Flow Monitor では、NetFlow 対応デバイスおよび Flow Publisher からの 1 分あたり数百万の NetFlow レコードを処理しながら、個々のデバイスに対しても直接 SNMP ポーリングを実行してインターフェイスデータを収集します。行形式で保管されるフローレコード数は、Flow Monitor データベースのサイズおよびレポートの生成や表示などのデータ集約的操作のパフォーマンスに対して直接的な影響を与えます。Flow Monitor では、システムのストレージおよび操作に対するデータ保管の影響が最も小さいデータの圧縮、選別、および保存方法を採用しています。次の図は、データ保管方法のそれぞれの段階と、Flow Monitor データベースに保管されたフローレコードの合計数に基づいた各段階の相対的な影響を示します。
データ保管方法の第 1 ステップは、生データ収集の合間に実行されます。連続するデータ収集の合間に発生するキーデータが同じフローレコードは、1 つのフローレコードに集約されます。この結果、レコードのサイズはわずかに減少し、データ収集の間隔が長くなるほど、減少する割合が大きくなります。この間隔を調整するには、[データ収集間隔] オプションを選択します。
生データの圧縮は、時間ロールアップ中に実行されます。1 時間ごとに、1 時間分の生 NetFlow レコードが 1 時間単位の保管期間としてエージアウトされ、1 つのレコードに圧縮されます。個々のフローの開始および終了時刻が失われている場合でも、この圧縮時にデータストレージへの初期保存が実行されます。生データを時間データレコードにロールアップするまで保管する期間を指定するには、[生データを x 時間保持する] オプションを選択します。
保管方法の第 2 ステップでは、サイズが最も小さいフローレコードが保管対象のデータから削除されるようにフローデータを選別します。このステップでは、フロー別にレポートされたバイト数で表されるトラフィックのバイト数のサイズに基づいて、サイズでフローレコードを順序付けし、フローレコードの合計の割合を保管します。システムは、サイズ (バイト数) でフローレコードの 97 ~ 99 パーセントを維持するように設定され、フロートラフィックの下から 1 ~ 3 パーセントを破棄します。破棄されるレコードは、フローデータで表される合計バイト数に対してはごくわずかな割合ですが、多くの削除される接続、ポートスキャン、またはその他のアクティビティが表されるフローのバイト数が少ない場合、破棄される個々のフローレコード数は非常に多くなります。このようなレコードを選別することで、ストレージ要件のサイズが大幅に減少し、これに対応してデータ集約的操作のパフォーマンスが向上し、データ保管のサイズの減少はごくわずかになります。このようなフローデータの選別は、コレクタが生レコードを書き込むときや、生データから毎時データへ、さらに毎時データから日次データへとロールアップするときに行われます。保管するフローデータの割合を設定するには、[保管するトラフィックの割合] オプションを選択します。
データが選別されると、日次ロールアップ中にデータ圧縮が実行されます。1 日ごとに、1 日分の時間ロールアップが 1 日単位の保管期間としてエージアウトされ、その日の 1 つのレコードに圧縮されます。時間ロールアップレコードを日次レコードにロールアップするまでアクティブな Flow Monitor データベースに保管する期間を指定するには、[時間データの保管期限 (x 日)] オプションを選択します。
最後に、それぞれの日の日次データが保存されます。このとき、日次保管期間としてエージアウトされた日時データは削除されます。毎日、日次ロールアップ中、日次レコードは NetFlow アーカイブに書き込まれ、NetFlow Active データベースから削除されます。日次ロールアップレコードを Flow Monitor アーカイブデータベースに保存するまでアクティブな Flow Monitor データベースに保管する期間を指定するには、[日次データの保管期限 (x 日)] オプションを選択します。
データ保管は、[データ収集間隔]、[保管するトラフィックの割合]、およびデータ保管方法 (生フローデータ、時間フローデータ、および日次フローデータ) のさまざまな段階の保管期間を変更して、手動で調整するか、[フローデータ保管の自動調整] オプションを選択して自動的に調整されるように設定できます。
システムの自動調整を有効にした場合 ([フローデータ保管の自動調整] オプションが選択されている場合)、データ保管期間は自動で調整され、データストレージおよびシステムパフォーマンスが最適化される通常の範囲でレコード数が維持されます。Flow Monitor では、データベースから収集した情報を使用して、データベースの増加率を概算し、保管設定を調整して、データベースの合計サイズが最小 100 万から最大 1000 万のフローレコード数の推奨群で維持されるようにします。この推奨群は、データ保管方法の各段階のストレージ要件に基づいています。
データ保管の設定を手動で調整する場合 ([フローデータ保管の自動調整] オプションの選択が解除されている場合)、各設定を調整するとき、ダイアログの下部のメッセージ領域にガイダンスが表示されます。このフィードバックには、最大推奨データベースサイズ (1000 万レコード) と比較して現在の設定または提案された設定がデータベースサイズにどのような影響を与えるかについての情報が含まれています。生データ、毎時データ、および日次データの最大推奨データベースサイズは、それぞれのカテゴリの全データに対して比較され、Flow Monitor アクティブデータベースのサイズに準拠しています。日次データのアーカイブに関する目安は、Flow Monitor アーカイブデータベースのサイズに基づいています。