Cisco ASAs hỗ trợ một phiên bản của luồng mạng được gọi là Nhật ký sự kiện an toàn NetFlow (NSEL). Là hỗ trợ đặc biệt cho giao thức cần thiết trên các bộ thu để xem các luồng? Giao thức có tương thích với các bộ thu netflow truyền thống không? Trong triển khai của tôi, tôi đang lên kế hoạch chỉ gửi các luồng thành công cho người sưu tầm.
Câu trả lời:
Các ASA của chúng tôi (phiên bản 8.2 (x)) gửi tới bộ sưu tập Orion của SolarWinds bằng Netflow phiên bản 9. Chúng tôi không phải làm gì đặc biệt để khiến nó hoạt động. SolarWinds có một tài liệu với một lời giải thích tốt về sự khác biệt giữa Netflow "bình thường" và "ASA" tại đây: http://www.solarwinds.com/documentation/Netflow/docs/under Hiểuciscoasanetflow.pdf .
Nếu nó giúp ở đây là một cấu hình mẫu:
access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
match access-list flow_export_acl
description Netflow
class flow_export_class
flow-export event-type all destination collector_IP-address
Các bản ghi NSEL chỉ được gửi trong quá trình tạo luồng, phân tách hoặc ACL từ chối các sự kiện và sử dụng các trường và mẫu NetFlow v9. Đây là một tài liệu mà Cisco có về Netflow trên ASA và cuối cùng, nó nói về khả năng tương tác của người sưu tập. Cá nhân tôi đã sử dụng Scrutinizer và mọi thứ đều hoạt động hoàn hảo.
Chỉnh sửa: Ngoài ra Plixer đã "lặn sâu" về NSEL là gì.