Layer 3-protocol
    • aantal bytes
    • PacketCount
    • Stroombegintijd
    • Flow End-tijd

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (1)

    Opmerking: er kunnen meer velden worden opgenomen in NetFlow/IPFIX-configuratie, maar de vorige velden zijn de minimumvereisten van Secure Network Analytics voor Telemetry Ingest.

    Proces voor probleemoplossing

    Controleer NetFlow/IPFIX-telemetrieoverzicht

    Om te bevestigen of de SNA Flow Collector NetFlow/IPFIX-telemetrie ontvangt en invoegt van de exporteurs:

    1. Log in op SNA Flow Collector Admin UI met admin referenties: https://<Flow Collector IP Address>/swa/login.html
    2. Navigeer in het linkerpaneel naar Ondersteuning > Bladeren door bestanden
    3. Naar de volgende map navigeren: sw > vandaag > logs
    4. Klik op het bestand sw.log om het naar uw lokale machine te downloaden en open het in een teksteditor.
    5. Zoek naar deze lijnen onderaan het logboek, deze samenvatting wordt gemaakt elke vijf minuten:

    18:45:00 I-sch-t: process_5_min_period: begin18:45:00 I-sch-t: process_5_min_period: periods(177)18:45:00 S-per-t: Performance Period 17718:45:00 S-per-t: Engine status Status normal18:45:00 S-per-t: Processed 6948 flows at 24 fps this period18:45:00 S-per-t: Processed 4226 biflows at 15 fps this period18:45:00 S-per-t: Dropped 0 flows this period18:45:00 S-per-t: Discarded 4358 flows this period due to insufficient template data18:45:00 S-per-t: Processed 1838743 flows at 35 fps today18:45:00 S-per-t: Dropped 0 flows today18:45:00 S-per-t: Discarded 11069 flows today due to insufficient template data18:45:00 S-per-t: Process instance 0 processed 3372 flows at 12 fps this period18:45:00 S-per-t: Process instance 0 processed 2066 biflows at 7 fps this period18:45:00 S-per-t: Process instance 1 processed 3576 flows at 12 fps this period18:45:00 S-per-t: Process instance 1 processed 2160 biflows at 8 fps this period18:45:00 S-per-t: Inserted 2048 flow stats at 7 fps this period18:45:00 S-per-t: Inserted 2013 interface stats at 7 fps this period18:45:00 S-per-t: Inserted 470932 flow stats at 9 fps today18:45:00 S-per-t: Inserted 678994 interface stats at 13 fps today

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (2)

    See Also
    Fast Food in Yorktown, VA at 8129 Geo Washngtn Hwy | McDonald's

    Toelichting: Lijn 8 geeft aan dat er stromen zijn die zijn afgestoten vanwege onvoldoende sjabloongegevens over de laatste periode.

    Controleer NetFlow/IPFIX-sjabloon

    U kunt de velden in de NetFlow/IPFIX-sjabloon als volgt bevestigen:

    1. Log in op SNA Flow Collector CLI met sysadmin referenties.

    2. Navigeer in het menu SystemConfig naar: Advanced > Packet Capture

    3. Vermeld de informatie van de exporteur waaruit geen stromen op SNA blijken:

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (3)

    4. Wacht tot het proces is voltooid.

    5. Meld u aan bij SNA Flow Collector Admin UI met admin-referenties om het bestand te downloaden: https://<Flow Collector IP Address>/swa/login.html

    6. Ga in het linkerpaneel naar Ondersteuning > Bestanden bladeren

    7. Navigeer naar de volgende map: tcpdump

    8. Klik op het pakketopnamebestand om het naar uw lokale computer te downloaden en open het op Wireshark:

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (4)

    9. Identificeer het kader waarin de NetFlow/IPFIX-sjabloon is ontvangen.

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (5)

    10. Valideren dat de 9 vereiste velden op de sjabloon worden weergegeven

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (6)

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (7)

    Opmerking: Merk op dat op de sjabloon slechts 8 van de 9 verplichte velden die SNA vereist voor Telemetry Ingest zijn, voor dit scenario ontbreekt het BYTES-veld.

    Controleer NetFlow/IPFIX Telemetry Ingest na het toevoegen van de ontbrekende velden.

    Om te bevestigen of de SNA Flow Collector NetFlow/IPFIX-telemetrie ontvangt en invoegt van de exporteur na de wijziging:

    1. Log in op SNA Flow Collector Admin UI met admin referenties: https://<Flow Collector IP Address>/swa/login.html
    2. Navigeer in het linkerpaneel naar Ondersteuning > Bladeren door bestanden
    3. Naar de volgende map navigeren: sw > vandaag > logs
    4. Klik op het bestand sw.log om het naar uw lokale machine te downloaden en open in een tekstverwerker.
    5. Zoek naar deze lijnen onderaan het logboek

    19:20:00 I-sch-t: process_5_min_period: begin19:20:00 I-sch-t: process_5_min_period: periods(184)19:20:00 S-per-t: Performance Period 18419:20:00 S-per-t: Engine status Status normal19:20:00 S-per-t: Processed 10992 flows at 37 fps this period19:20:00 S-per-t: Processed 4176 biflows at 14 fps this period19:20:00 S-per-t: Dropped 0 flows this period19:20:00 S-per-t: Discarded 0 flows this period due to insufficient template data19:20:00 S-per-t: Processed 1896017 flows at 35 fps today19:20:00 S-per-t: Dropped 0 flows today19:20:00 S-per-t: Discarded 36041 flows today due to insufficient template data19:20:00 S-per-t: Process instance 0 processed 5575 flows at 19 fps this period19:20:00 S-per-t: Process instance 0 processed 2195 biflows at 8 fps this period19:20:00 S-per-t: Process instance 1 processed 5417 flows at 19 fps this period19:20:00 S-per-t: Process instance 1 processed 1981 biflows at 7 fps this period19:20:00 S-per-t: Inserted 2878 flow stats at 10 fps this period19:20:00 S-per-t: Inserted 4510 interface stats at 16 fps this period19:20:00 S-per-t: Inserted 486734 flow stats at 9 fps today19:20:00 S-per-t: Inserted 696260 interface stats at 13 fps today

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (8)

    Toelichting: Lijn 8 geeft aan dat er in de laatste periode geen afgedankte stromen zijn.

    Controleer de NetFlow/IPFIX-telemetriepoort

    Om te bevestigen of de SNA Flow Collector NetFlow/IPFIX-telemetrie ontvangt van de exporteurs op de juiste poort:

    1. Log in op SNA Web UI met een gebruiker met beheerdersrechten.

    2. Navigeer in het bovenste menu om Flow Collectors te configureren en te kiezen

    3. Bevestig dat de SNA Flow Collector dezelfde poort gebruikt als de exporteurs hebben geconfigureerd om NetFlow/IPFIX te verzenden

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (9)

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (10)

    Opmerking: de standaardpoort voor NetFlow is 2055, maar u kunt een andere poort selecteren, zorg er dan voor dat u dezelfde poort gebruikt tijdens het proces voor eerste installatie op Flow Collector(s).

    Controleer of de NetFlow/IPFIX-telemetrie ingest NetFlow-optie is ingeschakeld

    Ga als volgt te werk om te bevestigen of de optie SNA Flow Collector voor telemetrische invoer van NetFlow/IPFIX is ingeschakeld:

    1. Aanmelden bij SNA Flow Collector Admin UI met beheerreferenties: https://<Flow Collector IP Address>/swa/login.html
    2. Ga in het linkerpaneel naar Ondersteuning > Geavanceerde instellingen
    3. Bevestig dat optie enable_netflow op 1 is ingesteld:

    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (11)

    Gerelateerde informatie

    • Voor extra assistentie kunt u contact opnemen met het Technical Assistance Center (TAC). Er is een geldig ondersteuningscontract vereist: Cisco’s wereldwijde contactgegevens voor ondersteuning.
    • U kunt hier ook de Cisco Security Analytics Community bezoeken.
    • Technische ondersteuning en documentatie – Cisco Systems
    Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses (2024)
    Top Articles
    Conway Regional Health System hiring RN - Critical Care Float Pool in Conway, Arkansas, United States | LinkedIn
    Conway Regional Health System hiring RN- Outpatient Interventional Unit in Conway, Arkansas, United States | LinkedIn
    Articletalkreadeditview Historytools
    The Tonight Show Starring Jimmy Fallon Season 10 Episode 88
    Davita.intranet
    F Factor Diet Review Does It Work For Weight Loss? - Para La Naturaleza
    West Village Veterinary Hospital - 373 Reviews - Birdeye
    Careers at Village Vet London - Village Vet
    Pnc Bank History Wikipedia
    40+ Places To Catch Live Music Around Dallas
    308 Negra Arroyo Lane Albuquerque Google Maps
    Joes Barbershop Maricopa Az
    Latest Posts
    Conway - The Convenience Company België N.V. hiring Human Resources Generalist in Temse, Flemish Region, Belgium | LinkedIn
    Conway Regional Health System hiring RN- Intensive Care Unit in Conway, Arkansas, United States | LinkedIn
    Article information

    Author: Errol Quitzon

    Last Updated:

    Views: 6142

    Rating: 4.9 / 5 (59 voted)

    Reviews: 82% of readers found this page helpful

    Author information

    Name: Errol Quitzon

    Birthday: 1993-04-02

    Address: 70604 Haley Lane, Port Weldonside, TN 99233-0942

    Phone: +9665282866296

    Job: Product Retail Agent

    Hobby: Computer programming, Horseback riding, Hooping, Dance, Ice skating, Backpacking, Rafting

    Introduction: My name is Errol Quitzon, I am a fair, cute, fancy, clean, attractive, sparkling, kind person who loves writing and wants to share my knowledge and understanding with you.