配置高級流量收集器引擎自定義安全事件觸發行為

簡介

本文檔介紹了兩個流量收集器高級設定，這些設定可以更改SNA流量收集器觸發自定義安全事件(CSE)的方式。

背景

舊版early_check_age流量收集器高級設定以及新的cse_exec_interval_secs流量收集器高級設定確定流量收集器引擎觸發自定義安全事件的方式。  流量收集器是SNA系統架構中第一個檢視網路流量的裝置，因此流量收集器引擎負責在流量快取中監控流量特徵，並確定流量是否符合指定自訂安全事件的設定條件。  但是，這些流量收集器高級設定不會更改任何內建核心安全事件的觸發特性。

自訂安全性事件偵錯

在SNA 7.5.0版及更高版本中，debug_custom_events流量收集器高級設定已增強以提供不同級別的調試

• debug_custom_events 1（調試最少-旨在能夠在生產中運行，並更深入地瞭解生成CSE的確切流）
• debug_custom_events 2（更多調試）
• debug_custom_events 3（最詳細的調試）

預設流量收集器行為

預設情況下，流量收集器early_check_age高級設定配置為160秒。  這意味著流量收集器引擎在檢查流是否與已配置的自定義安全事件匹配之前，至少要等待160秒進入流。  依預設，在流程結束之前不會再次進行此檢查。  

之所以選擇此160秒早期檢查值，是因為如果使用最佳實踐，必須將遙測導出器配置為每60秒傳送一次遙測。  此預設值允許流量收集器在典型環境中有足夠的時間檢視與給定會話/流量兩端相關的流量資訊。  因此，early_check_age未在高級設定清單中預先定義。  這是根據設計進行的，您必須事先諮詢支援/工程部門，才能改變此價值。    但是，當考慮較長且比較安靜的流特徵以及涉及位元組或資料包計數的累積的自定義安全事件配置時，這種初始設計不能很好地執行。  這是建立cse_exec_interval_secs高級設定引數的原因。

cse_exec_interval_secs高級設定

在7.4.2中增加的cse_exec_interval_secs流量收集器高級設定現在可指示引擎根據已配置的自定義安全事件定期檢查其流量快取中的流量。  如果長資料流情況下給定資料流在預設的160秒early_check_age的CSEs標準上不匹配，但在資料流中稍後的時間跨過該閾值，則此高級設定尤其有用。  如果沒有此高級設定，自定義安全事件在流程結束之前不會觸發，有時可能會在幾天後觸發。

效能影響

執行這些間隔CSE條件在流的生命週期中對流的檢查次數比預設值定義的需要更多CPU的次數多。這些說明將指導您完成調查流量收集器引擎上sw.log檔案的內容，以便在啟用cse_exec_interval_secs引數之前確定效能基線。  如果您正在考慮啟用此高級設定，並且希望TAC幫助確認流量收集器運行狀況以準備進行此更改，則可以透過打開支援案例並將流量收集器診斷包附加到SR來完成此操作。

測量classify_flows執行緒的持續時間

您可以進行的一項快速效能影響測量是從今天開始調查sw.log，並將啟用設定之前「cf-」日誌項後列出的數字與應用設定之後的數字進行比較。 

/lancope/var/sw/today/logs/grep 「cf-」 sw.log

20:43:21 I-flo-f0：classify_flows：流量n-1744317 ns-178613 ne-188095 nq-0 nd-0 nx-0至-300 cf-21 ft-126473/792802/940383/14216

20:44:20 I-flo-f4：classify_flows：流n-1754296 ns-191100 ne-167913 nq-0 nd-0 nx-0到-300 cf-20英呎-122830/783378/949392/14928

20:44:21 I-flo-f2： classify_flows：流n-1773175 ns-191930 ne-169039 nq-0 nd-0 nx-0到-300 cf-20 ft-123055/788507/962264/15431

20:44:21 I-flo-f3：classify_flows：流n-1750066 ns-189197 ne-165940 nq-0 nd-0 nx-0到-300 cf-20英呎-122563/779792/944192/15154

20:44:21 I-flo-f5： classify_flows：流n-1753899 ns-190477 ne-168004 nq-0 nd-0 nx-0到-300 cf-20英呎-122261/783375/946651/15423

20:44:21 I-flo-f1： classify_flows：流量n-1763952 ns-191342 ne-169518 nq-0 nd-0 nx-0至-300 cf-20英呎-122782/786822/955997/15175

20:44:21 I-flo-f7：classify_flows：流n-1757535 ns-188154 ne-166221 nq-0 nd-0 nx-0到-300 cf-20英呎-122808/781388/951528/14363

20:44:21 I-flo-f6：classify_flows：流量n-1764211 ns-190964 ne-169013 nq-0 nd-0 nx-0至-300 cf-21 ft-122713/784446/954149/16320

20:44:21 I-flo-f0：classify_flows：流量n-1764197 ns-189780 ne-168784 nq-0 nd-0 nx-0至-300 cf-21 ft-123290/787327/952186/14352

20:45:22 I-flo-f4： classify_flows：流n-1780277 ns-177512 ne-149843 nq-0 nd-0 nx-0到-300 cf-21 ft-129553/766777/964933/14864

20:45:22 I-flo-f2： classify_flows：流量n-1789285 ns-175763 ne-155809 nq-0 nd-0 nx-0至-300 cf-21 ft-129685/772482/976850/15289

20:45:22 I-flo-f3：classify_flows：流n-1774883 ns-177085 ne-149715 nq-0 nd-0 nx-0到-300 cf-22英呎-129067/764272/962000/15090

20:45:22 I-flo-f5： classify_flows：流n-1775998 ns-176898 ne-150682 nq-0 nd-0 nx-0到-300 cf-22英呎-128835/768374/963353/15347

20:45:22 I-flo-f1： classify_flows：流n-1786441 ns-175776 ne-151846 nq-0 nd-0 nx-0到-300 cf-22英呎-129255/770212/970360/15129  

cf條目代表「Classify Flows」。  這表示執行緒經過其負責之流程快取區段所花的秒數。  它位於「分類流」執行緒中，CSE應用於流。 如果您看到啟用該功能後這些數字會增加，這是對整體效能影響的良好測量。 

增加此高級間隔設定後應會增加，但如果此數字接近60，請刪除設定，因為影響太大。預計會增加幾秒鐘，且被認為是合理的。 

效能期間的引擎狀態

您可以進行的另一個效能「之前和之後」測量是檢視sw.log檔案中的「效能時段」部分，該部分每5分鐘記錄一次，以衡量該設定對流處理的影響。  您也可以使用grep來尋找這些區塊。  如果引擎不堪重負，則必須停用此高級設定間隔檢查。

/lancope/var/sw/today/logs/ grep -A3 「效能週期」 sw.log

注意「引擎狀態正常」以外的任何狀態。

諸如「引擎狀態輸入速率過高」之類的狀態表示classify_flows執行緒佔用了太多CPU。

SFI -靜態流索引

表示分類執行緒無法通過流快取完成它們的傳遞：它代表「靜態流索引」，表示分類流執行緒中存在衝突。這本身並不是災難，但它表明引擎開始達到極限，在當前cf級別效能開始下降。  

sw.log：16:09:49 I-flo-f1： classify_flows： sfi：base(8388608) (10522745 -> 11014427) max(16777215) cod(1) (491681/8388608)---------->(5%)
sw.log：16:09:49 I-flo-f3： classify_flows： sfi：base(25165824) (27269277 -> 27754304) max(33554431) cod(1) (485026/8388608)---------->(5%)
sw.log：16:09:49 I-flo-f4： classify_flows： sfi：base(33554432) (35652656 -> 36138422) max(41943039) cod(1) (485765/8388608)---------->(5%)
sw.log：16:09:49 I-flo-f2： classify_flows： sfi：base(16777216) (18985626 -> 19499308) max(25165823) cod(1) (513681/8388608)---------->(6%)
sw.log：16:09:54 I-flo-f0： classify_flows： sfi：base(0) (1786480 -> 421161) max(8388607) cod(1) (7023288/8388608)---------->(83%)
sw.log：16:10:49 I-flo-f0： classify_flows： sfi：base(0) (421161 -> 1402189) max(8388607) cod(0) (981027/8388608)---------->(11%)
sw.log：16:10:49 I-flo-f2： classify_flows： sfi：base(16777216) (19499308 -> 17522620) max(25165823) cod(0) (6411919/8388608)---------->(76%)
sw.log：16:10:49 I-flo-f1： classify_flows： sfi：base(8388608) (11014427 -> 8976309) max(16777215) cod(0) (6350489/8388608)---------->(75%)
sw.log：16:10:49 I-flo-f3：classify_flows：sfi：base(25165824) (27754304 -> 25702968) max(33554431) cod(0) (6337271/8388608)---------->(75%)
sw.log：16:10:49 I-flo-f7： classify_flows： sfi：base(58720256) (58848913 -> 59630528) max(67108863) cod(0) (781614/8388608)---------->(9%)
sw.log：16:10:49 I-flo-f4： classify_flows： sfi：base(33554432) (36138422 -> 34064015) max(41943039) cod(1) (6314200/8388608)---------->(75%)
sw.log：16:10:49 I-flo-f5： classify_flows： sfi：base(41943040) (43310891 -> 44059251) max(50331647) cod(1) (748359/8388608)---------->(8%)
sw.log：16:10:49 I-flo-f6： classify_flows： sfi：base(50331648) (51714170 -> 52444661) max(58720255) cod(1) (730490/8388608)---------->(8%)
sw.log：16:11:49 I-flo-f5： classify_flows： sfi：base(41943040) (44059251 -> 42121104) max(50331647) cod(0) (6450460/8388608)---------->(76%)
sw.log：16:11:49 I-flo-f0： classify_flows： sfi：base(0) (1402189 -> 2373792) max(8388607) cod(1) (971602/8388608)---------->(11%)
sw.log：16:11:49 I-flo-f6： classify_flows： sfi：base(50331648) (52444661 -> 50483491) max(58720255) cod(1) (6427437/8388608)---------->(76%)
sw.log：16:11:49 I-flo-f3：classify_flows：sfi：base(25165824) (25702968 -> 26385879) max(33554431) cod(1) (682910/8388608)---------->(8%)
sw.log：16:11:49 I-flo-f1： classify_flows： sfi：base(8388608) (8976309 -> 9662167) max(16777215) cod(1) (685857/8388608)---------->(8%)
sw.log：16:11:49 I-flo-f4： classify_flows： sfi：base(33554432) (34064015 -> 34742593) max(41943039) cod(1) (678577/8388608)---------->(8%)
sw.log：16:11:50 I-flo-f7：classify_flows：sfi：base(58720256) (59630528 -> 60298366) max(67108863) cod(1) (667837/8388608)---------->(7%)
sw.log：16:11:50 I-flo-f2：classify_flows：sfi：base(16777216) (17522620 -> 18202249) max(25165823) cod(1) (679628/8388608)---------->(8%)

配置

打開Web瀏覽器並直接導航到流量收集器裝置IP。  以本地管理員使用者身份登入。

導航至「支援」->「高級設定」

向下滾動「高級設定」螢幕，顯示清單底部的「增加新選項」配置框

在增加新選項：編輯框中，輸入cse_exec_interval_secs，並在選項值：編輯框中輸入119。編輯這些框將啟用增加按鈕。  在Add New Option：編輯框中輸入cse_exec_interval_secs後，按Add按鈕，並在Option Value：編輯框中輸入119。

Add New Option：和Option value：編輯框已清除，為即將輸入多個新高級設定時的另一個條目做好準備。  新增加的高級設定在增加時貼上到清單底部。  這樣使用者就有機會檢查該條目。  高級設定的準確拼寫與大小寫一樣重要。 所有高級設定都為小寫。

現在，已正確輸入Advanced Setting，請按Apply按鈕。  請注意，有時Apply按鈕未啟用。  若要啟用它，請按一下Add New Option：編輯方塊，然後Apply按鈕會變為啟用以進行按一下。  出現此彈出窗口時，請按「確定」按鈕提交新的高級設定和值。

確認變更

此最終驗證是最重要的。再次按一下Support選單並選擇Browse Files。

這會將您帶到FC上的檔案系統。點選sw。

今天點選

按一下logs。

點選sw.log 

在瀏覽器頁面中執行搜尋，在搜尋框中輸入cse_exec_interval_secs以查詢Advanced Setting

已接受的「進階設定」會如熒幕擷取畫面所示。 

未接受的選項會以「不是輸入組態的一部份」列示，在此例中，它是由於使用者拼字錯誤而造成的。 因此，在進行此類配置更改後檢查日誌非常重要。

恭喜！ 

您剛輸入新的「進階設定」，並已驗證引擎是否接受該設定。

現在，該功能可以啟用為在流達到early_check_age(預設值為160秒)後大約每2分鐘對流運行CSE邏輯。 

如果CSE規則涉及累積一段時間的位元組計數，此功能可改善CSE在符合您定義條件的流上觸發的時機。