Oracle Cloud Infrastructure - Dokumentation

Erfassungsfilter

Wählen Sie mit Capture-Filtern den Traffic aus, der in Flowlogs oder VTAPs aufgenommen werden soll.

Sie können zwei Typen von Erfassungsfiltern erstellen: Flowlog-Erfassungsfilter und VTAP-Erfassungsfilter. Beide Typen verwenden Regeln, um Pakete ein- oder auszuschließen. Mit Flowlogerfassungsfiltern können Sie auch eine Samplingrate angeben.

Erfassungsfilter können von vielen VTAPs oder Flowlogs verwendet werden. Wenn Sie die Konfiguration für einen Erfassungsfilter ändern, sind alle Ressourcen betroffen, die diesen Erfassungsfilter verwenden. Sie können Capture-Filter des entsprechenden Typs nur mit einer Ressource verwenden. Beispiel: Sie können keinen VTAP-Erfassungsfilter mit einem Ablauflog verwenden.

Weitere Informationen finden Sie unter Ablauflogs und Virtuelle Testzugriffspunkte (VTAPs).

Samplingrate

Wenn Sie einen Erfassungsfilter für Flowlogs erstellen, können Sie eine Samplingrate angeben. Die Abtastrate des Erfassungsfilters steuert den Prozentsatz der Netzwerkflüsse, die das Flowlog erfassen soll. Anschließend werden Regeln vom Erfassungsfilter angewendet, um Pakete in den Fluss ein- oder aus dem Logging auszuschließen.

Regeln

Ein Erfassungsfilter muss mindestens eine Regel (max. 10 Regeln) enthalten. Erfassungsfilterregeln werden in der von Ihnen definierten Reihenfolge geprüft. Wenn eine Übereinstimmung gefunden wird, wird diese Regel angewendet. Wenn für eine bestimmte Regel keine Übereinstimmung gefunden wird, wird die nächste Regel in der Sequenz ausgewertet und bei Übereinstimmung ausgeführt. Die Reihenfolge der Regeln kann das Verhalten des Erfassungsfilters ändern. Ein Erfassungsfilter kann basierend auf den folgenden Kriterien eine Aktion ausführen (Pakete ein- oder ausschließen):

  • Das Paket ist Teil des Ingress- oder Egress-Traffics.
  • Das Paket ist an einen bestimmten IPv4-CIDR-Quell- oder -Zielblock oder ein IPv6-Präfix gebunden oder stammt daraus.
  • Das Paket verwendet einen bestimmten IP-Protokollparameter (TCP- oder UDP-Portbereich, ICMP , ICMPv6), der vom Traffic verwendet wird, oder beliebige Protokolle (über die Standardeinstellung Alle).

Wenn eine Regel keinen CIDR-Block, kein Präfix oder kein IP-Protokoll angibt, werden alle IP-Adressen oder IP-Protokolle für diese Regel akzeptiert.

Im Folgenden finden Sie ein praktisches Beispiel für die Strukturierung eines Regelsets. Das Ziel ist, dass der gesamte Traffic von 10.1.0.0/16 eingeschlossen ist, mit Ausnahme von 10.1.1.1 (dies ist ausgeschlossen):

  1. Quell-CIDR: 10.1.1.1/32, Ausschließen
  2. Quell-CIDR: 10.1.0.0/16, Einschließen
  3. Quell-CIDR: 10.1.1.0/24, Einschließen

Der Erfassungsfilter wertet jedes Paket im Traffic anhand der Regeln in der definierten Reihenfolge aus. Ein Paket von 10.1.1.1 entspricht der ersten Regel und wird vom gespiegelten Datenverkehr ausgeschlossen. Das Paket wird nicht mit den anderen Regeln im Set abgeglichen. Das Regelset funktioniert ordnungsgemäß.

Wenn die erste Regel auf die dritte Stelle in der angegebenen Reihenfolge verschoben wird, funktioniert das Regelset nicht mehr wie beabsichtigt:

  1. Quell-CIDR: 10.1.0.0/16, Einschließen
  2. Quell-CIDR: 10.1.1.0/24, Einschließen
  3. Quell-CIDR: 10.1.1.1/32, Ausschließen

Da die Erfassungsfilterregeln jedes Paket im Traffic in der definierten Reihenfolge auswerten, stimmt ein Paket von 10.1.1.1 jetzt mit der ersten Regel überein und ist im gespiegelten Traffic enthalten. Weitere Regelauswertungen werden übersprungen. In diesem Beispiel werden CIDR-Blöcke verwendet. Regeln werden jedoch unabhängig vom ausgewählten Quelltyp auf dieselbe Weise ausgewertet.

Wenn ein Paket keiner Regel entspricht, wird es ignoriert und nicht in das Log aufgenommen. Wenn Pakete, die nicht anderweitig in einer Regel angegeben sind, in ein Log aufgenommen werden sollen, können Sie eine Include-Regel für das Quell-CIDR von 0.0.0.0/0 erstellen. Dadurch werden alle "verlassenen" Pakete in einem Protokoll erfasst, die in einer vorherigen Regel nicht erfasst wurden.

Beispiel: Das Intent ist, dass der gesamte Traffic von 10.1.1.1 ausgeschlossen ist und alles andere enthalten ist.

  1. Quell-CIDR: 10.1.1.1/32, Ausschließen
  2. Quell-CIDR: 0.0.0.0/0, Einschließen
Hinweis

Die Verwendung von 0.0.0.0/0 zum Protokollieren von Paketen kann zu einer großen Menge an Logdaten führen.

Filteraufgaben erfassen