Please enable JavaScript to view this site.

EventSentry kann die folgenden Ablaufprotokolle parsen:

 

NetFlow v1

NetFlow v5

NetFlow v9

IPFIX

sFlow

 

Die NetFlow-Überwachung unterstützt die folgenden Funktionen:

 

Visualisierung, einschließlich Geolokalisierung, der gesamten über NetFlow gesendeten Netzwerkkommunikation

Echtzeitwarnungen für Verkehr von/nach bestimmten IP-Bereichen, Ländern, Staaten, Städten, Postleitzahlen oder Orten

Korrelation mit Netzwerk-Anmeldedaten, um den Netzwerkverkehr mit Benutzernamen zu verknüpfen (erfordert die Überwachung von Workstations mit EventSentry)

 

info_24

NetFlow ist eine separat lizenzierte Komponente, für die eine NetFlow-Lizenz erforderlich ist. Die NetFlow-Funktionalität ist während einer Evaluierung (bei der die NetFlow-Funktionalität automatisch aktiviert wird) oder wenn mindestens eine NetFlow-Lizenz installiert ist, verfügbar.

 

clip0322

 

Um den NetFlow-Collector zu aktivieren, markieren Sie das Kontrollkästchen NetFlow-Collector aktivieren auf der Registerkarte "Allgemein" und konfigurieren Sie entweder die Datenbank- oder die Ereignisprotokollfunktion. Der standardmäßige NetFlow-Port ist 2055, der standardmäßige sFlow-Port ist 6343. Beide können bei Bedarf auf einen anderen Port geändert werden. Nachdem Sie den NetfFlow Collector aktiviert haben, können Sie Ihre NetFlow-Geräte so konfigurieren, dass sie Daten über die konfigurierten NetFlow-Anschlüsse an den EventSentry-Server weiterleiten.

 

Aggregierte Flows

Um Speicherplatz in der Datenbank zu sparen, kann der NetFlow-Collector mehrere Flows gruppieren, die in dichter Folge empfangen werden. Bei Aktivierung dieser Option können einzelne Paketdetails verloren gehen, der Datenbankspeicherplatz wird jedoch erheblich reduziert.

 

Bandbreite berechnen

Ermittelt die Bandbreitennutzung einer Schnittstelle und bietet zusätzliche Metriken im Vergleich zur herkömmlichen SNMP-basierten Bandbreitenüberwachung. Das Bandbreitenintervall bestimmt, wie oft Bandbreitenstatistiken in der Datenbank gespeichert werden.

 

Auslastung (in %)

Bytes

Pakete

Bytes pro Paket

 

Nutzung

Die Berechnung der Auslastung einer Schnittstelle setzt voraus, dass die NetFlow-Komponente die maximale Geschwindigkeit einer Schnittstelle kennt (welche sie versucht automatisch über SNMP zu ermitteln). Die maximale Geschwindigkeit einer Schnittstelle kann auch über Variablen angegeben werden, wenn die Geschwindigkeit der Schnittstelle nicht ermittelt werden kann oder wenn die maximale Geschwindigkeit der Schnittstelle nicht die tatsächlich verfügbare Bandbreite widerspiegelt (z.B. hat ein Router eine 1Gb-Schnittstelle, aber nur 100MBit verfügbar). Die Geschwindigkeiten werden in MBit angegeben.

 

warning_24

Bandbreitennutzung, die weniger als 0,0001% beträgt, wird immer als 0,0001% protokolliert. Wenn die Bandbreitennutzung nicht berechnet werden kann wird eine Auslastung von 0% protokolliert.

 

Die folgenden Variablen werden unterstützt:

 

NFSPEED

NFSPEED[INTERFACENAME]

 

Um eine Variable zu setzen muss zunächst der NetFlow-Exporter zu einer Gruppe in der Verwaltungskonsole hinzugefügt und die erforderlichen SNMP-Authentifizierungs-Credentials gesetzt werden. Sobald der Zugriff auf den NetFlow-Exporter bestätigt ist (Gruppen -> Status prüfen), kann eine Variable zugewiesen werden, indem man den NetFlow-Exporter auswählt und im Ribbon auf "Set Variables" klickt.

 

info_48

Das Gerät, das NetFlow-Daten sendet, muss zu einer Gruppe in der Verwaltungskonsole hinzugefügt werden, bevor ihm eine Variable zugewiesen werden kann. Die IP-Adresse des Geräts sollte hinzugefügt werden, wenn Reverse-Lookup im DNS nicht verfügbar ist.

 

Um eine neue Variable hinzuzufügen, klicken Sie auf die Schaltfläche Hinzufügen und geben Sie sowohl einen Variablennamen als auch einen Wert an. Wenn die Geschwindigkeit über die NFSPEED-Variable eingestellt wird, dann wird die konfigurierte Geschwindigkeit auf jede Schnittstelle des NetFlow-Exporters angewendet. Um die Geschwindigkeit für eine bestimmte Schnittstelle einzustellen, muss die Schnittstelle an den Variablennamen angehängt werden. Um z.B. die maximal verfügbare Bandbreite der eth0-Schnittstelle auf 100MBit einzustellen, kann die Variable NFSPEEDETH0 auf 100 gesetzt werden. Die Schnittstellennamen werden normalerweise auf der Inventarseite des Hosts in den Web Reports angezeigt.

 

 

clip0329

Zuweisen einer benutzerdefinierten Schnittstellengeschwindigkeit

 

Die NetFlow-Komponente protokolliert während des Starts die folgenden Ereignisse unter der Ereignisquelle Netzwerkdienste, um zu bestätigen, welche Schnittstellengeschwindigkeiten wirksam sind:

 

1005: Die Schnittstellengeschwindigkeit wurde über SNMP bestimmt

1006: Die Schnittstellengeschwindigkeit wurde über eine Variable

1007: Die Schnittstelle konnte nicht über SNMP bestimmt werden und wurde nicht mit einer Variablen eingestellt, die Bandbreitennutzung kann derzeit nicht berechnet werden

 

Bytes

Speichert die Anzahl der Bytes, die während des Erfassungsintervalls von der Schnittstelle gesendet und empfangen wurden.

 

Pakete

Speichert die Anzahl der Pakete, die während des Erfassungsintervalls von der Schnittstelle gesendet und empfangen wurden.

 

Bytes pro Paket

Berechnet die durchschnittliche Paketgröße während des Sammelintervalls.

 

secure-warn

Die Überwachung der durchschnittlichen Paketgröße kann nützlich sein, um ungewöhnliche Aktivitäten in einem Netzwerk zu erkennen, z.B. wenn die durchschnittliche Größe ungewöhnlich hoch oder niedrig ist.

 

Autorisierte IP-Adressen / Netzwerke

Um die Sicherheit zu erhöhen müssen Sie angeben, von welchen Hosts der NetFlow-Collektor Pakete akzeptiert. Hostnamen sind in dieser Liste nicht erlaubt, es dürfen nur IP-Adressen angegeben werden welche die CIDR-Notation unterstützten.