Анализ сетевого трафикаBreadcrumbНастройки порта прослушивателя, сбора и сохранения

Настройки порта прослушивателя, сбора и сохранения

Диалоговое окно «Параметры NTA» (ПАРАМЕТРЫ> Анализ сетевого трафика> Параметры NTA) предоставляет настройки системы и приложения NTA, такие как уровень детализации и серьезность сообщений журнала, порт(-ы), которые прослушивает NTA, а также свойства интервала сбора, хранения и управления данными. Чтобы автоматически проверить, приближаетесь ли вы к пределам для параметров объема данных NTA, вы можете создавать оповещения с помощью порога WhatsUpHealth и периодических отчетов, таких как размер архивной базы данных и использование таблицы базы данных.

Параметры прослушивателя NTA и сбора

Диалоговое окно параметров NTA (показана панель параметров прослушивателя и журнала)

1Small

Прослушиватели. Укажите номер порта TCP/IP, IP-адрес или IP-адрес и порты, которые служба сборщика Анализ сетевого трафика должна прослушивать, или с которого должна получать пакеты потока, либо не заполняйте, чтобы оставить значение по умолчанию. Анализ сетевого трафика может прослушивать один или более портов и IP-адресов.

  • (IP-адрес) Если IP-адрес не определен или указывается значение 0.0.0.0, сборщик NTA выполняет прослушивание всех IPv4-адресов. Чтобы прослушивать IPv6, IPv6-адрес должен быть включен, или можно указать все с помощью следующей нотации: [::].
  • (Порт) Если номер порта не указывается, то номером по умолчанию является 9999.

Tip: Экспортеры потоков, работающие на исходных устройствах разных поставщиков (HP, Cisco, Extreme Network и т. д.), будут использовать разные порты назначения для пакетов NetFlow (например, 2055, 9995 и 9996).

 

Note: Если настроить Анализ сетевого трафика на прослушивание порта, отличающегося от порта по умолчанию, убедитесь, что этот порт не используется другой службой. Также, если вы используете брандмауэр Windows, убедитесь, что в него добавлено исключение.

Note: Можно настроить несколько конечных точек. Несколько конечных точек указываются в виде разделенного запятыми списка. Пример: [IP-адрес1:порт1], [IP-адрес2:порт2] и т.д.

2

Уровень журнала. Выберите подробности уровня журнала. Каждый уровень включает повышенные уровни важности. «Подробно» включает Обычн. и Ошибка, например.

  • Только ошибки. Запись в журнал сообщений об ошибках.
  • Обычн.. Запись в журнал сообщений об ошибках и значимости уровня информации.
  • Подробно. Выберите для самого высокого уровня записываемых в журнал данных (лучше всего подходит для устранения неполадок). Данный параметр может создать множество сообщений журнала и затрачивать много ресурсов.

3

Интервал сбора данных. Частота сохранения данных NTA в базе данных. Выберите частоту записи Анализ сетевого трафика необработанных данных потока от своих источников в базу данных.

Можно выбрать 1, 2, 3, 4, 5 или 10 минут. По умолчанию необработанные данные записываются в базу данных каждые 2 минуты.

Important: Изменение параметров «Интервал сбора данных» влияет на графическую детализацию (то, как необработанные измерения потока группируются по интервалу и наносятся на график) и влияет на точность относительно времени в отчетах Анализ сетевого трафика. Пример: если интервал установлен на пять минут, невозможно отличить пик трафика, собранного в первую минуту, от трафика, собранного в четвертую минуту.

Интервал сбора данных в две минуты, показанный графиком за последние 30 минут (пик и минимальные события, отмеченные стрелками)

Ежечасные интервалы, наблюдаемые за один период (выявлены ежечасные тенденции и замаскированы поминутные тренды)

4

Разрешать интервал адресов в частной сети. Когда служба сборщика Анализ сетевого трафика обнаруживает IP-адрес, она пытается определить информацию по узлу, подключенному к IP-адресу. После разрешения этой информации, она сохраняется в базе данных Анализ сетевого трафика. Введите интервал (в часах) для ожидания Анализ сетевого трафика перед повторной проверкой частного IP-адреса для получения информации, которая может измениться для адреса. По умолчанию частные адреса проверяются каждые 48 часов.

Разрешать интервал адресов в общей сети. Когда служба сборщика Анализ сетевого трафика обнаруживает IP-адрес, она пытается определить информацию по узлу, подключенному к IP-адресу. После разрешения этой информации, она сохраняется в базе данных Анализ сетевого трафика. Введите интервал (в часах) для ожидания Анализ сетевого трафика перед повторной проверкой общего IP-адреса для разрешения информации, которая может измениться для адреса. По умолчанию общие адреса проверяются каждые 720 часов (30 дней).

Tip: Так как вероятность изменения общих IP-адресов меньше, можно использовать более длительные интервалы, чем в параметре «Разрешать интервал адресов в частной сети».

Окончание срока действия неклассифицируемого трафика через. Введите количество часов, после которого Анализ сетевого трафика должен удалять неклассифицируемый трафик. Неклассифицируемый трафик – это трафик, передаваемый через порты, которые не наблюдаются Анализ сетевого трафика. По умолчанию этот параметр установлен в 1, что приводит к объединению и хранению данных Анализ сетевого трафика по всем неклассифицируемым портам в виде отдельного значения. Детальная информация по отдельным неклассифицируемым портам, по которым передавался трафик, отбрасывается.

Important: Будьте осторожны с увеличением длительности параметра Окончание срока действия неклассифицируемого трафика через, так как база данных Анализ сетевого трафика может со временем существенно увеличиться.

Note: Сборщик удаляет все неклассифицируемые данные без действий при достижении значения Окончание срока действия неклассифицируемого трафика через.

 

Хранение данных (с очисткой и настройкой данных)

Можно использовать раздел хранения данных в диалоговом окне Параметры Flow Monitor для установки параметров хранения данных наблюдаемого потока трафика и интерфейса. Периодическое удаление и архивация полученных данных потока минимизирует требования к ресурсам системы, необходимым для обработки и хранения данных, и улучшает реакцию системы при интенсивных операциях с данными.

Caution: Если этот параметр включен, элемент управления Процент сохраняемого трафика является чувствительным! При отключении автоматической настройки помните, что увеличение данных потока в загруженной сети даже на десятую или несколько сотых процента может привести к огромному расширению вашей базы данных. Рекомендуется использовать автоматическую настройку.

Диалоговое окно параметров NTA (показана панель хранения данных)

5

Хранение данных можно настроить либо вручную, либо позволить Анализ сетевого трафика самостоятельно настроить и оптимизировать хранение данных потока. Настройка необходима для управления скоростью увеличения баз данных Анализ сетевого трафика.

Автонастройка включает автоматическую очистку потоковых данных

Tip: Флажок «Автоматическая настройка хранения данных потока NTA» рекомендуется оставить установленным. Автонастройка позволяет очищать пустые или незначительные данные перед добавлением. Очистка входящих данных при необходимости может быть полезной для сохранения производительности без заметной потери достоверности.

Данные потока содержат множество параметров (входящие и исходящие интерфейсы, IP-адреса источника и назначения, номера портов, скорость, время окончания потока и проч.), которые полезны в предоставлении информации, но могут быстро заполнить доступное хранилище. Сведение данных обеспечивает эффективность хранения, но может вызывать потери времени по связанной информации в отдельных потоках.

Следующие параметры используются для управления и очистки данных потока.

Автоматическая настройка хранения данных потока. Установите данный параметр, чтобы сборщик Анализ сетевого трафика оптимизировал параметры удаления данных потока. Используйте эти средства для управления размером базы данных с учетом производительности системы. По умолчанию используется автоматическая настройка. Рекомендуется включить автоматическую настройку хранения данных потока.

Процент сохраняемого трафика. (Ручной режим не рекомендуется, так как он очень чувствителен). Чтобы получить доступ к этому параметру, необходимо снять флажок Автоматическая настройка потока данных. Используйте этот параметр для определения процента необработанного трафика данных, который сборщик будет записывать в базу данных. При неправильном использовании этого элемента управления база данных может заполниться очень быстро. Можно просматривать размер базы данных NTA с помощью отчетов Использование таблицы базы данных и Размер архивной базы данных, а также отслеживать тренды размера с помощью параметра Порог исправности WhatsUp.

Caution: Прежде чем увеличивать значения этих параметров, нужно обеспечить достаточно места и производительность ввода-вывода. Поскольку параметры по умолчанию для очистки данных являются консервативными, изменения параметров свертывания данных может непосредственно повлиять на размер баз данных Анализ сетевого трафика и производительность приложения. Проследить за результатом изменений этих настроек можно путем отслеживания размера базы данных сборщика Анализ сетевого трафика и производительности приложения.

 

6

Note: При наведении курсора в поле для изменения значения, отображается сообщение в нижней части диалогового окна. В данном сообщении содержится информация о количестве и проценте рекомендуемого максимума записей потока для хранения в данных Анализ сетевого трафика и архивных базах данных. При внесении изменений, сообщение отображает, как эти изменения повлияют на количество записей в данных Анализ сетевого трафика и архивных базах данных.

Выберите Период хранения текущих итогов (показаны ежедневные данные архива NetFlow)

Хранить необработанные данные. (Значение по умолчанию = 4 часа) Укажите минимальное количество часов для хранения данных потока или оставьте значение по умолчанию. В конце периода необработанные данные о потоках удаляются, но вы все равно сможете получить доступ к данным, свернутым в ежечасные и ежедневные итоги. Свертывание результатов измерений необработанных данных происходит немедленно при их поступлении. Однако графики отчетов не имеют смысла, если не используется интервал времени, превышающий интервал сбора данных.

Хранить ежечасные данные. (Значение по умолчанию = 4 дня) Укажите количество дней, в течение которых необходимо сохранять ежечасные данные, или оставьте значение по умолчанию. Ежечасные данные вне пределов этого периода свертываются. Свертка ежечасных данных выполняется ежедневно.

Хранить ежедневные данные. (Значение по умолчанию = 15 дней) Укажите минимальное количество дней, в течение которых необходимо сохранять ежедневные данные перед архивированием или оставьте значение по умолчанию. Ежедневные данные вне пределов этого периода архивируются. Анализ сетевого трафика обеспечивает видимость архивированных данных с некоторыми ограничениями. Эти данные ежедневно свертываются в архив.

Хранить архивные данные. Укажите минимальное количество дней, в течение которых необходимо сохранять архивированные данные, или оставьте значение по умолчанию (По умолчанию = 40 дней). Данный параметр устанавливает скользящий период времени архивных ежедневных данных, который охватывает указанное количество дней. После того, как период данных превысит указанный период, они будут удалены из базы данных сборщика потока. После очистки Анализ сетевого трафика более не будет оповещать о данных.

Выберите длительность хранения необработанных, ежечасных, ежедневных и архивированных данных

Прежде чем изменить эти параметры по умолчанию, рассмотрите влияющие факторы:

Данные

Использование/описание

Полезно для

Необр. данные
  • Необработанные данные — это фактические пакеты потока (Flow).
  • Необработанные данные собираются столько раз в час, сколько указано в параметре «Интервал сбора данных».
  • Необработанные данные свертываются в итоговые данные за текущий час.
  • С точки зрения графика, события пика, минимума или изменения будут происходить кратно этому числу.

Необработанные данные являются основой потока и необходимы для всех других временных интервалов. Сохранение таблицы необработанных данных, полученных с короткими (например, двухминутными) интервалами, также полезно для:

  • Масштабирования в ежечасные данные (с ежечасного до ежеминутного просмотра).
  • Скорейшего устранения неисправностей.
  • Отслеживание всплесков или пропусков (обрывов), длящихся менее часа, получаса, нескольких минут или даже минуты (в зависимости от значения этого параметра).

Ежечасные

  • Ежечасные данные пишутся один раз в час
  • Ежечасные данные свертываются в ежедневные итоговые данные.
  • С точки зрения графика, события пика, минимума или изменения будут происходить один раз в час.
  • Отслеживание ежедневных трендов и пиковых периодов дня, например, при перекрытии периодов трафика из двух или более часовых поясов.
  • Масштабирование до ежедневных данных для просмотра ежечасных данных.

Ежедневные
  • Ежедневные данные пишутся один раз в день.
  • Ежедневные данные свертываются в архив.
  • С точки зрения графика, события пика, минимума или изменения будут происходить в течение каждых 24 часов (один раз в час день).

Просмотр долгосрочных (еженедельных, ежемесячных и ежеквартальных) трендов.

Архив
  • Архивные данные — память для долговременного хранения ежедневных данных.
  • С точки зрения графика, события пика, минимума или изменения будут происходить в течение каждых 24 часов (один раз в час день).

Просмотр долгосрочных (еженедельных, ежемесячных и ежеквартальных) трендов.

See Also

Анализ сетевого трафика

Начните анализ вашей сети!

Перед началом

Функции и преимущества NTA

Выбор источников NTA

Настройка и включение сбора в источниках

Создание агрегатированных источников

Агрегатирование источников

Трафик группы

Классифицирование трафика по номеру порта (приложения NTA)

Добавление настраиваемых меток для ИД типов служб (ToS)

Обслуживание базы данных сборщика

Сокращение и анализ трафика с помощью расширенного фильтра

Параметры анализа сетевого трафика

Библиотека репутации IP