Filtros de captura

Ratio de Muestreo

Al crear un filtro de captura de log de flujo, puede especificar un ratio de muestreo. El ratio de muestreo del filtro de captura controla el porcentaje de flujos de red que desea que capture el log de flujo. A continuación, el filtro de captura aplica las reglas para incluir o excluir paquetes en el flujo del registro.

Reglas

Un filtro de captura debe tener al menos una regla y puede tener hasta 10 reglas. Las reglas del filtro de captura se examinan en el orden de secuencia que defina. Cuando se encuentra una coincidencia, se aplica esa regla. Si no se encuentra ninguna coincidencia en una regla concreta, la siguiente regla de la secuencia se evalúa y se ejecuta si coincide. La reordenación de las reglas puede cambiar el comportamiento del filtro de captura. Un filtro de captura puede realizar una acción (ya sea incluir o excluir un paquete) según los siguientes tipos de criterios:

• El paquete forma parte del tráfico de entrada o salida.
• El paquete se envía o procede de un prefijo IPv6 o un bloque de CIDR IPv4 de origen o destino específico
• El paquete utiliza un parámetro de protocolo IP específico (rango de puertos TCP o UDP, ICMP, ICMPv6) utilizado por el tráfico, o cualquier protocolo (utilizando el valor por defecto, Todo).

Si una regla no especifica un bloque de CIDR, un prefijo o un protocolo IP, se aceptan todas las direcciones IP o protocolos IP para esa regla.

A continuación se muestra un ejemplo práctico de cómo estructurar un juego de reglas. La intención es que se incluya todo el tráfico de 10.1.0.0/16, excepto 10.1.1.1, que se excluye:

1. CIDR de origen: 10.1.1.1/32, excluir
2. CIDR de origen: 10.1.0.0/16, incluir
3. CIDR de origen: 10.1.1.0/24, incluir

El filtro de captura evalúa cada paquete del tráfico con respecto a las reglas en el orden de secuencia definido. Un paquete procedente de 10.1.1.1 coincide con la primera regla y se excluye del tráfico reflejado. El paquete no se compara con las otras reglas del juego. El juego de reglas funciona según lo previsto.

Si la primera regla se mueve para ser la tercera en el orden de secuencia, el juego de reglas dejará de funcionar como estaba previsto:

1. CIDR de origen: 10.1.0.0/16, incluir
2. CIDR de origen: 10.1.1.0/24, incluir
3. CIDR de origen: 10.1.1.1/32, excluir

Dado que las reglas del filtro de captura evalúan cada paquete del tráfico en el orden de secuencia definido. Un paquete procedente de 10.1.1.1 ahora coincide con la primera regla y se incluye en el tráfico reflejado. Se omiten otras evaluaciones de reglas. En este ejemplo se utilizan bloques CIDR, pero las reglas se evalúan de la misma forma independientemente del tipo de origen que elija.

Si un paquete no coincide con ninguna regla, se ignora y no se incluye en el log. Si desea que los paquetes que no se especifican en una regla se incluyan en un log, puede crear una regla de inclusión para el CIDR de origen 0.0.0.0/0. Esto captura los paquetes "sobrepasados" en un log que no se capturan en una regla anterior.

A continuación, se muestra un ejemplo: la intención es que se excluya todo el tráfico de 10.1.1.1 y se incluya todo lo demás.

1. CIDR de origen: 10.1.1.1/32, excluir
2. CIDR de origen: 0.0.0.0/0, incluir

Tareas de filtro de captura

• Creación de un filtro de captura
• Actualización de un filtro de captura
• Traslado de un filtro de captura a un compartimento diferente
• Supresión de un filtro de captura