Oracle Cloud Infrastructure - Dokumentation

Capture-Filter

Mit Erfassungsfiltern können Sie auswählen, welcher Traffic in Flowlogs oder VTAPs aufgenommen werden soll.

Sie können zwei Typen von Erfassungsfiltern erstellen: Flowlog-Erfassungsfilter und VTAP-Erfassungsfilter. Beide Typen verwenden Regeln, um Pakete ein- oder auszuschließen. Mit Flowlog-Erfassungsfiltern können Sie auch eine Abtastrate angeben.

Erfassungsfilter können von vielen VTAPs oder Flowlogs verwendet werden. Wenn Sie die Konfiguration für einen Erfassungsfilter ändern, sind alle Ressourcen, die diesen Erfassungsfilter verwenden, betroffen. Sie können Erfassungsfilter des entsprechenden Typs nur mit einer Ressource verwenden. Beispiel: Sie können keinen VTAP-Erfassungsfilter mit einem Flowlog verwenden.

Weitere Informationen finden Sie unter VCN-Flowlogs und Virtuelle Testzugriffspunkte.

Samplingrate

Wenn Sie einen Flowlog-Erfassungsfilter erstellen, können Sie eine Samplingrate angeben. Die Abtastrate des Erfassungsfilters steuert den Prozentsatz der Netzwerkflüsse, die das Flowlog erfassen soll. Anschließend werden Regeln vom Erfassungsfilter angewendet, um Pakete in den Datenfluss einzubeziehen oder von der Protokollierung auszuschließen.

Regeln

Ein Erfassungsfilter muss mindestens eine Regel (max. 10 Regeln) enthalten. Erfassungsfilterregeln werden in der von Ihnen definierten Reihenfolge geprüft. Wenn eine Übereinstimmung gefunden wird, wird diese Regel angewendet. Wenn für eine bestimmte Regel keine Übereinstimmung gefunden wird, wird die nächste Regel in der Sequenz ausgewertet und bei Übereinstimmung ausgeführt. Die Reihenfolge der Regeln kann das Verhalten des Erfassungsfilters ändern. Ein Erfassungsfilter kann basierend auf den folgenden Kriterien eine Aktion ausführen (Pakete ein- oder ausschließen):

  • Das Paket ist Teil des Ingress- oder Egress-Traffics.
  • Das Paket ist an einen bestimmten IPv4-CIDR-Quell- oder -Zielblock oder ein IPv6-Präfix gebunden oder stammt daraus.
  • Das Paket verwendet einen bestimmten IP-Protokollparameter (TCP- oder UDP-Portbereich, ICMP , ICMPv6), der vom Traffic verwendet wird, oder beliebige Protokolle (über die Standardeinstellung Alle).

Wenn eine Regel keinen CIDR-Block, kein Präfix oder kein IP-Protokoll angibt, werden alle IP-Adressen oder IP-Protokolle für diese Regel akzeptiert.

Im Folgenden finden Sie ein praktisches Beispiel für die Strukturierung eines Regelsets. Das Ziel ist, dass der gesamte Traffic von 10.1.0.0/16 eingeschlossen ist, mit Ausnahme von 10.1.1.1 (dies ist ausgeschlossen):

  1. Quell-CIDR: 10.1.1.1/32, Ausschließen
  2. Quell-CIDR: 10.1.0.0/16, Einschließen
  3. Quell-CIDR: 10.1.1.0/24, Einschließen

Der Erfassungsfilter wertet jedes Paket im Traffic anhand der Regeln in der definierten Reihenfolge aus. Ein Paket von 10.1.1.1 entspricht der ersten Regel und wird vom gespiegelten Datenverkehr ausgeschlossen. Das Paket wird nicht mit den anderen Regeln im Set abgeglichen. Das Regelset funktioniert ordnungsgemäß.

Wenn die erste Regel auf die dritte Stelle in der angegebenen Reihenfolge verschoben wird, funktioniert das Regelset nicht mehr wie beabsichtigt:

  1. Quell-CIDR: 10.1.0.0/16, Einschließen
  2. Quell-CIDR: 10.1.1.0/24, Einschließen
  3. Quell-CIDR: 10.1.1.1/32, Ausschließen

Da die Erfassungsfilterregeln jedes Paket im Traffic in der definierten Reihenfolge auswerten, stimmt ein Paket von 10.1.1.1 jetzt mit der ersten Regel überein und ist im gespiegelten Traffic enthalten. Weitere Regelauswertungen werden übersprungen. In diesem Beispiel werden CIDR-Blöcke verwendet, Regeln werden jedoch auf die gleiche Weise ausgewertet, unabhängig davon, welchen Quelltyp Sie auswählen.

Wenn ein Paket keiner Regel entspricht, wird es ignoriert und nicht im Log berücksichtigt. Wenn Pakete, die nicht anderweitig in einer Regel angegeben sind, in ein Log aufgenommen werden sollen, können Sie eine Include-Regel für das Quell-CIDR von 0.0.0.0/0 erstellen. Dadurch werden alle verbleibenden Pakete in einem Log erfasst, die nicht in einer vorherigen Regel erfasst wurden.

Im Folgenden finden Sie ein Beispiel: Das Intent besteht darin, dass der gesamte Traffic von 10.1.1.1 ausgeschlossen und alles andere enthalten ist.

  1. Quell-CIDR: 10.1.1.1/32, Ausschließen
  2. Quell-CIDR: 0.0.0.0/0, Einschließen
Hinweis

Wenn Sie 0.0.0.0/0 zum Protokollieren von Paketen verwenden, kann dies zu einer großen Menge an Logdaten führen.

Filteraufgaben erfassen