Probleemoplossing voor NetFlow/IPFIX-telemetrieoverzicht in beveiligde netwerkanalyses

Bijgewerkt:23 mei 2024
Document-id:222009

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u problemen kunt oplossen met NetFlow Telemetry Ingest in Secure Network Analytics (SNA).

    Voorwaarden

    • Cisco SNA-kennis
    • Kennis van NetFlow/IPFIX

    Vereisten

    • Secure Network Analytics in 7.5.0 of nieuwer
    • Flow Collector in 7.5.0 of nieuwer
    • CLI-toegang als sysadmin tot de Flow Collector
    • Admin UI-toegang als beheerder van Flow Collector

    Configuratiehandleidingen

    Gebruikte componenten

    • SNA Manager en Flow Collector op 7.5.0
    • Wireshark-software

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De Flow Collector is een SNA-apparaat dat verantwoordelijk is voor het verzamelen, verwerken en opslaan van stromen die naar Secure Network Analytics worden verzonden. Voor NetFlow versie 9 of IPFIX kunnen er verschillende velden worden opgenomen in NetFlow/IPFIX sjabloon om meer informatie toe te voegen met betrekking tot netwerkverkeer, maar er zijn 9 specifieke velden die moeten worden opgenomen in NetFlow/IPFIX sjabloon voor de Flow Collector om die stromen te verwerken. Flow Collector verwerkt geen inkomende stromen die een niet-geldige sjabloon omvatten, daarom geeft SNA geen stroominformatie weer van die exporteurs onder Web UI of Desktop Client.

    Verplichte velden

    Volgende velden moeten worden opgenomen in NetFlow/IPFIX sjabloon voor telemetrie inname. Zorg ervoor dat deze 9 velden zijn opgenomen in NetFlow/IPFIX-sjabloon, zodat Secure Network Analytics inkomende stromen kan verwerken.

    • IP-bronadres
    • IP-adres van bestemming
    • Bronpoort
    • Doelpoort
    • Layer 3-protocol
    • aantal bytes
    • PacketCount
    • Stroombegintijd
    • Flow End-tijd
    pictogram van opmerking

    Opmerking: er kunnen meer velden worden opgenomen in NetFlow/IPFIX-configuratie, maar de vorige velden zijn de minimumvereisten van Secure Network Analytics voor Telemetry Ingest.

    Proces voor probleemoplossing

    Controleer NetFlow/IPFIX-telemetrieoverzicht

    Om te bevestigen of de SNA Flow Collector NetFlow/IPFIX-telemetrie ontvangt en invoegt van de exporteurs:

    1. Log in op SNA Flow Collector Admin UI met admin referenties: https://<Flow Collector IP Address>/swa/login.html
    2. Navigeer in het linkerpaneel naar Ondersteuning > Bladeren door bestanden
    3. Naar de volgende map navigeren: sw > vandaag > logs
    4. Klik op het bestand sw.log om het naar uw lokale machine te downloaden en open het in een teksteditor.
    5. Zoek naar deze lijnen onderaan het logboek, deze samenvatting wordt gemaakt elke vijf minuten:
    18:45:00 I-sch-t: process_5_min_period: begin
18:45:00 I-sch-t: process_5_min_period: periods(177)
18:45:00 S-per-t: Performance Period 177
18:45:00 S-per-t: 	Engine status Status normal
18:45:00 S-per-t: 	Processed 6948 flows at 24 fps this period
18:45:00 S-per-t: 	Processed 4226 biflows at 15 fps this period
18:45:00 S-per-t: 	Dropped 0 flows this period
18:45:00 S-per-t: 	Discarded 4358 flows this period due to insufficient template data
18:45:00 S-per-t: 	Processed 1838743 flows at 35 fps today
18:45:00 S-per-t: 	Dropped 0 flows today
18:45:00 S-per-t: 	Discarded 11069 flows today due to insufficient template data
18:45:00 S-per-t: 	Process instance 0 processed 3372 flows at 12 fps this period
18:45:00 S-per-t: 	Process instance 0 processed 2066 biflows at 7 fps this period
18:45:00 S-per-t: 	Process instance 1 processed 3576 flows at 12 fps this period
18:45:00 S-per-t: 	Process instance 1 processed 2160 biflows at 8 fps this period
18:45:00 S-per-t: 	Inserted 2048 flow stats at 7 fps this period
18:45:00 S-per-t: 	Inserted 2013 interface stats at 7 fps this period
18:45:00 S-per-t: 	Inserted 470932 flow stats at 9 fps today
18:45:00 S-per-t: 	Inserted 678994 interface stats at 13 fps today
    pictogram van opmerking

    Toelichting: Lijn 8 geeft aan dat er stromen zijn die zijn afgestoten vanwege onvoldoende sjabloongegevens over de laatste periode.

    Controleer NetFlow/IPFIX-sjabloon

    U kunt de velden in de NetFlow/IPFIX-sjabloon als volgt bevestigen:

    1. Log in op SNA Flow Collector CLI met sysadmin referenties.

    2. Navigeer in het menu SystemConfig naar: Advanced > Packet Capture

    3. Vermeld de informatie van de exporteur waaruit geen stromen op SNA blijken:

    Dialoogvenster voor pakketvastlegging tonen

    4. Wacht tot het proces is voltooid.

    5. Meld u aan bij SNA Flow Collector Admin UI met admin-referenties om het bestand te downloaden: https://<Flow Collector IP Address>/swa/login.html

    6. Ga in het linkerpaneel naar Ondersteuning > Bestanden bladeren

    7. Navigeer naar de volgende map: tcpdump

    8. Klik op het pakketopnamebestand om het naar uw lokale computer te downloaden en open het op Wireshark:

    SS toont hoe u een bestand kunt downloaden in het dialoogvenster Bladeren bestanden

    9. Identificeer het kader waarin de NetFlow/IPFIX-sjabloon is ontvangen.

    SS toont de sjabloon in Wireshark

    10. Valideren dat de 9 vereiste velden op de sjabloon worden weergegeven

    SS toont de vereiste velden in het netflow record in wireshark

    pictogram van opmerking

    Opmerking: Merk op dat op de sjabloon slechts 8 van de 9 verplichte velden die SNA vereist voor Telemetry Ingest zijn, voor dit scenario ontbreekt het BYTES-veld.

    Controleer NetFlow/IPFIX Telemetry Ingest na het toevoegen van de ontbrekende velden.

    Om te bevestigen of de SNA Flow Collector NetFlow/IPFIX-telemetrie ontvangt en invoegt van de exporteur na de wijziging:

    1. Log in op SNA Flow Collector Admin UI met admin referenties: https://<Flow Collector IP Address>/swa/login.html
    2. Navigeer in het linkerpaneel naar Ondersteuning > Bladeren door bestanden
    3. Naar de volgende map navigeren: sw > vandaag > logs
    4. Klik op het bestand sw.log om het naar uw lokale machine te downloaden en open in een tekstverwerker.
    5. Zoek naar deze lijnen onderaan het logboek
    19:20:00 I-sch-t: process_5_min_period: begin
19:20:00 I-sch-t: process_5_min_period: periods(184)
19:20:00 S-per-t: Performance Period 184
19:20:00 S-per-t: 	Engine status Status normal
19:20:00 S-per-t: 	Processed 10992 flows at 37 fps this period
19:20:00 S-per-t: 	Processed 4176 biflows at 14 fps this period
19:20:00 S-per-t: 	Dropped 0 flows this period
19:20:00 S-per-t: 	Discarded 0 flows this period due to insufficient template data
19:20:00 S-per-t: 	Processed 1896017 flows at 35 fps today
19:20:00 S-per-t: 	Dropped 0 flows today
19:20:00 S-per-t: 	Discarded 36041 flows today due to insufficient template data
19:20:00 S-per-t: 	Process instance 0 processed 5575 flows at 19 fps this period
19:20:00 S-per-t: 	Process instance 0 processed 2195 biflows at 8 fps this period
19:20:00 S-per-t: 	Process instance 1 processed 5417 flows at 19 fps this period
19:20:00 S-per-t: 	Process instance 1 processed 1981 biflows at 7 fps this period
19:20:00 S-per-t: 	Inserted 2878 flow stats at 10 fps this period
19:20:00 S-per-t: 	Inserted 4510 interface stats at 16 fps this period
19:20:00 S-per-t: 	Inserted 486734 flow stats at 9 fps today
19:20:00 S-per-t: 	Inserted 696260 interface stats at 13 fps today
    pictogram van opmerking

    Toelichting: Lijn 8 geeft aan dat er in de laatste periode geen afgedankte stromen zijn.

    Controleer de NetFlow/IPFIX-telemetriepoort

    Om te bevestigen of de SNA Flow Collector NetFlow/IPFIX-telemetrie ontvangt van de exporteurs op de juiste poort:

    1. Log in op SNA Web UI met een gebruiker met beheerdersrechten.

    2. Navigeer in het bovenste menu om Flow Collectors te configureren en te kiezen

    3. Bevestig dat de SNA Flow Collector dezelfde poort gebruikt als de exporteurs hebben geconfigureerd om NetFlow/IPFIX te verzenden

    SS toont het dialoogvenster Monitor Port van SNA

    pictogram van opmerking

    Opmerking: de standaardpoort voor NetFlow is 2055, maar u kunt een andere poort selecteren, zorg er dan voor dat u dezelfde poort gebruikt tijdens het proces voor eerste installatie op Flow Collector(s).

    Controleer of de NetFlow/IPFIX-telemetrie ingest NetFlow-optie is ingeschakeld

    Ga als volgt te werk om te bevestigen of de optie SNA Flow Collector voor telemetrische invoer van NetFlow/IPFIX is ingeschakeld:

    1. Aanmelden bij SNA Flow Collector Admin UI met beheerreferenties: https://<Flow Collector IP Address>/swa/login.html
    2. Ga in het linkerpaneel naar Ondersteuning > Geavanceerde instellingen
    3. Bevestig dat optie enable_netflow op 1 is ingesteld:

    SS toont de Enable netflow geavanceerde optie in SNA

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    23-May-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Antonio Hernandez Almanza
      SNA TAC
    • Matthew Robbins
      SNA TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten