NSEL について
Cisco ASA では、NetFlow バージョン 9 サービスがサポートされています。ASA および ASASM の NSEL の実装はステートフルであり、フロー内の重要なイベントを示すレコードだけをエクスポートする IP フローのトラッキング方式です。ステートフル フロー トラッキングでは、追跡されるフローは一連のステートの変更を通過します。
Netflow データを ASA デバイスから手動で抽出し、コレクタに送信することはできません。NSEL イベントはフローステータスについてのデータをエクスポートするために使用され、ステートの変更を引き起こしたイベントによってトリガーされます。
追跡される重要なイベントには、flow-create、flow-teardown、flow-denied(EtherType ACL によって拒否されるフローを除く)および flow-update が含まれます。NSEL の ASA 実装が定期 NSEL イベントと flow-update イベントを生成して、フローの期間の定期的なバイト カウンタを提供します。これらのイベントは通常、タイム ドリブンです。このため、従来の NetFlow でよりインラインとなりますが、これらのイベントはそのフローの状態変更によってもトリガーされます。
(注
) flow-update イベント機能は、バージョン 9.0(1)では使用できません。バージョン 8.4(5) および 9.1(2) 以降で使用できます。
ASA はまた、syslog メッセージもエクスポートしますが、これには同じ情報が含まれています。そこで同じイベントに対して NSEL レコードと syslog メッセージが生成されないように、同じ情報を持つ syslog メッセージをディセーブルにすることで、パフォーマンスの低下を防止できます。
各 NSEL レコードにはイベント ID と拡張イベント ID フィールドがあり、これらによってフロー イベントが記述されます。
syslog メッセージと NSEL イベント
表 1 に同等の NSEL イベント、イベント ID、および拡張イベント ID を持つ syslog メッセージを示します。拡張イベント ID は、イベントについての詳細を提供します(入力または出力のどちらの ACL がフローを拒否したかなど)。
(注) NetFlow のフロー情報のエクスポートをイネーブルにすると、表 1 に示した syslog メッセージが冗長になります。パフォーマンスの向上のためには、同じ情報が NetFlow を通してエクスポートされるため、冗長な syslog メッセージをディセーブルにすることをお勧めします。NetFlow 関連の syslog メッセージのディセーブル化と再イネーブル化の手順を実行することによって、個別の syslog メッセージをイネーブルまたはディセーブルにできます。
表 1 syslog メッセージと同等の NSEL イベント
|
|
|
|
|
106100 |
ACL が発生するたびに生成されます。 |
1:フローが作成されました(ACL がフローを許可した場合)。 3:フローが拒否されました(ACL がフローを拒否した場合)。 |
0:ACL がフローを許可した場合。 1001:入力 ACL によってフローが拒否されました。 1002:出力 ACL によってフローが拒否されました。 |
106015 |
最初のパケットが SYN パケットではなかったため、TCP フローが拒否されました。 |
3:フローが拒否されました。 |
1004:最初のパケットが TCP SYN パケットではなかったため、フローが拒否されました。 |
106023 |
access-group コマンドによってインターフェイスに接続された ACL によってフローが拒否された場合。 |
3:フローが拒否されました。 |
1001:入力 ACL によってフローが拒否されました。 1002:出力 ACL によってフローが拒否されました。 |
302013、302015、302017、302020 |
TCP、UDP、GRE、および ICMP 接続の作成。 |
1:フローが作成されました。 |
0:無視します。 |
302014、302016、302018、302021 |
TCP、UDP、GRE、および ICMP 接続のティアダウン。 |
2:フローが削除されました。 |
0:無視します。 > 2000:フローが切断されました。 |
313001 |
デバイスへの ICMP パケットが拒否されました。 |
3:フローが拒否されました。 |
1003:To-the-box フローが設定のために拒否されました。 |
313008 |
デバイスへの ICMP v6 パケットが拒否されました。 |
3:フローが拒否されました。 |
1003:To-the-box フローが設定のために拒否されました。 |
710003 |
デバイス インターフェイスへの接続の試行が拒否されました。 |
3:フローが拒否されました。 |
1003:To-the-box フローが設定のために拒否されました。 |
(注) NSEL メッセージと syslog メッセージの両方がイネーブルにされている場合、2 つのロギング タイプ間が時系列順になる保証はありません。
NSEL コレクタ
各 ASA はコレクタへの独自の接続を確立します。エクスポート パケットのヘッダーのフィールドには、システムのアップ タイム、UNIX タイム(クラスタ間で同期される)が含まれます。これらのフィールドは、すべて個々の ASA に対してローカルです。NSEL コレクタは、パケットの送信元 IP アドレスと送信元ポートの組み合わせを使用して、異なるエクスポータを区切ります。
各 ASA は、テンプレートを個別に管理し、アドバタイズします。ASA がクラスタ内アップグレードをサポートするため、特定の時点で、異なるユニットが異なるイメージ バージョンを実行する場合があります。その結果、各 ASA がサポートするテンプレートが異なる可能性があります。
双方向のフロー
双方向のフローのほとんどは、すでに内部でアセンブルされ、単一のフローとして扱われています。NSEL が ASA に関してレポートするフロー レコードには、双方向のフローが記載されます。データ レコードでは、発信元(発信側)と送信先(応答側)が明示されるので、コレクタ アプリケーションがフローの方向を区別する必要がある場合は、この情報を使用して判断できます。さらに、一部の NSEL レコードには 2 バイトのカウンタ フィールドである NF_F_FWD_FLOW_DELTA_BYTES と NF_F_REV_FLOW_DELTA_BYTES が含まれ、方向固有のトラフィック データを提供します。
テンプレートの更新
RFC 3954、Cisco Systems NetFlow Services Export バージョン 9 の規定によると、テンプレートは、一定の時間間隔または一定数のデータ レコードがエクスポートされた後、のいずれかの更新間隔でユーザに送信できます。このような更新間隔は、設定可能である必要があります。この実装では、時間間隔によるテンプレートの更新のみをサポートします。データ レコード数に基づくテンプレート更新は、サポートされていません。
オプションのテンプレートとデータ レコード
オプションのテンプレートとデータ レコードは、エクスポートされません。一部のフィールドは、CLI の show コマンドによってサポートされています。コレクタ アプリケーションが特定のフィールドに関する追加情報を取得するには、 show コマンドを実行する必要があります。また、コレクタには、一意のホスト名と IP アドレスが必要です。そうでなければ、検査動作が予測不可能になります。
観測ポイントと観測ドメイン
ASA は観測ドメインで、各インターフェイスも観測ポイントです。フローは、作成インターフェイスに関係なくすべてエクスポートされます。特定のインターフェイスのセットによって作成されたデータに限定し、またはそれらのデータをフィルタリングしてエクスポートするオプションは存在しません。ASA に外部デバイスが接続されている場合、その外部デバイスによって作成されるフローもエクスポートされます。
フローのフィルタリング
特定のフローのレコードだけをエクスポートする必要が生じることがあります。この場合、たとえば、ASA は、ACE に一致するフローの NSEL イベントを生成できます。この方法を使用すれば、NetFlow 用に生成される NSEL イベントの数を制限できます。この実装では、Modular Policy Framework によってトラフィックやイベント タイプごとに NSEL イベントをフィルタリングし、レコードを異なるコレクタに送信する処理がサポートされます。
たとえば、2 つのコレクタを使用して、次の操作を実行できます。
- すべてのフロー作成イベントをコレクタ 1 にロギングする。
- ACL1 に一致するすべてのフロー拒否イベントをコレクタ 1 にロギングする。
- ACL1 に一致するすべてのイベントをコレクタ 2 にロギングする。
Modular Policy Framework が NetFlow 用に設定されていない場合、NSEL イベントは生成されません。
データ フィールド
表 2 に、ASA から NSEL 経由でエクスポートされるデータ要素を示します。必須データ要素のリストは、イベントに対して生成された syslog メッセージによってエクスポートされ、NSEL レコードのエクスポートをもたらすデータを集約して作成されました。
(注) NetFlow は、IFC SNMP IF インデックスを使用して、vpifNum に基づくインターフェイスを報告します。ただし、vpifnum には Identity インターフェイスに対する有効な値がありません。したがって、エクスポート済みの NetFlow レコードの場合、ASA バージョン 8.0 のインターフェイス ID 番号は 65535 と表示されます。
各列では、次の情報を示します。
- ID:フィールド タイプを表す一意の名前
- タイプ:このフィールド タイプに割り当てられた値
- 長さ:対象の ASA 用にエクスポートされるレコードのフィールド長
- 説明:フィールド タイプの説明
表 2 NSEL によってエクスポートされるデータ レコード
|
|
|
|
|
|
|
NF_F_CONN_ID |
148 |
4 |
デバイスの一意のフロー用の ID |
|
|
NF_F_SRC_ADDR_IPV4 |
8 |
4 |
発信元 IPv4 アドレス |
NF_F_DST_ADDR_IPV4 |
12 |
4 |
送信先 IPv4 アドレス |
NF_F_PROTOCOL |
4 |
1 |
IP 値 |
|
|
NF_F_SRC_ADDR_IPV6 |
27 |
16 |
発信元 IPv6 アドレス |
NF_F_DST_ADDR_IPV6 |
28 |
16 |
送信先 IPv6 アドレス |
|
|
NF_F_SRC_PORT |
7 |
2 |
送信元ポート |
NF_F_DST_PORT |
11 |
2 |
宛先ポート |
NF_F_ICMP_TYPE |
176 |
1 |
ICMP タイプ値 |
NF_F_ICMP_CODE |
177 |
1 |
ICMP コード値 |
NF_F_ICMP_TYPE_IPV6 |
178 |
1 |
ICMP IPv6 タイプ値 |
NF_F_ICMP_CODE_IPV6 |
179 |
1 |
ICMP IPv6 コード値 |
|
|
NF_F_SRC_INTF_ID |
10 |
2 |
入力 IFC SNMP IF インデックス |
NF_F_DST_INTF_ID |
14 |
2 |
出力 IFC SNMP IF インデックス |
マッピングされたフロー ID フィールド(L3 IPv4)
|
NF_F_XLATE_SRC_ADDR_IPV4 |
225 |
4 |
NAT 後の送信元 IPv4 アドレス |
NF_F_XLATE_DST_ADDR_IPV4 |
226 |
4 |
NAT 後の宛先 IPv4 アドレス |
NF_F_XLATE_SRC_PORT |
227 |
2 |
NATT 後の送信元トランスポート ポート |
NF_F_XLATE_DST_PORT |
228 |
2 |
NATT 後の宛先トランスポート ポート |
マッピングされたフロー ID フィールド(L3 IPv6)
|
NF_F_XLATE_SRC_ADDR_IPV6 |
281 |
16 |
NAT 後の送信元 IPv6 アドレス |
NF_F_XLATE_DST_ADDR_IPV6 |
282 |
16 |
NAT 後の宛先 IPv6 アドレス |
|
|
NF_F_FW_EVENT |
233 |
1 |
高レベルのイベント コード。表示される値は次のとおりです。
- 0:デフォルト(無視)。
- 1:フローが作成されました。
- 2:フローが削除されました。
- 3:フローが拒否されました。
- 4:フロー アラート
- 5:フロー更新
|
NF_F_FW_EXT_EVENT |
33002 |
2 |
拡張イベント コードこれらの値は、イベントに関する詳細情報を提供します。 |
|
|
NF_F_EVENT_TIME_MSEC |
323 |
8 |
IPFIX から取得されたイベントが発生した時刻。マイクロ秒単位の場合は 324、ナノ秒単位の場合は 325 を使用します。時刻は、0000 UTC 1970/01/01 からの経過時間をミリ秒単位で表示します。 |
NF_F_FLOW_CREATE_TIME_MSEC |
152 |
8 |
フローが作成された時刻。フロー作成イベントが先に送信されなかったフローティアダウン イベントに含まれます。フローの持続時間は、フローティアダウン時刻とフロー作成時刻のイベント時刻を使用して判定できます。 |
NF_F_FWD_FLOW_DELTA_BYTES |
231 |
4 |
送信元から宛先への差分バイト数。 |
NF_F_REV_FLOW_DELTA_BYTES |
232 |
4 |
宛先から送信元への差分バイト数。 |
|
|
NF_F_INGRESS_ACL_ID |
33000 |
12 |
フローを許可または拒否した入力 ACL すべての ACL ID は、次の 3 つの 4 バイト値で構成されます。
- ACL 名のハッシュ値または ID
- ACL 内の ACE のハッシュ値、ID、または行
- 拡張 ACE 設定のハッシュ値または ID
|
NF_F_EGRESS_ACL_ID |
33001 |
12 |
フローを許可または拒否した出力 ACL |
|
|
NF_F_USERNAME |
40000 |
20 |
AAA ユーザ名 |
NF_F_USERNAME_MAX |
40000 |
65 |
最大許可サイズの AAA ユーザ名 |
イベント ID フィールド
イベント ID フィールドには、NSEL レコードが発生したイベントが記述されます。 表 3 では、イベント ID の値を示します。
表 3 イベント ID の値
|
|
|
0 |
無視:この値は、フィールドを無視する必要があることを示します。現在のリリースでは使用されません。 |
1 |
フロー作成:この値は、新しいフローが作成されたことを示します。 |
2 |
フロー削除:この値は、フローが削除されたことを意味します。 |
3 |
フロー拒否:この値は、フローが拒否されたことを意味します。 |
5 |
フロー更新:この値は、フローのタイマーが停止またはフローが切断されたことを示します。 |
拡張イベント ID フィールド
拡張イベント ID は、特定のイベントに関する追加情報を提供します。このフィールドは、製品固有のフィールド ID(33002)を含みます。 表 4 では、拡張イベント ID の値を示します。
表 4 拡張イベント ID の値
|
|
|
|
0 |
無視 |
この値は、フィールドを無視する必要があることを示します。 |
> 1000 |
フロー拒否 |
1000 を超える値は、フローが拒否された理由を表します。 |
1001 |
フロー拒否 |
フローが入力 ACL から拒否されました。 |
1002 |
フロー拒否 |
フローが出力 ACL によって拒否されました。 |
1003 |
フロー拒否 |
考えられる原因は、次のとおりです。
- ASA インターフェイスへの接続の試みが拒否されました。
- デバイスへの ICMP パケットが拒否されました。
- デバイスへの ICMPv6 パケットが拒否されました。
|
1004 |
フロー拒否 |
TCP の最初のパケットが TCP SYN パケットではありませんでした。 |
> 2000 |
フロー削除 |
2000 を超える値は、フローが終了した理由を表します。 |
イベント時間フィールド
各 NSEL データ レコードには、イベント時間フィールド(NF_F_EVENT_TIME_MSEC)があります。これは、ミリ秒単位でのイベント発生時刻です。NetFlow パケットは、複数のイベントを入れて作成することができます。ただし、NetFlow サービスが複数のイベントの発生を待って NetFlow パケットを作成するので、パケットの送信時刻がイベント発生時刻と必ずしも一致しません。
(注) フローの寿命の中で、異なるイベントが別々の NetFlow パケットによって発行され、発生順とは逆の順序でコレクタに届くことがあります。たとえば、フロー ティアダウン イベントが入ったパケットが、フロー作成イベントの入ったパケットより先に到着することもあります。そのため、コレクタ アプリケーションが、イベント時間フィールドを使用してイベントの前後関係を判断することが重要です。
データ レコードとテンプレート
テンプレートは、NetFlow 経由でエクスポートされたデータ レコードの形式を記述します。各フロー イベントには、それぞれに関連付けられているいくつかのレコード形式またはテンプレートがあります。
- テンプレートは、イベントによって異なります。
- IPv4 フローと IPv6 フローの各イベント タイプには、異なるテンプレートが用意されています。
- IPV44、IPV46、IPV64 および IPV66 フローの各イベント タイプには、異なるテンプレートが用意されています。
- フロー作成イベントには、フローに関連付けられたユーザ名フィールドのサイズに基づいて、さまざまなテンプレートがあります。NetFlow の文字列フィールドのサイズは固定なので、サイズに応じて異なるテンプレートが必要になります。ほとんどの文字列は、最大文字列よりはるかに短いため、考えられる最大文字列に対応するテンプレートをすべての場合に使用すると、帯域幅が無駄になります。ユーザ名フィールドは、2 つのタイプが定義されているため、各カテゴリに 2 つのタイプのテンプレートが存在します。
– 20 文字未満のユーザ名に対応する一般的なユーザ名サイズ
– 最大 65 文字までのユーザ名に対応する最大ユーザ名サイズ
– 各テンプレートには、イベント タイプ フィールドと 拡張イベント タイプ フィールドがあります。
- フロー拒否イベントとフロー削除イベントには、IPV46 と IPV64 のテンプレートがあり、宛先 IP アドレスは NAT ルールにより変換されているが、送信元 IP アドレスが NAT ルールにより変換されていないため、送信元と宛先の IP アドレスの IP バージョンが異なります。送信元と宛先の NAT ルールは同時に適用されません(宛先 NAT ルールが最初に適用されます)。このため、両方の NAT ルールが適用される前か、どちらか 1 つの NAT ルールだけが使用可能なときに NetFlow レコードが生成される可能性があります。
フローを作成するには、送信元と宛先の IP アドレスの IP バージョンが同じである必要があるため、これらの断片的な NAT 変換テンプレートは、フロー作成イベントと遅延フロー作成イベントには必要ではありません。
(注) テンプレート定義は、すべてのコレクタに送信され、データ レコードの解析には、これらの ID と定義を使用する必要があります。
フロー作成イベント用テンプレート
フロー作成イベントは、ASA によってフローが作成されたことを示します。このイベントは、ASA で使用できるフローのログでもあります。 表 5 では、フロー作成イベントに使用されるテンプレートについて説明します。
表 5 フロー作成イベント用テンプレート
|
|
|
一般的なユーザ名サイズ(20 文字)の IPv44 フロー作成イベント |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME |
最大ユーザ名サイズ(65 文字)の IPv44 フロー作成イベント |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME_MAX |
一般的なユーザ名サイズ(20 文字)の IPv66 フロー作成 |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME |
最大ユーザ名サイズ(65 文字)の IPv66 フロー作成 |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME_MAX |
一般的なユーザ名サイズ(20 文字)の IPv46 フロー作成イベント |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME |
最大ユーザ名サイズ(65 文字)の IPv46 フロー作成イベント |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME_MAX |
一般的なユーザ名サイズ(20 文字)の IPv64 フロー作成 |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME |
最大ユーザ名サイズ(65 文字)の IPv64 フロー作成 |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME_MAX |
フロー作成イベントのための遅延
存続期間が短いフローの場合、NSEL コレクション デバイスは、フロー作成とフロー ティアダウンを 2 つのイベントとして処理するよりも、単一のイベントとして処理する方が好都合です。そこで、フロー作成イベントの送信を遅らせるための設定可能な CLI パラメータが用意されています。タイマーが切れると、フロー作成イベントが送信されます。しかし、タイマーの期限が切れる前にフローがティアダウンされると、フローティアダウン イベントのみが送信され、フロー作成イベントが送信されません。
フローティアダウン イベントが拡張され、フローに関するすべての情報が入っていれば、情報が失われることはありません。拡張フローティアダウン イベントに対応する新しいテンプレートが導入されています。
拡張フロー ティアダウン イベント用テンプレート
表 6 では、拡張フローティアダウン イベントに使用されるテンプレートについて説明します。
表 6 拡張フロー ティアダウン イベント用テンプレート
|
|
|
一般的なユーザ名サイズ(20 文字)の拡張 IPv44 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME |
最大ユーザ名サイズ(65 文字)の拡張 IPv44 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME_MAX |
一般的なユーザ名サイズ(20 文字)の拡張 IPv66 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME |
最大ユーザ名サイズ(65 文字)の拡張 IPv66 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME_MAX |
一般的なユーザ名サイズ(20 文字)の拡張 IPv46 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME |
最大ユーザ名サイズ(65 文字)の拡張 IPv46 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME_MAX |
一般的なユーザ名サイズ(20 文字)の拡張 IPv64 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME |
最大ユーザ名サイズ(65 文字)の拡張 IPv64 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID、NF_F_USERNAME_MAX |
フロー拒否イベント用テンプレート
フロー拒否イベントは、フローが拒否されたことを示します。 表 7 では、フロー拒否イベントに使用されるテンプレートについて説明します。
表 7 フロー拒否イベント用テンプレート
|
|
|
IPv44 フロー拒否 |
NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID |
IPv4 フロー拒否(xlate フィールドなし) |
NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID |
IPv66 フロー拒否 |
NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_ICMP_CODE_IPV6、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID |
IPv6 フロー拒否(xlate フィールドなし) |
NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID |
IPv46 フロー拒否 |
NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID |
IPv46 フロー拒否(送信元が未変換) |
NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID |
IPv64 フロー拒否 |
NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID |
IPv64 フロー拒否(送信元が未変換) |
NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_INGRESS_ACL_ID、NF_F_EGRESS_ACL_ID |
フロー ティアダウン イベント用テンプレート
フロー ティアダウン イベントは、フローが終了したことを示します。 表 8 では、フロー ティアダウン イベントに使用されるテンプレートについて説明します。
表 8 フロー ティアダウン イベント用テンプレート
|
|
|
IPv44 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC |
IPv66 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC |
IPv46 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC |
IPv46 フロー ティアダウン(送信元が未変換) |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV4、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV4、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE、NF_F_ICMP_CODE、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV6、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC |
IPv64 フロー ティアダウン |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV4、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC |
IPv64 フロー ティアダウン(送信元が未変換) |
NF_F_CONN_ID、NF_F_SRC_ADDR_IPV6、NF_F_SRC_PORT、NF_F_SRC_INTF_ID、NF_F_DST_ADDR_IPV6、NF_F_DST_PORT、NF_F_DST_INTF_ID、NF_F_PROTOCOL、NF_F_ICMP_TYPE_IPV6、NF_F_ICMP_CODE_IPV6、NF_F_XLATE_SRC_ADDR_IPV6、NF_F_XLATE_DST_ADDR_IPV4、NF_F_XLATE_SRC_PORT、NF_F_XLATE_DEST_PORT、NF_F_FW_EVENT、NF_F_FW_EXT_EVENT、NF_F_EVENT_TIME_MSEC、NF_F_FWD_FLOW_DELTA_BYTES、NF_F_REV_FLOW_DELTA_BYTES、NF_F_FLOW_CREATE_TIME_MSEC |
フローの更新イベント用テンプレート
フロー更新イベントは、フローのフロー更新タイマーが停止したか、フローが切断されたことを示します。このイベントは、フロー トラフィックの定期的バイト カウンタとして機能します。フロー更新イベントは、断片的な NAT 変換のテンプレートを除き、フロー ティアダウン イベントと同じテンプレートを使用します。NF_F_FWD_FLOW_DELTA_BYTES と NF_F_REV_FLOW_DELTA_BYTES フィールドには、最後のタイマー インターバル以降のバイト数が含まれます。NF_F_FW_EXT_EVENT フィールドは未使用であり、フロー更新レコードで無視されます。フロー ティアダウン イベントに使用されるテンプレートについては、 表 8 を参照してください。
フローの更新(タイマー)とフロー更新(ティアダウン)イベント
ASA を通過するフローにはフロー更新タイマーが設定され、タイマーが停止すると、NSEL がフロー更新(タイマー)レコードを発行します。設定された時間間隔にフローのアクティビティが存在しない場合、その間隔のフロー更新(タイマー)レコードは送信されません。フロー ティアダウン レコードを伴ったフロー更新(ティアダウン)レコードが送信され、最後の時間間隔のトラフィックが検出されます。最後のインターバルにフローのトラフィックがなかった場合、フロー更新(ティアダウン)レコードは送信されません。また、フローが短期間であった場合(つまり、最初のフロー更新(タイマー)イベントが発生する前にティアダウンが発生した場合)、フロー更新(ティアダウン)レコードは送信されません。
フローの作成時にフロー更新コレクタが設定されていないか、フロー更新イベント中にフロー更新コレクタが削除された場合、フロー更新タイマーは設定されず、再び設定されることもありません。このような状況で、フロー更新(タイマー)イベントやフロー更新(ティアダウン)イベントが再び発生することはありません。
フロー更新レコードとフェールオーバー
フェールオーバーの前後に、フロー更新レコードの一貫性の維持が試行されます。フェールオーバーの発生後、すべてのフロー更新レコードは、直前のアクティブな ASA からの最新の更新に基づいています。この更新は 15 秒ごとにトラフィックが流れている限り発生します。フェールオーバー ペアの生成に時間差が生じた場合、またはアクティブな ASA が定期更新をスタンバイ ASA に送信する前にフェールオーバーが発生した場合、フロー更新レコードは正確でない場合があります。
フロー更新イベントとクラスタリング
1 つの大きな相違が、フェールオーバーおよびクラスタ処理とフロー更新イベントとの相互作用から生じます。クラスタ処理では、所有権の変更前は、フロー ディレクタがアクティブなリフレッシュ タイマーの設定されていない元のフローのスタブ フロー コピーを所持しています。アクティブなリフレッシュ タイマーが設定された完全なフローのコピーは、元のフローの所有者がダウンした後に生成されます。したがって、元のフロー所有者と新しいフロー所有者の間で、フロー更新タイマーの停止時間に顕著な時間オフセットが発生する可能性が高くなります。
クラスタ内でフロー所有権が変更された後、すべてのフロー更新レコードは、フロー ディレクタが受信した最新の更新に基づいています。フロー情報はトラフィックがある限り 15 秒ごとに更新されます。最新のフロー情報を維持するための方法は、フェールオーバー用に提供された方法と同じです。
NetFlow とフェールオーバー
NetFlow データ レコードおよびテンプレートは、アクティブ/スタンバイ フェールオーバー ペアのアクティブ(プライマリ)ASA からのみ送信されます。スタンバイ(セカンダリ)ASA は、NetFlow 関連の情報を送信しません。ただし、フェールオーバー後、セカンダリ ASA は、複製または新規のフローに対するテンプレートと NetFlow レコードの送信を開始します。この 2 つの ASA では、各 NetFlow コレクタの接続元 IP アドレスは同じですが、送信元ポートは異なります。これは NetFlow コレクタがプライマリ装置とセカンダリ装置から送信されるパケットを区別できることを意味します。
アクティブ/アクティブ フェールオーバー ペアでは、両方の ASA が NetFlow データ レコードとテンプレートを同時に送信することがあります。コンテキストごとのアクティブ装置だけが NetFlow パケットを送信し、スタンバイ装置は送信しません。これはアクティブ/スタンバイのシナリオとほぼ同じです。ASA コンテキストとそのコピーでは、NetFlow コレクタの接続元 IP アドレスは同一ですが、送信元ポートは異なります。
フェールオーバー ペアの各 ASA ノード(コンテキスト)は、NetFlow コレクタへの独自の接続を確立し、テンプレートを個別にアドバタイズします。コレクタは NetFlow エクスポータを区別するためにパケットの送信元 IP アドレスと送信元ポートを使用します。
NetFlow とクラスタリング
NetFlow は、管理と通常の両方のデータ インターフェイスでサポートされますが、管理インターフェイスを使用することを推奨します。NetFlow コレクタの接続が管理専用インターフェイスで設定されている場合、クラスタ内の各 ASA は、NetFlow パケットの送信に独自のユニットごとの送信元 IP アドレスと送信元ポートを使用します。NetFlow は、レイヤ 2 モードおよびレイヤ 3 モードでは両方のデータ インターフェイスで使用される場合があります。レイヤ 2 モードのデータ インターフェイスでは、クラスタ内の各 ASA の送信元 IP アドレスは同一ですが、送信元ポートは異なります。レイヤ 2 モードではクラスタを 1 つのデバイスとして認識するように設計されていますが、NetFlow コレクタはクラスタの各ノードを区別できます。レイヤ 3 モードのデータ インターフェイスでは、NetFlow は管理専用インターフェイスと同じ方法で動作します。
クラスタ内の各 ASA ノードは、NetFlow コレクタへの独自の接続を確立し、テンプレートを個別にアドバタイズします。コレクタは NetFlow エクスポータを区別するためにパケットの送信元 IP アドレスと送信元ポートを使用します。
CLI による デバイス フィールドのデコード
ASA によって入力された一部のフィールド値をデコードするには、デバイスを直接操作する必要があります。これには、 expect スクリプトなどのダイナミック メカニズムを使用し、イベントを発行したデバイスの CLI から必要な情報を取得することを推奨します。
デバイスは、コンソール、Telnet、および SSH セキュア シェル アクセスをサポートしますが、パフォーマンスとセキュリティの点から、SSH を推奨します。
インターフェイス ID フィールド
インターフェイス ID フィールドは、デバイス インターフェイス MIB から SNMP GET 要求を使用してデコードすることもできます。インターフェイス ID フィールドは、MIB をサポートする唯一のフィールドです。
show interface detail コマンドを使用して、デバイス上のすべてのインターフェイスのリストを取得することもできます。この出力には、NetFlow フィールドに送信されたインターフェイス ID の値に対応する、各インターフェイスの下の行が含まれます。次の例で、インターフェイス番号は 8 です。
ciscoasa(config)# show interface filter-outside detail
Interface GigabitEthernet4/3 "filter-outside", is up, line protocol is up
Hardware is i82571EB 4CU rev06, BW 1000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 0015.1715.59c7, MTU 1500
IP address 209.165.200.254, subnet mask 255.255.255.224
532594 packets input, 88376018 bytes, 0 no buffer
Received 3 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
675393 packets output, 53208679 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (curr/max packets): hardware (36/511) software (0/0)
output queue (curr/max packets): hardware (59/68) software (0/0)
Traffic Statistics for "filter-outside":
532594 packets input, 78636500 bytes
675393 packets output, 40866215 bytes
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Control Point Interface States:
Interface config status is active
Interface state is active
ACL ID フィールド
12 バイトの未加工の ACL ID は、次のように、3 つの構成部分に分割する必要があります。
- 最初の 4 バイトは、ACL 名 ID
- 次の 4 バイトは、ACL エントリ ID(ACE)/オブジェクト グループ ID
- 最後の 4 バイトは、拡張 ACL エントリ ID
これらの個別の値は、ASA から show access-list コマンドを実行した出力によって確認できます。ACL 名 ID は、この出力の ACL の最初の行の末尾にあります。ACE ID は、個別の各 ACL エントリ行の末尾にあります。
(注) アクセス リストでオブジェクト グループを使用している場合、2 番目の 4 バイト ID は実際には ACE ID ではなく、オブジェクトグループ ID です。拡張 ACE ID(最後の 4 バイト部分)は、実際の個別の ACL エントリ ID を表します。次の例では、これらのエントリを示します。
ciscoasa(config)# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
access-list foo; 2 elements; name hash: 0x102154c1
access-list foo line 1 extended permit tcp object-group host_grp_1 any eq www 0xd0e5806e
access-list foo line 1 extended permit tcp host 209.165.200.254 any eq www (hitcnt=4) 0x7e5ad93b
access-list foo line 1 extended permit tcp host 209.165.201.1 any eq www (hitcnt=0) 0xe0c1846b
access-list bar; 1 elements; name hash: 0x5da9bb69
access-list bar line 1 extended deny tcp any any (hitcnt=41) 0x84434b4b
この例は、例 2:PAT インターフェイスを持つ、出力時に拒否されたフローの例と似ています。拒否されたフローの例では、ACL ID が、次のように各構成部分に分割されています。
- NF_F_INGRESS_ACL_ID: InAcl: 0x102154c1d0e5806e7e5ad93b
ここで、0x102154c1 が最初の 4 バイト、0xd0e5806e が 2 番目の 4 バイト、0x7e5ad93b が最後の 4 バイトです。
- NF_F_EGRESS_ACL_ID: 0x5da9bb6984434b4b00000000
ここで、0x5da9bb69 が最初の 4 バイト、0x84434b4b が 2 番目の 4 バイト、0x00000000 が最後の 4 バイトです。
(注) これらの ID はそれぞれ、show access-list コマンドの例の各行に対応しています。
これらの ID から、アクセス リスト foo は入力インターフェイスに適用され、アクセス リスト bar は出力インターフェイスに適用されたと推定できます。この情報は、 show run access-group コマンドによっても入手できますが、ACL ID の方が 許可または拒否アクションの原因となった個別の ACE を特定できる点で優れています。(拡張イベント コードから判断して)このフローは出力で拒否されているので、入力 ACL ID が特定する ACE 行はフローを許可し、出力 ACL ID が特定する ACE はフローを拒否することがわかります。
イベント コード
ASA は、高レベルのイベント タイプを 4 種類(作成、ティアダウン、拒否、および更新)しか発行しないので、イベント コードをコレクタにハード コードする必要があります。
拡張イベント コード
これら 4 つの高レベルのイベント コードのうち、拡張イベント コードがあるのは、フロー拒否とフロー ティアダウンの 2 つのイベント タイプのみです。フロー拒否イベントでは、 表 4 の拡張イベント コードのリストを見れば、そのフローが拒否された理由を十分判断できます。しかし、フロー ティアダウン イベントは、このドキュメントに記載しきれないほど多くのイベント コードがあり、理由が非常に流動的です。
NSEL コレクタの設定(CLI)
NSEL を使用するには、少なくとも 1 つのコレクタを設定しておく必要があり、モジュラ ポリシー フレームワークを経由してフィルタを設定するには、NSEL コレクタを設定する必要があります。
NSEL コレクタを設定するには、次の手順を実行します。
手順
ステップ 1 NetFlow パケットの送信先となる NSEL コレクタを追加します。
flow-export destination interface-name ipv4-address | hostname udp-port
例:
ciscoasa(config)# flow-export destination inside 209.165.200.225 2002
destination キーワードは NSEL コレクタが設定されていることを示します。 interface-name 引数はコレクタが到達するために使用する ASA および ASA サービス モジュール インターフェイスの名前です。 ipv4-address 引数は、コレクタ アプリケーションを実行しているマシンの IP アドレスです。 hostname 引数は、コレクタの宛先 IP アドレスまたは名前です。 udp-port 引数は NetFlow パケットの送信先である UDP ポート番号です。
最大 5 つのコレクタを設定できます。コレクタを設定すると、すべての設定した NSEL コレクタにテンプレート レコードが自動的に送信されます。
(注) コレクタ アプリケーションが Event Time フィールドを使用してイベントを相互に関連付けていることを確認してください。
ステップ 2 さらに多くのコレクタを設定するには、最初の手順を繰り返します。
モジュラ ポリシー フレームワークを使用した flow-export アクションの設定
モジュラ ポリシー フレームワークを使用して flow-export アクションを設定するには、次の手順を実行します。
手順
ステップ 1 NSEL イベントをエクスポートする必要があるトラフィックを識別するクラス マップを定義します。
class-map flow_export_class
例:
ciscoasa(config-pmap)# class-map flow_export_class
flow_export_class 引数は、クラス マップの名前です。
ステップ 2 次のいずれかのオプションを選択します。
- 特定のトラフィックと照合する ACL を設定します。
match access-list flow_export_acl
例:
ciscoasa(config-cmap)# match access-list flow_export_acl
flow_export_acl 引数は、ACL の名前です。
例:
ciscoasa(config-cmap)# match any
ステップ 3 定義されたクラスに対する flow-export アクションを適用するポリシー マップを定義します。
policy-map flow_export_policy
例:
ciscoasa(config)# policy-map flow_export_policy
flow_export_policy 引数は、ポリシー マップの名前です。
ステップ 6 に従って新しいポリシー マップを作成してグローバルに適用するには、残りのインスペクション ポリシーを無効にする必要があります。
または、 policy-map global_policy コマンドの後に class flow_export_class コマンドを入力し、NetFlow クラスを既存のポリシーに挿入します。
モジュラ ポリシー フレームワークの作成または変更の詳細については、ファイアウォール コンフィギュレーション ガイドを参照してください。
ステップ 4 flow-export アクションを適用するクラスを定義します。
例:
ciscoasa(config-pmap)# class flow_export_class
flow_export_class 引数はクラスの名前です。
ステップ 5 flow-export アクションを設定します。
flow-export event-type event-type destination flow_export_host1 [flow_export_host2]
例:
ciscoasa(config-pmap-c)# flow-export event-type all destination 209.165.200.230
event_type キーワードはフィルタリングされるサポートされているイベントの名前です。 destination キーワードは設定されたコレクタの IP アドレスです。 flow_export_host 引数は、ホストの IP アドレスです。
ステップ 6 サービス ポリシーをグローバルに追加します。
service-policy flow_export_policy global
例:
ciscoasa(config)# service-policy flow_export_policy global
flow_export_policy 引数は、ポリシー マップの名前です。
テンプレート タイムアウト間隔の設定
テンプレート タイムアウト間隔を設定するには、次の手順を実行します。
手順
ステップ 1 テンプレート レコードがすべての設定された出力先に送信される間隔を指定します。
flow-export template timeout-rate minutes
例:
ciscoasa(config)# flow-export template timeout-rate 15
template キーワードは、テンプレート固有の設定を示します。 timeout-rate キーワードは、テンプレートが再送信されるまでの時間を指定します。 minutes 引数には、テンプレートが再送信されるときの分単位の時間間隔を指定します。デフォルト値は 30 分です。
flow-update イベントをコレクタに送信する時間間隔を変更する
flow-update イベントをコレクタに送信する時間間隔を変更するには、次の手順を実行します。
手順
ステップ 1 アクティブな接続の NetFlow パラメータを設定します。
flow-export active refresh-interval value
例:
ciscoasa(config)# flow-export active refresh-interval 30
value 引数は、flow-update イベント間の間隔を分単位で指定します。有効な値は、1 ~ 60 分です。デフォルト値は 1 分です。
flow-export delay flow-create コマンドを設定した後で、遅延値より 5 秒以上長くはない間隔値を使用して flow-export active refresh-interval コマンドを設定した場合、コンソールに次の警告メッセージが表示されます。
WARNING: The current delay flow-create value configuration may cause flow-update events to appear before flow-creation events.
flow-export active refresh-interval コマンドを設定した後で、間隔値より 5 秒以上短くはない遅延値を使用して flow-export delay flow-create コマンドを設定した場合、コンソールに次の警告メッセージが表示されます。
WARNING: The current delay flow-create value configuration may cause flow-update events to appear before flow-creation events.
flow-create イベント送信の遅延
flow-create イベントの送信を遅延させるには、次の手順を実行します。
手順
ステップ 1 flow-create イベントの送信を指定した秒数遅らせます。
flow-export delay flow-create seconds
例:
ciscoasa(config)# flow-export delay flow-create 10
seconds 引数は、遅延として許可された時間を秒単位で示します。このコマンドが設定されていない場合は、遅延はなく、flow-create イベントはフローが作成された時点でエクスポートされます。設定されている遅延よりも前にフローが切断された場合は、flow-create イベントは送信されません。その代わりに拡張フロー ティアダウン イベントが送信されます。
NetFlow 関連の syslog メッセージのディセーブル化と再イネーブル化
NetFlow 関連の syslog メッセージをディセーブルにしてから再度イネーブルにするには、次の手順を実行します。
手順
ステップ 1 NSEL のために冗長になった syslog メッセージをディセーブルにします。
logging flow-export-syslogs disable
例:
ciscoasa(config)# logging flow-export-syslogs disable
(注) グローバル コンフィギュレーション モードでこのコマンドを実行しても、設定には保存されません。no logging message xxxxxx コマンドだけが設定に格納されます。
ステップ 2 個別に syslog メッセージを再イネーブルにします。 xxxxxx は再イネーブルする指定した syslog メッセージです。
例:
ciscoasa(config)# logging message 302013
ステップ 3 すべての NSEL イベントを同時に再イネーブルにします。
logging flow-export-syslogs enable
例:
ciscoasa(config)# logging flow-export-syslogs enable
ランタイム カウンタのリセット
ランタイム カウンタをリセットするには、次の手順を実行します。
手順
ステップ 1 NSEL のすべてのランタイム カウンタをゼロにリセットします。
clear flow-export counters
例:
ciscoasa# clear flow-export counters
NetFlow(ASDM)の有効化
NetFlow を有効化するには、次の手順を実行します。
手順
ステップ 1 [Configuration] > [Device Management] > [Logging] > [NetFlow] の順に選択します。
ステップ 2 テンプレート タイムアウト レートを分単位で入力します。テンプレート タイムアウト レートとは、設定されたすべてのコレクタにテンプレート レコードが送信される時間間隔です。デフォルト値は 30 分です。
ステップ 3 フロー更新間隔を入力します。これは、フロー更新イベント間の時間間隔を分単位に指定するものです。有効な値は、1 ~ 60 分です。デフォルト値は 1 分です。
ステップ 4 flow-creation イベントのエクスポートを遅延させ、flow-teardown イベントを flow-creation イベントとは別に単独で処理する場合は、[Delay export of flow creation events for short-lived flows] チェックボックスをオンにし、遅延の秒数を [Delay By] フィールドに入力します。
ステップ 5 NetFlow パケットの送信先となるコレクタを指定します。最大 5 つのコレクタを設定できます。コレクタを設定するには、[Add] をクリックして [Add NetFlow Collector] ダイアログボックスを表示し、次の手順を実行します。
a. NetFlow パケットの送信先となるインターフェイスを、ドロップダウン リストから選択します。
b. IP アドレスまたはホスト名、および UDP ポート番号を、それぞれ該当するフィールドに入力します。
c. [OK] をクリックします。
ステップ 6 さらに多くのコレクタを設定するには、ステップ 5 を繰り返します。
ステップ 7 NetFlow がイネーブルになっている場合、一部の syslog メッセージに重複が生じます。これは、同一の情報が NetFlow を介してエクスポートされるためです。システムのパフォーマンスを維持するためにも、重複により不要となった syslog メッセージはすべてディセーブルにすることをお勧めします。不要な syslog メッセージをすべてディセーブルにする場合は、[Disable redundant syslog messages] チェックボックスをオンにします。不要な syslog メッセージおよびそのステータスを表示する場合は、[Show Redundant Syslog Messages] をクリックします。
[Redundant Syslog Messages] ダイアログボックスが表示されます。不要な syslog メッセージの番号が、[Syslog ID] フィールドに表示されます。[Disabled] フィールドには、指定した syslog メッセージがディセーブルになっているかどうかが表示されます。[OK] をクリックして、このダイアログボックスを閉じます。
不要な syslog メッセージを個別にディセーブルにする場合は、[Configuration] > [Device Management] > [Logging] > [Syslog Setup] を選択します。
ステップ 8 変更を保存するには [Apply] をクリックし、変更を破棄して新しい設定値を入力するには [Reset] をクリックします。
NetFlow イベントと設定済みコレクタとの対応付け
NetFlow イベントを設定済みのコレクタと対応付けるには、次の手順を実行します。
ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] の順に選択します。
ステップ 2 サービス ポリシー ルールを追加するには、次の手順を実行します。
a. [Add] をクリックして、[Add Service Policy Rule Wizard] を表示します。サービス ポリシー ルールの詳細については、ファイアウォール コンフィギュレーション ガイドを参照してください。
b. [Global - applies to all interfaces] オプション ボタン をクリックして、ルールをグローバル ポリシーに適用します。[Next] をクリックします。
c. [Source and Destination IP Address (uses ACL)] チェックボックスまたは [Any traffic] チェックボックスをトラフィック一致基準としてオンにするか、[Use class-default as traffic class] オプション ボタンをクリックします。[Next] をクリックして、[Rule Actions] 画面に進みます。
(注) NetFlow のアクションは、グローバル サービス ポリシー ルールに対してだけ使用可能で、その適用対象は class-default トラフィック クラス、およびトラフィック照合基準として「Source and Destination IP Address (uses ACL)」または「Any Traffic」が選択されているトラフィック クラスに限定されます。
ステップ 3 [Rule Actions] 画面で、[NetFlow] タブをクリックします。
ステップ 4 フロー イベントを設定する場合は、[Add] をクリックして [Add Flow Event] ダイアログボックスを表示し、次の手順を実行します。
a. ドロップダウン リストから、フロー イベント タイプを選択します。選択できるイベントは、[created]、[torn down]、[denied]、[updated]、[all] です。
(注) flow-update イベント機能は、バージョン 9.0(1)では使用できません。バージョン 8.4(5) および 9.1(2) 以降で使用できます。
b. [Send] カラムで、イベントの宛先となるコレクタを選択します。コレクタは、対応するチェックボックスをオンにすると選択できます。
c. [Manage] をクリックして、コレクタの追加、編集、または削除や他の NetFlow 設定値(syslog メッセージなど)の設定ができる [Manage NetFlow Collectors] ダイアログボックスを表示します。[OK] をクリックして [Manage NetFlow Collectors] ダイアログボックスを閉じ、[Add Flow Event] ダイアログボックスに戻ります。コレクタの設定方法の詳細については、NetFlow(ASDM)の有効化のステップ 5 を参照してください。
ステップ 5 [OK] をクリックして [Add Flow Event] ダイアログボックスを閉じ、[NetFlow] タブに戻ります。
ステップ 6 [Finish] をクリックして、ウィザードを終了します。
ステップ 7 NetFlow サービス ポリシー ルールを編集するには、次の手順を実行します。
a. [Service Policy Rules] テーブルで選択し、[Edit] をクリックします。
b. [Rule Actions] タブをクリックし、さらに [NetFlow] タブをクリックします。
NSEL の例(CLI)
以下の例では、イベントを生成するフローを示し、ASA の新しい NSEL フィールドをサポートするコレクタの実装方法について説明します。
例 1:PAT インターフェイスを持つ許可されたフロー
次の例では、PAT インターフェイスを使用する、許可されたフローを示します。出力インターフェイスの IP アドレスは、209.165.200.225 です。ユーザは User A として認証されています。ACL は指定されていませんが、フローは発信なので、デフォルトで許可されています。図 1 および記載された説明に従い、フロー作成イベントが発行されます。
図 1 PAT インターフェイスを持つ許可されたフローの例
作成された NSEL レコードには、次のフィールドと値が含まれます。
|
|
|
NF_F_CONN_ID |
xxxx |
NF_F_SRC_ADDR_IPV4 |
209.165.200.254 |
NF_F_SRC_PORT |
56789 |
NF_F_SRC_INTF_ID |
1 |
NF_F_DST_ADDR_IPV4 |
209.165.200.225 |
NF_F_DST_PORT |
80 |
NF_F_DST_INTF_ID |
0 |
NF_F_PROTOCOL |
6 |
NF_F_ICMP_TYPE |
0 |
NF_F_ICMP_CODE |
0 |
NF_F_XLATE_SRC_ADDR_IPV4 |
209.165.201.1 |
NF_F_XLATE_DST_ADDR_IPV4 |
209.165.200.225 |
NF_F_XLATE_SRC_PORT |
1024 |
NF_F_XLATE_DST_PORT |
80 |
NF_F_FW_EVENT |
1 |
NF_F_FW_EXT_EVENT |
0 |
NF_F_EVENT_TIME_MSEC |
YYYYYYYY |
NF_F_INGRESS_ACL_ID |
0 |
NF_F_EGRESS_ACL_ID |
0 |
NF_F_USERNAME |
User A |
例 2:PAT インターフェイスを持つ、出力時に拒否されたフロー
次の例では、PAT インターフェイスを使用し、出力 ACL によって拒否されたフローを示します。出力インターフェイスの IP アドレスは、209.165.200.225 です。ユーザは User A として認証されています。入力 ACL(foo)はフローを許可しますが、出力 ACL(bar)がフローを拒否します。入力 ACL(foo)は、オブジェクト グループを使用して指定されています。
ciscoasa# object-group network host_grp_1
network-object host 209.165.200.254
network-object host 209.165.201.1
ciscoasa(config)# access-list foo extended permit tcp object-group host_grp_1 any eq www
ciscoasa(config)# access-list bar extended deny tcp any any
ciscoasa(config)# access-group foo in interface inside
ciscoasa(config)# access-group bar out interface outside
図 1 および記載された説明に従い、フロー拒否イベントが発行されます。
作成された NSEL レコードには、次のフィールドと値が含まれます。
|
|
|
NF_F_SRC_ADDR_IPV4 |
209.165.200.254 |
NF_F_SRC_PORT |
37518 |
NF_F_SRC_INTF_ID |
7 |
NF_F_DST_ADDR_IPV4 |
209.165.200.225 |
NF_F_DST_PORT |
80 |
NF_F_DST_INTF_ID |
8 |
NF_F_PROTOCOL |
6 |
NF_F_ICMP_TYPE |
0 |
NF_F_ICMP_CODE |
0 |
NF_F_XLATE_SRC_ADDR_IPV4 |
209.165.201.1 |
NF_F_XLATE_DST_ADDR_IPV4 |
209.165.200.225 |
NF_F_XLATE_SRC_PORT |
48264 |
NF_F_XLATE_DST_PORT |
80 |
NF_F_FW_EVENT |
3 |
NF_F_FW_EXT_EVENT |
1002(出力 ACL) |
NF_F_EVENT_TIME_MSEC |
1187374131808 |
NF_F_INGRESS_ACL_ID |
0x102154c1d0e5806e7e5ad93b |
NF_F_EGRESS_ACL_ID |
0x5da9bb6984434b4b00000000 |
NF_F_USERNAME |
User A |
例 3:NSEL イベントのフィルタリング
次の例では、すでに設定されている指定コレクタを使用して NSEL イベントをフィルタリングする方法を示しています。
- flow-export destination inside 209.165.200.2055
- flow-export destination outside 209.165.201.29 2055
- flow-export destination outside 209.165.201.27 2055
ホスト 209.165.200.224 と 209.165.201.224 から 209.165.200.230 までの間のすべてのイベントのログを記録し、209.165.201.29 へのその他のすべてのイベントのログを記録します。
ciscoasa(config)# access-list flow_export_acl permit ip host 209.165.200.224 host 209.165.201.224
ciscoasa(config)# class-map flow_export_class
ciscoasa(config-cmap)# match access-list flow_export_acl
ciscoasa(config)# policy-map flow_export_policy
ciscoasa(config-pmap)# class flow_export_class
ciscoasa(config-pmap-c)# flow-export event-type all destination 209.165.200.230
ciscoasa(config-pmap)# class class-default
ciscoasa(config-pmap-c)# flow-export event-type all destination 209.165.201.29
ciscoasa(config)# service-policy flow_export_policy global
flow-creation イベントを 209.165.200.230 に、flow-teardown イベントを 209.165.201.29 に、flow-denied イベントを 209.165.201.27 に、flow-update イベントを 209.165.200.230 にそれぞれ記録します。
ciscoasa(config)# policy-map flow_export_policy
ciscoasa(config-pmap)# class class-default
ciscoasa(config-pmap-c)# flow-export event-type flow-creation destination 209.165.200.230
ciscoasa(config-pmap-c)# flow-export event-type flow-teardown destination 209.165.201.29
ciscoasa(config-pmap-c)# flow-export event-type flow-denied destination 209.165.201.27
ciscoasa(config-pmap-c)# flow-export event-type flow-update destination 209.165.200.230
ciscoasa(config)# service-policy flow_export_policy global
ホスト 209.165.200.224 と 209.165.200.230 から 209.165.201.29 までの間の flow-create イベントのログを記録し、209.165.201.27 へのすべての flow-denied イベントのログを記録します。
ciscoasa(config)# access-list flow_export_acl permit ip host 209.165.200.224 host 209.165.200.230
ciscoasa(config)# class-map flow_export_class
ciscoasa(config)# match access-list flow_export_acl
ciscoasa(config)# policy-map flow_export_policy
ciscoasa(config-pmap)# class flow_export_class
ciscoasa(config-pmap-c)# flow-export event-type flow-creation destination 209.165.200.29
ciscoasa(config-pmap-c)# flow-export event-type flow-denied destination 209.165.201.27
ciscoasa(config-pmap)# class class-default
ciscoasa(config-pmap-c)# flow-export event-type flow-denied destination 209.165.201.27
ciscoasa(config)# service-policy flow_export_policy global
(注) flow_export_acl については次のコマンドを入力する必要があります。
ciscoasa(config-pmap-c)# flow-export event-type flow-denied destination 209.165.201.27
これは、最初の一致が検出された後トラフィックがチェックされないからです。flow_export_acl に一致する flow-denied イベントのログを記録するには、アクションを明示的に定義する必要があります。
ホスト 209.165.201.27 と 209.165.201.50 から 209.165.201.27 までの間のトラフィックを除くすべてのトラフィックのログを記録します。
ciscoasa(config)# access-list flow_export_acl deny ip host 209.165.201.27 host 209.165.201.50
ciscoasa(config)# access-list flow_export_acl permit ip any any
ciscoasa(config)# class-map flow_export_class
ciscoasa(config-cmap)# match access-list flow_export_acl
ciscoasa(config)# policy-map flow_export_policy
ciscoasa(config-pmap)# class flow_export_class
ciscoasa(config-pmap-c)# flow-export event-type all destination 209.165.201.27
ciscoasa(config)# service-policy flow_export_policy global
フィードバック