IPFIX

Scrutinizer 常見問題之三

Q17:如何輸入IP來命名分辨率,以便Scrutinizer不必使用DNS來解析IP?

編輯此文件:/etc/hosts 並輸入IP以轉換 x.x.x.x domain.tld 格式名稱

Q18:界面上的整體使用率似乎被低估了,什麼情況會導致這種狀況?

  • 確保在設備的所有實體連接埠上啟用NetFlow。不要管虛擬連接埠,因為一旦在物理連接埠上啟用了NetFlow,就會自動出現。
  • 如果硬體無法跟上發送NetFlow封包的速度,它會自動丟棄NetFlow。要檢查是否存在此問題,請登錄Cisco設備。

鍵入命令:Router_name> sh ip flow export

匯出資料,尋找“294503 export packets were dropped due to IPC rate limiting”之類的內容。如果此計數器遞增,則表示硬體無法滿足匯出要求。

  • 下面的命令將long-lived flows分解為1分鐘。您可以選擇1到60之間的任意分鐘數; 如果您保留30分鐘的預設值,您的使用率報告將會出現峰值。

輸入命令:ip flow-cache timeout active 1

  • 以下命令可確保及時匯出已完成的Flow。預設值為15秒; 您可以選擇介於10和600之間的任何值。但請注意,如果您選擇的值超過250秒,則Scrutinizer可能會報告顯示較低的Flow級別。

鍵入命令:ip flow-cache timeout inactive 15

  • NetFlow v5僅匯出IP流量(即沒有IPX等),並且此版本的NetFlow不會匯出Layer 2 broadcasts。

Q19:如何設定讓路由器將NetFlow轉發到兩個目的地?

在Cisco路由器上,使用“ip flow-export destination”命令兩次。思科允許使用NetFlow v5 / v9將流量導向到2個不同的目的地

router-name#ip flow-export destination 10.1.1.8 2055 
router-name#ip flow-export destination 10.1.1.9 2055

有關更多訊息,請參閱如何配置運行IOS的Cisco路由器。某些Flow技術僅允許配置單個目標。要導向到多個目標,您可能需要使用flow replicator

Q20:為什麼我的圖表報告的使用率超過100%?

    • 連接埠速度不正確。Scrutinizer使用SNMP OID中指定的速度。登錄路由器或交換機並修復問題或在Scrutinizer中轉到設備詳細訊息並手動輸入正確的速度。
    • 路由器上的活動超時未設置為1分鐘。登錄路由器或切換並解決問題。
    • 非專用的超頻彈性頻寬(burstable bandwidth),ISP允許您在分配的頻寬上使用。
    • 進入流量和出去流量在 NetFlow 收集都已經在連接埠上啟用。如果在出去Flow中設置了方向位,則這可以正常工作。Scrutinizer的最佳工作設定只需要在所有連接埠上配置進入流量 NetFlow 收集。只有收集出去的流量在所有連接埠也是可以的。
    • 你在連接埠上有設定加密通道嗎?
      • 47 – GRE,通用路由封裝。
      • 50 – ESP,封裝安全負載。
      • 94 – IP-within-IP封裝協議。
      • 97 – EtherIP。
      • 98 – 封裝表頭。
      • 99 – 任何私有加密方案。

這可能導致流量在連接埠上計數兩次。在Scrutinizer中可以到Admin Tab > Definitions > Manage Exporters。點擊“ – ”的圓形圖示。當滑鼠懸停在圖示上時,ALT將顯示“View the current protocol exclusions of this device.”點擊此按鈕,確保排除上述協議。

  • 完整流量暫存:匯出前所有流量都存儲在路由器的流量暫存區中。暫存區滿了後它會停止向暫存區中增加條目,直到暫存過期為止。當發生諸如DDOS或“social event”之類的事件時,路由器的暫存會滿載。暫存可以增加; 但是會佔用更多記憶體並可能對路由器產生負面影響。流量遺失將導致Scrutinizer低估使用率。

Q21:如何查看是否有可用的更新在Scrutinizer的程式中?

要檢查更新,請在登出(Log Out)按鈕旁邊的下拉列表中選擇“檢查更新”按鈕。

比較一下Scrutinizer更新歷史

Q22:我忘記了我的Scrutinizer密碼。我怎麼如何處理?

注意:必須從Scrutinizer伺服器執行這些命令。

[USERNAME]是要修改的Scrutinizer用戶帳戶的名稱。執行該命令時,它將提示輸入新密碼,然後重新輸入。

在安裝Scrutinizer本機中,從[homedir]\bin\ directory:命令提示符下輸入以下命令:

版本16.7

scrut_util.exe – set password webui [USERNAME]

版本7.x到16.3

scrut_util.exe -reset_admin_password [USERNAME]

Q23:如何在Scrutinizer設置SSL?

需要此條件使用SSL支援的安裝程式的用戶。請聯繫我們獲取SSL安裝程式。

Q24:Scrutinizer可以在虛擬環境中運行嗎?支援哪些管理程式?

當然可以。目前我們提供可部署在VMware,Hyper-V 2012+和KVM。您可以在“ 安裝選項”頁面上查看更多詳細訊息。

注意:與任何虛擬化環境一樣,當您的伺服器資源在多個虛擬機之間分配使用時,您的性能可能會急劇下降。

Q25:如何更新Scrutinizer?

查看https://forums.plixer.com/viewtopic.php?f=15&t=2544#p9095以更新Windows上的Scrutinizer。

查看https://forums.plixer.com/viewtopic.php?f=15&p=9127#p9127以更新Scrutinizer虛擬設備。

對於硬體設備(僅國外銷售),請聯繫技術支援進行升級。

如果您遇到麻煩,請發送到https://forums.plixer.com 或洽易璽科技尋求技術支援。

Q26:如何設定第三方的整合環境?

查看“ 附加整合(Additional Integration )頁面了解有關Scrutinizer中可用的第三方整合的更多訊息。

Q27:為什麼即使我在Windows中正確配置了DNS,我的IP也無法解析?

注意:這僅適用於Scrutinizer v16.3 +的Windows安裝(註:台灣未發行此版本)

在某些情況下,Scrutinizer可能無法正確解析IP地址。當存在多個具有不同記錄的DNS伺服器時,通常會發生這種情況。為了解決這個問題,Scrutinizer允許您在文件中指定DNS伺服器,而不是從Windows註冊表中獲取設置。步驟概述如下:

  1. 在名為dns.conf的\ scrutinizer \ html目錄中建立一個文件。
  2. 使用記事本等文字編輯器打開此文件。
  3. 使用以下格式在文件中建立DNS伺服器列表。
nameserver 192.168.1.1 
nameserver 166.186.184.2 
nameserver 224.39.1.171

現在您已經建立這個文件,您應該可以進入Scrutinizer Web界面並正確進行查看。

Q28:可以做些什麼來加速Scrutinizer的界面?

如果您遇到性能不佳或認為界面運行緩慢,請聯繫我們的支援團隊與代理商。他們知道許多改進安裝的方法,可以滿足您的系統性能需求。

Q29:我想將我的資料庫密碼從預設更改為更安全的密碼。除了在資料庫中設置密碼之外還有什麼我需要做的嗎?

在16.7版中執行

scrut_util ([HOMEDIR]\Scrutinizer\bin\scrut_util.exe). From the SCRUTINIZER> command line run <set password rootdb>

在16.3及更早版本中,您需要使用scrut_util.exe透過CLI更新MySQL Root密碼:

[HOMEDIR]\Scrutinizer\bin\scrut_util.exe -reset_mysql_password

**警告**此命令將改變Scrutinizer和/或用戶存取資料的方式。請謹慎使用。

Q30:哪裡可以找到Scrutinizer手冊?

以下是Scrutinizer手冊的線上副本供審閱。

Q31:我怎麼知道我需要多少硬碟空間?

使用NetFlow頻寬和硬碟消耗計算器來確定NetFlow資料量將消耗多少硬碟空間。

Q32:為什麼我的Juniper流量資料中的DSCP值錯誤?

在Juniper JunOS 11.2R4中,通過JFlow進行的DSCP報告存在問題。您有時可能會在Scrutinizer中看到意外的DSCP值。請使用Wireshark將您在Scrutinizer中看到的內容與您的Juniper設備在流量資料封包中匯出的內容來進行比較。

Q33:如何將第二個NIC加到Scrutinizer虛擬設備?

  1. 將第二個NIC安裝到ESX(i)主機中
  2. 使用vSphere,將第二個NIC分配給Scrutinizer VM
  3. 登錄Scrutinizer CLI並使用正確的網路設定建立/etc/sysconfig/network-scripts/ifcfg-eth1檔案。您可以使用ifcfg-eth0配置作為示例,因為不會自動建立ifcfg-eth1檔案。
  4. 使用以下命令重新啟動網路:service network restart

Q34:我在哪裡可以找到更改日誌?

每個安裝都包含scrutinizer / files中的changelog.txt,其中概述了所有錯誤修復。您還可以在https://www.plixer.com/support/updates/在線上查看更改日誌。

Scrutinizer如何建立Network Map?

Network Map為用戶提供了網路拓撲結構的高階視圖以及流量在網路中的流動方式。最常見的是作為快速參考用,以確定連接是否飽和。如果我們將結合Map功能與當前Flow數據中匯出的一些獨特元素相結合該如何處理?

在此介紹在Scrutinizer中建立網路地圖的過程以及用戶可以在其環境中利用的一些獨特範例。

設計你的地圖

第一步是決定我們想要建立的地圖類型。首先,我將建立一個簡單的網路。我們將從“地圖”標籤開始,然後選擇左側的“新建”選項。首先,我們必須決定要建立哪種地圖類型。我們可以建立一個’html5’,’Plixer Map’,或者我們可以利用Google地圖(請注意,Google地圖需要使用API密鑰,可免費申請)。在這裡,選擇了Plixer Map。

接下來,將設備作為Objects(目標)。正如下面的截圖中看到的,Objects(目標)不僅限於網路設備。在拓撲圖中包含了ISP的Objects(目標),以及嵌在拓撲視圖中的child maps。

一旦設定好Objects(目標),下一步就是建立連接。透過Connections Tab完成,Connections提供選項來表示這些連線。大部分連線都是連接每個設備的physical interfaces(實體介面) 。這允許我們以速率或百分比使用率來查看通過設備的流量。還在連接的設備之間的嵌套地圖建立了logical connections(邏輯連線)。

Connections的好處是雙重的:即時利用我們的連接並允許我們深入研究並查看正在進行的對話。

嵌套地圖

讓我們深入了解“Sales Team”地圖。從我們的拓撲圖中,我們透過點擊該地圖放大到我們的銷售部門:

在這裡,建立了一個代表幾個銷售團隊成員的地圖。該地圖的獨特之處在於連接回到3850的每個連線都是僅根據該用戶的流量進行過濾的自定報告。從這裡可以估計每個用戶消耗的流量。這裡的另一個常見用例是監控VoIP流量而不是用戶的流量。

首先,讓我們看看這些連接是如何形成的。首先建立了一個隔離用戶流量的報告:

然後我使用此報告將Objects(目標)“ShaneS”連接到3850 switch交換機。現在從拓撲圖中可以深入到銷售團隊,在那裡我可以監控每個特定用戶。

讓我們從用戶流量轉向監控我們的應用服務器。從拓撲圖中可以看到應用服務器建立了一個嵌套地圖。與建立銷售團隊地圖的方式類似,使用一個Objects(目標)來表示我們的應用服務器,然後製作一個自定報告來隔離特定的應用程式流量。

在這裡看到了一些特定於最終用戶環境的獨特地圖。由於沒有兩個環境是相同的,因此可以靈活地定義想關注的流量,這是一個很棒的用處。

如果您對Mapping Functionality有任何疑問,請隨時聯繫我們,還可以前往Plixer的Youtube頻道plixerweb,在那裡您可以查看許多影片範例,包括建立地圖的示範操作

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

使用NetFlow監控BYOD設備

由於增加的網路負載以及它們可能帶來的新安全風險,使用Netflow監控BYOD正成為大多數人的網路的一個大問題。在這篇中,希望能夠闡明思科最近推出的一些新功能,以幫助跟踪網路上的行為。

思科無線NetFlow:

由於大多數進入網路的BYOD都可能連接到您的無線網路,因此思科採用AVC指標導出NetFlow。這允許我們使用Cisco ISE 或Active目錄通過MAC地址,SSID,接入點甚至用戶名稱追踪用戶的設備。以及查看有多少主機連接到每個SSID或AP。這使其在性能和安全空間都有益。

應用程式感知NetFlow:

獲取用戶/主機連接的用戶名和IP非常好,但應用程式訊息更好。截至2014年11月,NetFlix消耗了35%的互聯網流量(來源)。這導致企業網路的強力推動來監控網路,尤其是在頻寬非常昂貴的遠距辦公室。使用我們的思科WLC中的NetFlow以及從ISE給我們的指標,我們可以輕鬆地深入研究這個並抓住罪魁禍首!

除了捕捉非工作行為之外,您還可以幫助阻止一些辦公室盜版者在網路上下載受版權保護的資料。現在,我們可以輕鬆快速輕鬆地捕獲Bit Torrent流量或任何可疑流量,並輕鬆降低您的MTTK(平均知曉時間)並幫助解決您可能遇到的任何網路問題。

正如您從上圖中看到的那樣,列出了可疑IP以及登錄用戶,現在允許我們使用Cisco ISE integration在NetFlow收集器的GUI內從無線IP中踢出它們。

正如您所看到的,監控BYOD已經發生了相當大的變化,從跟踪網路中的MAC地址和將多維數據集轉移到多維數據集的過程中,試圖讓某人下載大文件。由於身份服務並使用戶意識到他們的流量正在被監控和看到,現在它變得更加容易。如果您在網路上設置監控BYOD有任何疑問或需要任何幫助,請隨時與我們聯繫!

從NetFlow報告查看監控的BYOD流量

大多數公司都認為BYOD(自帶設備)可以讓企業從員工中獲得更高的生產力。正因為如此,移動工作者正在崛起,它正在創造一個新的IT挑戰。IDC Health Insights項目主管Lynne Dunbrack表示,“某些自帶設備策略會帶來一定的安全風險:例如,將移動惡意軟體引入醫院網路”。一些擁有BYOD的醫院正在限制BYOD設備僅限互聯網接入。為什麼?

“在過去一年裡,BYOD確實成為我們日益增長的問題,”北卡羅來納州Rex Healthcare的高級網路架構師Bryan Safrit在一份聲明中表示。“我們看到的更多流量來自iPhone,iPad和Android設備。如果沒有區分用戶和執行政策的能力,我們的BYOD流量可能會超過我們的頻寬。“雇主如何確保流量的增加實際上與工作相關?而且,公司如何保護自己免受工作場所BYOD爆炸流量帶來的固有風險?這是一個棘手的問題。首先讓我們了解問題。

儘管生產力有所提高,但一些員工喜歡在Scrabble上回應他們,或者回應個人Skype消息等。在過去,公司可以查看電話費,以查看員工當天是否正在撥打或接聽過多的個人電話。今天,這並不是那麼容易,尤其是當像Facebook.com這樣的網站通過SSL連接輕易連接angrybirds遊戲時:https://apps.facebook.com/angrybirds/。

我到目前為止追踪BYOD設備的一些最佳方法是使用NetFlow,sFlow或IPFIX數據:

  • 過濾MAC地址。具體而言,可以使用供應商ID。
  • 過濾專門為無線設備預留的子網
  • 與Cisco ISE或Enterasys Mobile IAM整合

過濾MAC或IP地址:

在使用無線網路時,我們當然可以要求員工管理自己的行為。但是,我們仍然需要使用網路流量報告工具檢查流量,例如NetFlow Analyzer,它可以過濾MAC地址的供應商ID(例如iPhone):

上面報告中的更改以查看過濾後的MAC地址訪問的主要網域可能會生成BYOD流量報告解決方案,其中包含以下信息:

當發現違規者時,對不當行為施加後果,並且在員工之間傳播消息。如果管理員想要查看用戶已在網路上驗證了多少設備,則許多防火牆(例如Cisco ASA,Palo Alto Networks,SonicWALL)支持NetFlow或IPFIX並在其導出中提供用戶名。如果不這樣做,這些流量出口可以與Microsoft Active Directory服務器,Cisco ISE或Extreme Mobile IAM相關聯,以收集用戶名稱與詳細信息。

與Cisco ISE或Enterasys Mobile IAM整合

Extreme Mobile IAM解決方案還可用於跟踪BYOD。這些系統確定設備的類型(例如iPhone,Android,筆記本電腦等),並考慮在網路上進行身份驗證的用戶名,然後將策略下推到將處理設備通信的網路上的交換機。這種類型的BYOD流量監控允許管理員跟踪BYOD設備甚至對它們進行分組:

深入了解上面的操作系統,找到誰在驗證這些設備以及他們產生了多少流量。

Scrutinizer 常見問題之一

Q1:什麼是NetFlow?

Cisco®NetFlow技術是Cisco IOS路由器和高階交換機(例如6500系列)中的嵌入式功能。NetFlow數據記錄包括關於來源和目標地址的訊息,以及End-to-End conversation中使用的protocols和Ports。Scrutinizer使用此訊息產生成Flow模式和頻寬使用率的圖表和報告。更多訊息可以在這裡找到(英文)。

Q2:什麼是sFlow?

將多個conversation streams 包裝為單一個封包與NetFlow不同,sFlow是Flow的資料封包樣本。雖然它提供100%的資料封包,但嚴格用於IP計費時,它是不可靠的。更多訊息可以在這裡找到(英文)。

Q3。什麼是IPFIX?

NetFlow最初由思科實施並在“informational”檔中描述,該檔案不在IETF的標準上。NetFlow protocol 本身已被 Internet Protocol Flow Information eXport(IPFIX)取代。更多信息可以在這裡找到(英文)。

Q4。IPFIX如何與NetFlow和sFlow相關?

IPFIX是NetFlow v9的演變。IPFIX與NetFlow和sFlow的不同之處在於它允許指定供應商ID,從而供應商可以在Flow中打包專有訊息並匯出他們想要的任何細節。例如,傳統上使用Syslog發送或透過SNMP收集的相同詳細訊息可以在IPFIX中匯出。

此外,IPFIX允許變更長度字段。如果要匯出HTTP主機,URLs或防火牆資訊等詳細訊息,這將非常有用。

Q5。思科是唯一支持NetFlow的供應商嗎?

NetFlow技術由思科發明,Cisco IOS設備提供NetFlow相容性。除Cisco之外的許多供應商都提供類似的網路流量監控技術 Scrutinizer 在單一平台上執行所有Flow技術的收集,威脅檢測和報告。

點擊此處了解有關NetFlow的不同版本的更多詳細訊息(英文)。

Q6。NetFlow與MRTG等流量分析器有何不同?

MRTG和其他此類等效工具提供的訊息主要限於SNMP統計訊息。NetFlow更適合應用程式等級的詳細訊息,例如hosts, protocols, 和conversations, ,這些是IP流量的固有部分。

Plixer

一分鐘就讓你了解 Plixer Scrutinizer 特點

Scrutinizer是一套NetFlow、sFlow、JFlow與IPFIX的全方位解決方案,可同時是用於實體與虛擬環境的網路流量管理解決方案,可根據事件反應、威脅偵測、歷史報告與功能基礎提供多元的管理模式。這套屢獲無數獎項的網路管理系統,深入了解使用者需求、應用程式與網路設備狀態,藉此提供更完善的報表功能。

關於Scrutinizer的特點:

  1. 市場上領先的網路流量產品之一。(市場上已經有其他的相關產品,但少有功能這麼強大的)
  2. 可提供網管設備無法知道的資訊,並能處理任何流量,如sFlow,Netflow,JFlow和IPFIX。
  3. 存儲所有原始數據並產生報表
  4. 產生報表速度很快
  5. 從非常小到非常大的網路環境都適用。
  6. Scrutinizer設計成為法律取證(Forensic)和安全(Security)工具,它可以根據流量模式發出警報,具有DNS整合功能,並且可以顯示被隱藏的網路。
  7. 可以單獨使用或與其他監控工具整合使用。

何時會需要Scrutinizer?

  • 如果您需要安全取證工具(它收集所有內容不會丟失資料保留全部資訊)。
  • 為了符合安全規定,提供可驗證的證據給IT來符合內部管理政策,外部法規和行業最佳作法(例如: HIPAA,FIPS,NERC,SCADA,SOX,COBIT,PCI和NPPI)。
  • 如果您需要對您的網路流量(Traffic Flows)進行深入分析,誰正在建立連線並與誰進行通信。
  • 如果您需要特定參數來連接防火牆設備(如Cisco ASA,Paolo Alto等)。
  • 如果您想要了解Netflow的人或公司,選擇Plixer就對了。
  • 即時和快速的報表。
  • 深入研究網路流量性能問題。

Scrutinizer的擴展性

Scrutinizer的可擴展性是由一個非常有效的可擴展性平台的方式建置的:

  • 基於Windows平台
  • 提供虛擬設備更高的可擴展性
  • 專注於(最佳化)設備針對大規模的網路環境

與其他監測工具整合

將Scrutinizer與其他監控工具(如SolarWinds,Network mapping tools,SPLUNK等)整合很容易,有可用於整合的API。

擴展性和整合

作為Scrutinizer背後的公司Plixer擁有許多其他產品,可以輕鬆地整合現有環境,而無需大量投資/更換網路設備。簡單介紹一下:

  • Flow Pro APM(為您提供更多應用程式可見性的網路探測器)
  • Flow Replicator(如果您有需要複製收集的流量讓其他的軟體分析使用)。
  • Flow Pro Defender(掛入惡意DNS請求)。

免費下載與試用

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

若對這套網路流量監控軟體有任何興趣請與我們聯繫

進一步閱讀的鏈接

訪問 Scrutinizer / Plixer 網站了解更多詳情,有更多的技術訊息可供參考。