Einstellungen für Listener-Port, Erfassung und Speicherung
‑Über das Dialogfeld „NTA-Einstellungen“ (Menü ) können Sie auf die NTA-System- und Anwendungseinstellungen zugreifen, wie z. B. Protokollierung, Überwachungsport, Datenspeicherung und Datenverwaltungseigenschaften.
(Allgemeine Einstellungen)
- . Geben Sie die TCP/IP-Portnummern oder die IP-Adresse ein, die der Netzwerkdatenverkehrsanalyse-Collector-Dienst für die Überwachung der Flow-Informationen verwenden soll. Netzwerkdatenverkehrsanalyse Eine oder mehrere Ports/IP-Adressen können überwacht werden, wobei Port 9999 der Standardport ist. Wird keine IP-Adresse festgelegt, wird die Standardadresse verwendet: 0.0.0.0. Die Quellen, die Flow-Informationen an Netzwerkdatenverkehrsanalyse senden, müssen für die Übermittlung der Daten eine dieser Portnummern bzw. IP-Adressen verwenden.
: Wenn Sie Netzwerkdatenverkehrsanalyse so konfigurieren, dass an mehr als einem Port oder an einem anderen als dem Standardport eine Überwachung erfolgt, müssen Sie sich vergewissern, dass der Port nicht von einem anderen Dienst verwendet wird. Wenn Sie die Windows-Firewall einsetzen, müssen Sie zudem dafür sorgen, dass der Firewall eine Ausnahme hinzugefügt wird.
- . Wählen Sie die Angaben zu den Protokollstufen aus. Jede Stufe enthält höhere Schweregrade. So enthält „Ausführlich“ beispielsweise die Schweregrade „Normal“ und „Fehler“.
- . Aufzeichnung von Protokollmeldungen, bei denen es sich um Fehler handelt.
- . Aufzeichnung von Protokollmeldungen mit Schweregrad „Fehler“ und „Information“.
- . Wählen Sie diesen Schweregrad, wenn Sie die Protokollierungsstufe mit den meisten Informationen wünschen. Eignet sich für die Fehlersuche am besten. Diese Option kann dazu führen, dass sehr viele Protokollmeldungen erzeugt werden, wodurch die Systemleistung möglicherweise herabgesetzt wird.
- . Geben Sie an, wie oft Netzwerkdatenverkehrsanalyse Rohdaten von den Quellen in die Datenbank übernehmen soll. Zur Auswahl stehen 1, 2, 3, 4, 5 und 10 Minuten. Standardmäßig werden Rohdaten alle 2 Minuten in die Datenbank übernommen.
: Werden die Einstellungen für das Erfassungsintervall geändert, wirkt sich das auch auf die Granularität und die Stichproben aus, die aus den Netzwerkdatenverkehrsanalyse-Berichten hervorgehen. Wird für das Intervall 5 Minuten angegeben, können Sie den während der ersten Minute erfassten Datenverkehr nicht von dem Datenverkehr unterscheiden, der in der vierten Minute erfasst wurde.
- . Stößt der Netzwerkdatenverkehrsanalyse-Collector-Dienst auf eine IP-Adresse, versucht er, Informationen zum Host zu ermitteln, der mit dieser IP-Adresse verknüpft ist. Nachdem diese Informationen aufgelöst sind, werden sie in der Netzwerkdatenverkehrsanalyse-Datenbank gespeichert. Geben Sie das Intervall (in Stunden) ein, das verstreichen soll, bis Netzwerkdatenverkehrsanalyse die private IP-Adresse noch einmal prüft und diejenigen Informationen auflöst, die sich zu der Adresse geändert haben. Standardmäßig werden private Adressen alle 48 Stunden aufgelöst.
- . Stößt der Netzwerkdatenverkehrsanalyse-Collector-Dienst auf eine IP-Adresse, versucht er, Informationen zum Host zu ermitteln, der mit dieser IP-Adresse verknüpft ist. Nachdem diese Informationen aufgelöst sind, werden sie in der Netzwerkdatenverkehrsanalyse-Datenbank gespeichert. Geben Sie das Intervall (in Stunden) ein, das verstreichen soll, bis Netzwerkdatenverkehrsanalyse die öffentliche IP-Adresse noch einmal prüft und diejenigen Informationen auflöst, die sich an der Adresse geändert haben. Standardmäßig werden öffentliche Adressen alle 720 Stunden (30 Tage) aufgelöst.
: Da öffentliche IP-Adressen weniger häufig geändert werden, sollten Sie dafür größere Intervalle verwenden als bei der Option „Intervall für die Auflösung privater Adressen“.
- . Geben Sie die Anzahl der Stunden ein, nach deren Ablauf Netzwerkdatenverkehrsanalyse den nicht klassifizierten Datenverkehr endgültig löschen soll. Bei einem nicht klassifizierten Datenverkehr handelt es sich um Datenverkehr, der über Ports übertragen wird, die aktuell nicht von Netzwerkdatenverkehrsanalyse überwacht werden. Standardmäßig ist für diese Option „0“ (null) angegeben. Das führt dazu, dass Daten für alle nicht klassifizierten Ports von Netzwerkdatenverkehrsanalyse als einzelner Wert zusammengeführt und gespeichert werden; weitere Einzelheiten zu den jeweiligen nicht klassifizierten Ports, über die Datenverkehr stattgefunden hat, werden sofort verworfen.
: Überlegen Sie gut, wenn Sie die Zeit für „Ablauf des nicht klassifizierten Datenverkehrs nach“ erhöhen möchten, da die Datenbank bei einer Erhöhung erheblich anwachsen kann.
: Der Collector löscht sämtliche nicht klassifizierten Daten, bei denen nach dem angegebenen Wert für den „Ablauf des nicht klassifizierten Datenverkehrs nach“ keine Aktivität mehr zu verzeichnen ist.
Datenspeicherung
Den Abschnitt „Datenspeicherung“ im Dialogfeld „Einstellungen für den Flow-Monitor“ können Sie verwenden, um Parameter für die Datenspeicherung von Flow- und Schnittstellendaten festzulegen. Durch periodisches Rollup und periodische Archivierung von Flow-Daten werden die für die Datenspeicherung benötigten Systemressourcen minimiert und die Reaktionsfähigkeit des Systems bei datenintensiven Vorgängen verbessert.
Einstellungen für die Datenspeicherung
Netzwerkdatenverkehrsanalyse Hiermit können Sie die Datenspeicherung manuell abstimmen oder zulassen, dass Netzwerkdatenverkehrsanalyse eine automatische Abstimmung der Flow-Datenspeicherung vornimmt, wodurch wiederum die Wachstumsrate der Netzwerkdatenverkehrsanalyse-Datenbank aktiv gesteuert wird.
Flow-Daten enthalten viele Parameter (Eingangs- und Ausgangsschnittstellen, Quell- und Ziel-IP-Adressen, Portnummern, Byte-Raten, Flow-Endzeiten usw.), die nützliche Informationen liefern, was jedoch Speicherplatz verbraucht. Durch das Rollup der Daten wird die Speicherung zwar effizienter, es kann jedoch zum Verlust zeitbezogener Informationen innerhalb einzelner Flows kommen.
Die folgenden Parameter werden verwendet, um die Säuberung von Flow-Daten zu steuern.
- . Bei Auswahl dieser Option optimiert der Netzwerkdatenverkehrsanalyse-Collector die Einstellungen für die Flow-Datensäuberung. Dadurch lässt sich die Datenbankgröße im Hinblick auf die Systemleistung besser kontrollieren. Standardmäßig ist diese Option aktiviert. Es hat sich bewährt, die automatische Abstimmung der Flow-Datenspeicherung zu aktivieren.
- . Mit dieser Option können Sie den Prozentsatz für den Rohdatenverkehr festlegen, den der Collector in die Datenbank übernehmen soll. Wenn Sie auf diese Einstellungen zugreifen möchten, müssen Sie das Kontrollkästchen deaktivieren.
: Die Standardeinstellungen für die Datensäuberung sind zwar konservativ, aber eine Änderung der Rollup-Eigenschaften kann sich direkt auf die Größe der Netzwerkdatenverkehrsanalyse-Datenbank und somit auf die Leistung der Anwendung auswirken. Es ist empfehlenswert, diese Einstellungen gut überlegt zu ändern und die Auswirkungen solcher Änderungen auf die Datenbankgröße und die Anwendungsleistung zu beobachten.
: Wenn Sie den Cursor in ein Feld setzen, um einen Wert zu ändern, erscheint am unteren Rand des Dialogfelds eine Meldung. Diese Meldung liefert Informationen und Empfehlungen zu den Maximalwerten für Anzahl und Prozentsatz der Flow-Datensätze, die in der Netzwerkdatenverkehrsanalyse-Daten- und -Archivdatenbank gespeichert werden. Sobald Sie Änderungen vornehmen, können Sie der Meldung entnehmen, wie sich diese Änderungen auf die Anzahl der in der Netzwerkdatenverkehrsanalyse-Daten- und Archivdatenbank gespeicherten Datensätze auswirken werden.
- . Geben Sie den Zeitraum in Stunden ein, der für die Speicherung der Roh-Flow-Daten verwendet werden soll. Mit dieser Einstellung wird ein fortlaufendes Zeitfenster für Rohdaten eingerichtet, das sich über den angegebenen Zeitraum erstreckt. Rohdaten, die das Ende dieses Zeitraums erreichen, werden einem Rollup unterzogen. Das Rollup von Rohdaten erfolgt zu jeder vollen Stunde. Nach einem solchen Rollup kann Netzwerkdatenverkehrsanalyse nur Berichte auf Grundlage der stündlich vorgenommenen Summenbildung erzeugen. Standardmäßig erfolgt das Rollup von Rohdaten nach 4 Stunden.
- . Geben Sie die Anzahl der Tage ein, über die die stündlichen Daten gespeichert werden sollen. Mit dieser Einstellung wird ein fortlaufendes Zeitfenster für stündliche Daten eingerichtet, das sich über die angegebene Anzahl von Tagen erstreckt. Haben stündliche Daten dieses Alter erreicht, findet ein Rollup für sie statt. Das Rollup von stündlichen Daten erfolgt täglich. Nach dem Rollup von stündlichen Daten kann Netzwerkdatenverkehrsanalyse nur Berichte zu den aggregierten Gesamtwerten für den kompletten 24-Stunden-Zeitblock erzeugen. Standardmäßig werden stündliche Daten einen Tag lang gespeichert.
- . Geben Sie die Anzahl der Tage ein, über die die täglichen Daten gespeichert werden sollen, bevor sie archiviert werden. Haben tägliche Daten dieses Alter erreicht, werden sie archiviert. Netzwerkdatenverkehrsanalyse Die archivierten Daten können mit einigen Einschränkungen weiter eingesehen werden. Standardmäßig werden tägliche Daten nach drei Tagen archiviert. Dies wird anhand eines fortlaufenden Zeitfensters für tägliche Daten umgesetzt. Wenn Sie beispielsweise die Daten eines Tages vor der Archivierung speichern, würden all diejenigen Daten in diesen Zeitraum fallen, die aus den vergangenen 24 Stunden bis zum jetzigen Zeitpunkt stammen.
- . Geben Sie die Anzahl der Tage ein, über die die täglichen Daten in der Archivdatenbank gespeichert werden sollen. Mit dieser Einstellung wird ein fortlaufendes Zeitfenster für archivierte tägliche Daten eingerichtet, das sich über die angegebene Anzahl von Tagen erstreckt. Haben die archivierten täglichen Daten dieses Alter erreicht, werden sie aus der Datenbank endgültig gelöscht. Nach dem endgültigen Löschen der archivierten Daten kann Netzwerkdatenverkehrsanalyse keine Berichte zu diesen Daten mehr erzeugen. Standardmäßig werden Archivdaten nach 7 Tagen aus der Datenbank gelöscht.