在安全网络分析中排除NetFlow/IPFIX遥测接收故障
简介
本文档介绍如何对安全网络分析(SNA)中的Netflow遥测接收进行故障排除。
先决条件
- Cisco SNA知识
- NetFlow/IPFIX知识
要求
- 7.5.0或更高版本中的安全网络分析
- 7.5.0或更高版本的流量收集器
- 以系统管理员身份对流量收集器的CLI访问
- 以管理员身份访问流量收集器的管理员UI
配置指南
使用的组件
- 7.5.0上的SNA管理器和流量收集器
- Wireshark软件
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
流量收集器是一种SNA设备,负责收集、处理和存储发送到安全网络分析的流量。对于NetFlow版本9或IPFIX,可以在NetFlow/IPFIX模板上包含多个字段,以添加有关网络流量的详细信息,但是,NetFlow/IPFIX模板中必须包含9个特定字段,流量收集器才能处理这些流量。流量收集器不会处理包含无效模板的传入流量,因此SNA不会在Web UI或桌面客户端下显示这些导出器的流量信息。
必需字段
NetFlow/IPFIX模板中必须包含用于遥测接收的下一个字段。确保在NetFlow/IPFIX模板中包含这9个字段,以便安全网络分析处理传入流量。
- 源 IP 地址
- 目的 IP 地址
- 源端口
- 目标端口
- 第3层协议
- 字节计数
- 数据包计数
- 流开始时间
- 流结束时间
注意:NetFlow/IPFIX配置中可以包含更多字段,但之前的字段是用于遥测接收的安全网络分析的最低要求。
故障排除过程
验证NetFlow/IPFIX遥测接收
要确认SNA流量收集器是否从导出器接收和插入NetFlow/IPFIX遥测,请执行以下操作:
- 使用管理凭证登录到SNA流量收集器管理UI:https://<流量收集器IP地址>/swa/login.html
- 在左窗格中,导航到支持 > 浏览文件
- 导航到下一个文件夹:sw > today > logs
- 单击sw.log文件下载到您的本地计算机,并在文本编辑器中打开。
- 在日志底部搜索这些行,此摘要每五分钟创建一次:
18:45:00 I-sch-t: process_5_min_period: begin
18:45:00 I-sch-t: process_5_min_period: periods(177)
18:45:00 S-per-t: Performance Period 177
18:45:00 S-per-t: Engine status Status normal
18:45:00 S-per-t: Processed 6948 flows at 24 fps this period
18:45:00 S-per-t: Processed 4226 biflows at 15 fps this period
18:45:00 S-per-t: Dropped 0 flows this period
18:45:00 S-per-t: Discarded 4358 flows this period due to insufficient template data
18:45:00 S-per-t: Processed 1838743 flows at 35 fps today
18:45:00 S-per-t: Dropped 0 flows today
18:45:00 S-per-t: Discarded 11069 flows today due to insufficient template data
18:45:00 S-per-t: Process instance 0 processed 3372 flows at 12 fps this period
18:45:00 S-per-t: Process instance 0 processed 2066 biflows at 7 fps this period
18:45:00 S-per-t: Process instance 1 processed 3576 flows at 12 fps this period
18:45:00 S-per-t: Process instance 1 processed 2160 biflows at 8 fps this period
18:45:00 S-per-t: Inserted 2048 flow stats at 7 fps this period
18:45:00 S-per-t: Inserted 2013 interface stats at 7 fps this period
18:45:00 S-per-t: Inserted 470932 flow stats at 9 fps today
18:45:00 S-per-t: Inserted 678994 interface stats at 13 fps today注:第8行表示由于上一时段的模板数据不足,有流被丢弃。
验证NetFlow/IPFIX模板
要确认NetfFlow/IPFIX模板中包含的字段,请执行以下操作:
1. 使用sysadmin凭证登录到SNA流量收集器CLI。
2. 在SystemConfig菜单上,导航至:Advanced > Packet Capture
3. 输入在SNA上未显示流的导出器的信息:
4. 等待流程完成。
5. 要下载文件,请使用admin凭据登录到SNA流量收集器管理UI:https://<流量收集器IP地址>/swa/login.html
6. 在左窗格中,导航到支持 > 浏览文件
7. 导航到下一个文件夹:tcpdump
8. 单击数据包捕获文件,将其下载到本地计算机,然后在Wireshark上打开:
9.确定接收NetFlow/IPFIX模板的帧。
10. 验证模板上是否显示了9个必填字段
注意:请注意,在模板上,SNA遥测接收所需的9个必填字段只有8个,对于此场景,缺少BYTES字段。
添加缺少的字段后验证NetFlow/IPFIX遥测接收
要确认SNA流量收集器是否在更改后接收和插入来自导出器的NetFlow/IPFIX遥感勘测,请执行以下操作:
- 使用admin凭证登录到SNA流量收集器管理UI:https://<流量收集器IP地址>/swa/login.html
- 在左窗格中,导航到支持 > 浏览文件
- 导航到下一个文件夹:sw > today > logs
- 单击sw.log文件下载到您的本地计算机,并在文本编辑器中打开。
- 在日志底部搜索这些行
19:20:00 I-sch-t: process_5_min_period: begin
19:20:00 I-sch-t: process_5_min_period: periods(184)
19:20:00 S-per-t: Performance Period 184
19:20:00 S-per-t: Engine status Status normal
19:20:00 S-per-t: Processed 10992 flows at 37 fps this period
19:20:00 S-per-t: Processed 4176 biflows at 14 fps this period
19:20:00 S-per-t: Dropped 0 flows this period
19:20:00 S-per-t: Discarded 0 flows this period due to insufficient template data
19:20:00 S-per-t: Processed 1896017 flows at 35 fps today
19:20:00 S-per-t: Dropped 0 flows today
19:20:00 S-per-t: Discarded 36041 flows today due to insufficient template data
19:20:00 S-per-t: Process instance 0 processed 5575 flows at 19 fps this period
19:20:00 S-per-t: Process instance 0 processed 2195 biflows at 8 fps this period
19:20:00 S-per-t: Process instance 1 processed 5417 flows at 19 fps this period
19:20:00 S-per-t: Process instance 1 processed 1981 biflows at 7 fps this period
19:20:00 S-per-t: Inserted 2878 flow stats at 10 fps this period
19:20:00 S-per-t: Inserted 4510 interface stats at 16 fps this period
19:20:00 S-per-t: Inserted 486734 flow stats at 9 fps today
19:20:00 S-per-t: Inserted 696260 interface stats at 13 fps today注:第8行表示上一期间没有丢弃的流。
验证NetFlow/IPFIX遥测接收端口
要确认SNA流量收集器是否在正确的端口上收到来自导出器的NetFlow/IPFIX遥感勘测,请执行以下操作:
1. 使用具有管理员权限的用户登录到SNA Web UI。
2. 在顶部菜单上,导航至“配置”并选择“流量收集器”
3. 确认SNA流量收集器使用导出器配置为发送NetFlow/IPFIX的相同端口
注意:NetFlow的默认端口是2055,但您可以选择其他端口,请确保在流量收集器上的首次设置过程中使用同一端口。
验证是否已启用NetFlow/IPFIX遥测接收NetFlow选项
要确认是否已启用NetFlow/IPFIX遥测接收的SNA流量收集器选项,请执行以下操作:
- 使用管理员凭证登录到SNA流量收集器管理UI:https://<流量收集器IP地址>/swa/login.html
- 在左窗格中,导航到支持 > 高级设置
- 确认选项enable_netflow设置为1:
相关信息
- 如需其他帮助,请联系技术支持中心(TAC)。需要有效的支持合同:思科全球支持联系人。
- 您还可以访问思科安全分析社区。
- 技术支持和文档 - Cisco Systems
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
23-May-2024 |
初始版本 |
反馈