Cisco ASAs, NetFlow Güvenli Olay Günlüğü (NSEL) adlı bir netflow sürümünü destekler. Akışları görüntülemek için toplayıcılarda protokol için özel destek gerekli mi? Protokol geleneksel ağ akışı toplayıcılarıyla uyumlu mu? Uygulamamda sadece başarılı akışları toplayıcıya göndermeyi planlıyorum.
Yanıtlar:
ASA'larımız (sürüm 8.2 (x)) Netflow sürüm 9'u kullanarak bir SolarWinds Orion toplayıcısına gönderilir. Çalışmasını sağlamak için özel bir şey yapmamız gerekmiyordu. SolarWinds, "normal" ve "ASA" Netflow arasındaki farkların iyi bir açıklaması olan bir dokümana sahiptir: http://www.solarwinds.com/documentation/Netflow/docs/understandingciscoasanetflow.pdf .
Burada yardımcı oluyorsa örnek bir yapılandırmadır:
access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
match access-list flow_export_acl
description Netflow
class flow_export_class
flow-export event-type all destination collector_IP-address
NSEL kayıtları yalnızca akış oluşturma, yıkma veya ACL reddetme olayları sırasında gönderilir ve NetFlow v9 alanlarını ve şablonlarını kullanır. İşte Cisco'nun ASA'da Netflow hakkında sahip olduğu ve sonunda kolektör birlikte çalışabilirliği hakkında konuştuğu bir Doküman . Şahsen Scrutinizer'ı kullandım ve her şey mükemmel çalıştı.
Edit: Ayrıca Plixer NSEL nedir "derin bir dalış" yaptı .