Einstellungen für Listener-Port, Erfassung und Speicherung
Über das Dialogfeld „NTA-Einstellungen“ (Menü ) können Sie auf die NTA-System- und Anwendungseinstellungen zugreifen, wie z. B. Protokollierung, Überwachungsport, Datenspeicherung und Datenverwaltungseigenschaften.
(Allgemeine Einstellungen)
- . Geben Sie die TCP/IP-Portnummer oder die IP-Adresse ein, die der Netzwerkdatenverkehrsanalyse-Collector-Dienst für die Überwachung der Flow-Pakete verwenden soll. Lassen Sie das Feld leer, um die Standardeinstellung zu verwenden. Mit Netzwerkdatenverkehrsanalyse können auch mehrere Ports/IP-Adressen überwacht werden.
- Wenn Sie keine Portnummer angeben, wird Port 9999 als Standardwert verwendet.
- Wenn Sie keine IP-Adresse oder den Wert „0.0.0.0“ angeben, überwacht der NTA-Collector alle IP-Adressen (alle IP-Adressen, die für das Gerät konfiguriert werden, auf dem der Collector ausgeführt wird).
: Wenn Sie Netzwerkdatenverkehrsanalyse so konfigurieren, dass die Überwachung nicht am Standardport erfolgt, müssen Sie sich vergewissern, dass der neue Port nicht von einem anderen Dienst verwendet wird. Wenn Sie die Windows-Firewall einsetzen, müssen Sie zudem dafür sorgen, dass der Firewall eine Ausnahme hinzugefügt wird.
- . Wählen Sie die Angaben zu den Protokollstufen aus. Jede Stufe enthält höhere Schweregrade. So enthält „Ausführlich“ beispielsweise die Schweregrade Normal und Fehler.
- . Aufzeichnung von Protokollmeldungen, bei denen es sich um Fehler handelt.
- . Aufzeichnung von Protokollmeldungen mit Schweregrad „Fehler“ und „Information“.
- . Wählen Sie diesen Schweregrad, wenn Sie die Protokollierungsstufe mit den meisten Informationen wünschen. Eignet sich für die Fehlersuche am besten. Diese Option kann dazu führen, dass sehr viele Protokollmeldungen erzeugt werden, wodurch die Systemleistung möglicherweise herabgesetzt wird.
- . Geben Sie an, wie oft Netzwerkdatenverkehrsanalyse Rohdaten von den Quellen in die Datenbank übernehmen soll. Zur Auswahl stehen 1, 2, 3, 4, 5 und 10 Minuten. Standardmäßig werden Rohdaten alle 2 Minuten in die Datenbank übernommen.
: Werden die Einstellungen für das Erfassungsintervall geändert, wirkt sich das auch auf die Granularität und die Stichproben aus, die aus den Netzwerkdatenverkehrsanalyse-Berichten hervorgehen. Wird für das Intervall 5 Minuten angegeben, können Sie den während der ersten Minute erfassten Datenverkehr nicht von dem Datenverkehr unterscheiden, der in der vierten Minute erfasst wurde.
- . Stößt der Netzwerkdatenverkehrsanalyse-Collector-Dienst auf eine IP-Adresse, versucht er, Informationen zum Host zu ermitteln, der mit dieser IP-Adresse verknüpft ist. Nachdem diese Informationen aufgelöst sind, werden sie in der Netzwerkdatenverkehrsanalyse-Datenbank gespeichert. Geben Sie das Intervall (in Stunden) ein, das verstreichen soll, bis Netzwerkdatenverkehrsanalyse die private IP-Adresse noch einmal prüft und diejenigen Informationen auflöst, die sich zu der Adresse geändert haben. Standardmäßig werden private Adressen alle 48 Stunden aufgelöst.
- . Stößt der Netzwerkdatenverkehrsanalyse-Collector-Dienst auf eine IP-Adresse, versucht er, Informationen zum Host zu ermitteln, der mit dieser IP-Adresse verknüpft ist. Nachdem diese Informationen aufgelöst sind, werden sie in der Netzwerkdatenverkehrsanalyse-Datenbank gespeichert. Geben Sie das Intervall (in Stunden) ein, das verstreichen soll, bis Netzwerkdatenverkehrsanalyse die öffentliche IP-Adresse noch einmal prüft und diejenigen Informationen auflöst, die sich an der Adresse geändert haben. Standardmäßig werden öffentliche Adressen alle 720 Stunden (30 Tage) aufgelöst.
: Da öffentliche IP-Adressen weniger häufig geändert werden, sollten Sie dafür größere Intervalle verwenden als bei der Option „Intervall für die Auflösung privater Adressen“.
- . Geben Sie die Anzahl der Stunden ein, nach deren Ablauf Netzwerkdatenverkehrsanalyse den nicht klassifizierten Datenverkehr endgültig löschen soll. Bei einem nicht klassifizierten Datenverkehr handelt es sich um Datenverkehr, der über Ports übertragen wird, die aktuell nicht von Netzwerkdatenverkehrsanalyse überwacht werden. Standardmäßig ist für diese Option „1“ angegeben. Das führt dazu, dass Daten für alle nicht klassifizierten Ports von Netzwerkdatenverkehrsanalyse als einzelner Wert zusammengeführt und gespeichert werden; weitere Einzelheiten zu den jeweiligen nicht klassifizierten Ports, über die Datenverkehr stattgefunden hat, werden verworfen.
: Überlegen Sie sich gut, wenn Sie die Zeit für erhöhen möchten, da die Netzwerkdatenverkehrsanalyse-Datenbank bei einer Erhöhung erheblich anwachsen kann.
: Der Collector löscht sämtliche nicht klassifizierten Daten, bei denen nach dem angegebenen Schwellenwert für den keine Aktivität mehr zu verzeichnen ist.
Datenspeicherung
Den Abschnitt „Datenspeicherung“ im Dialogfeld „Einstellungen für den Flow-Monitor“ können Sie verwenden, um Parameter für die Datenspeicherung von Flow- und Schnittstellendaten festzulegen. Durch periodisches Rollup und periodische Archivierung von Flow-Daten werden die für die Datenspeicherung benötigten Systemressourcen minimiert und die Reaktionsfähigkeit des Systems bei datenintensiven Vorgängen verbessert.
Einstellungen für die Datenspeicherung
Sie können die Datenspeicherung von Flow-Daten entweder manuell feinjustieren oder von Netzwerkdatenverkehrsanalyse automatisch abstimmen und optimieren lassen. Die Justierung ist zur Verwaltung der Wachstumsrate der Netzwerkdatenverkehrsanalyse-Datenbanken notwendig.
Flow-Daten enthalten viele Parameter (Eingangs- und Ausgangsschnittstellen, Quell- und Ziel-IP-Adressen, Portnummern, Byte-Raten, Flow-Endzeiten usw.), die nützliche Informationen liefern, was jedoch Speicherplatz verbraucht. Durch das Rollup der Daten wird die Speicherung zwar effizienter, es kann jedoch zum Verlust zeitbezogener Informationen innerhalb einzelner Flows kommen.
Die folgenden Parameter werden verwendet, um die Säuberung von Flow-Daten zu steuern.
- . Bei Auswahl dieser Option optimiert der Netzwerkdatenverkehrsanalyse-Collector die Einstellungen für die Flow-Datensäuberung. Dadurch lässt sich die Datenbankgröße im Hinblick auf die Systemleistung besser kontrollieren. Standardmäßig ist die automatische Abstimmung aktiviert. Es hat sich bewährt, die automatische Abstimmung der Flow-Datenspeicherung zu aktivieren.
- . Mit dieser Option können Sie den Prozentsatz für den Rohdatenverkehr festlegen, den der Collector in die Datenbank übernehmen soll. Wenn Sie auf diese Einstellungen zugreifen möchten, müssen Sie das Kontrollkästchen deaktivieren.
: Die Standardeinstellungen für die Datensäuberung sind zwar konservativ, aber eine Änderung der Rollup-Eigenschaften kann sich direkt auf die Größe der Netzwerkdatenverkehrsanalyse-Datenbank und somit auf die Leistung der Anwendung auswirken. Gehen Sie umsichtig vor, wenn Sie diese Einstellungen ändern. Beobachten Sie die Auswirkungen solcher Änderungen auf die Datenbankgröße des Netzwerkdatenverkehrsanalyse-Collectors und die Anwendungsleistung.
: Wenn Sie den Cursor in ein Feld setzen, um einen Wert zu ändern, erscheint am unteren Rand des Dialogfelds eine Meldung. Diese Meldung liefert Informationen und Empfehlungen zu den Maximalwerten für Anzahl und Prozentsatz der Flow-Datensätze, die in der Netzwerkdatenverkehrsanalyse-Daten- und -Archivdatenbank gespeichert werden. Sobald Sie Änderungen vornehmen, können Sie der Meldung entnehmen, wie sich diese Änderungen auf die Anzahl der in der Netzwerkdatenverkehrsanalyse-Daten- und Archivdatenbank gespeicherten Datensätze auswirken werden.
- . Geben Sie die Mindestdauer (in Stunden) an, für die Flow-Paket-Rohdaten gespeichert werden sollen, oder behalten Sie den Standardwert (4 Stunden) bei. Mit dieser Einstellung wird ein fortlaufendes Zeitfenster für Flow-Paket-Rohdaten eingerichtet. Flow-Rohdaten, die das Ende dieses Zeitfensters erreichen, werden einem Rollup unterzogen. Das Rollup von Rohdaten erfolgt zu jeder vollen Stunde. Nach einem solchen Rollup kann Netzwerkdatenverkehrsanalyse nur Berichte auf Grundlage der stündlich vorgenommenen Summenbildung erzeugen.
- . Geben Sie (in Tagen) an, wie lange die stündlichen Daten gespeichert werden sollen, oder behalten Sie den Standardwert (24 Stunden) bei. Mit dieser Einstellung wird ein fortlaufendes Zeitfenster für stündliche Daten eingerichtet, das sich über die angegebene Anzahl von Tagen erstreckt. Haben stündliche Daten dieses Alter erreicht, findet ein Rollup für sie statt. Das Rollup von stündlichen Daten erfolgt täglich. Nach dem Rollup von stündlichen Daten kann Netzwerkdatenverkehrsanalyse nur Berichte zu den aggregierten Gesamtwerten für den kompletten 24-Stunden-Zeitblock erzeugen.
- . Geben Sie (in Tagen) an, wie lange die täglichen Daten mindestens gespeichert werden sollen, bevor sie archiviert werden, oder behalten Sie den Standardwert (3 Tage) bei. Haben tägliche Daten dieses Alter erreicht, werden sie archiviert. Die archivierten Daten können von Netzwerkdatenverkehrsanalyse mit einigen Einschränkungen weiter eingesehen werden. Dies wird anhand eines fortlaufenden Zeitfensters für tägliche Daten umgesetzt. Wenn Sie beispielsweise die Daten eines Tages vor der Archivierung speichern, würden all diejenigen Daten in diesen Zeitraum fallen, die aus den vergangenen 24 Stunden bis zum jetzigen Zeitpunkt stammen.
- . Geben Sie (in Tagen) an ein, wie lange die archivierten Daten gespeichert werden sollen, oder behalten Sie den Standardwert (7 Tage) bei. Mit dieser Einstellung wird ein fortlaufendes Zeitfenster für archivierte tägliche Daten eingerichtet, das sich über die angegebene Anzahl von Tagen erstreckt. Wenn der angegebene Zeitraum für die Speicherung von Archivdaten abgelaufen ist, werden die Daten aus der Flow-Collector-Datenbank gelöscht. Netzwerkdatenverkehrsanalyse kann nach der Löschung keine Berichte zu diesen Daten mehr erstellen.