Netflow panaudojimas

 in Dokumentai  tagged old by

2. Flows kaupimas

Flows kaupiami norint
turėti duomenų judėjimo tinkle istoriją. Kuo ilgiau jie
saugomi, tuo senesnę srauto informaciją galima panaudoti
atliekant analizę, stebint tendencijas, įtartinus srautus
ir t.t. Netflow duomenys įprastai saugomi nuo
mėnesio iki dviejų metų. Laikotarpį nustato įstatymai.

Tinklo įrenginiai, kuriuose
sukonfigūruotas flows rinkimas, patys jų nekaupia.
Tam naudojami flows kaupimo serveriai, vadinami
kolektoriais. Informacija kolektoriui pristatoma
UDP protokolu. Tinklo įrenginys įprastai
informaciją kolektoriui siunčia kas minutę,
tačiau tai priklauso nuo nustatymo. Kolektoriaus paskirtis
yra gauti, apdoroti ir saugoti flows informaciją. Jis gali
surinkinėti Netflow duomenis iš keleto tinklo
įrenginių. Kolektoriai sukauptus duomenis filtruoja ir
sumuoja pagal vartotojų užklausas, saugo rezultatus.

Kaupiant flows įvykdoma
keletas etapų:

  1. collector_shemaTinklo įrenginyje
    paketai filtruojami, sužymimi pagal laiką ir susiejami
    su flows.

  2. Įrenginio laikinojoje atmintyje
    sukuriami/šalinami/atnaujinami flows įrašai,
    susidedantys iš atributų, pradžios laiko, paskutinio
    atnaujinimo laiko, paketų ir baitų skaičiaus.

  3. Flows iš laikinosios atminties yra
    nuskaitomi, paruošiami ir išsiunčiami kolektoriui.

  4. Kolektorius išsaugo flows.

  5. Išsaugoti flows gali būti
    naudojami analizei, peržiūrai ir kt.

Renkant Netflow informaciją, sukaupiami dideli
duomenų kiekiai, todėl reikia turėti daug vietos jų
saugojimui. Per dieną Netflow duomenų kiekis gali būti nuo
kelių megabaitų iki kelių gigabaitų dydžio. Jie gali
būti saugomi dvejetainiu arba tekstiniu formatu ir
suglaudinti, taip sutaupant kietojo disko vietos.

Kiekvienam laiko tarpui,
dažniausiai 5-ių minučių trukmės, kolektoriuje
sukuriamas naujas duomenų failas:

router1/nfcapd.YYYYMMddhhmm

Pavyzdžiui faile, kurio
pavadinimas nfcapd.201007110845, saugomi 5-ių
minučių duomenys, pradedant nuo 2010 m. liepos 11 d. 8:45
val..

Netflow duomenis
analizuoti galima arba komandinės eilutės įrankiais, arba
papildomomis internetinių puslapių pagrindu veikiančiomis
sistemomis. Jos ataskaitas gali pateikti ne tik tekstiniu,
bet ir html formatu bei grafikais.