Filtres de saisie

Taux d'échantillonnage

Lorsque vous créez un filtre de capture de journal de flux, vous pouvez spécifier un taux d'échantillonnage. Le taux d'échantillonnage du filtre de saisie contrôle le pourcentage de flux réseau que le journal de flux doit capturer. Ensuite, des règles sont appliquées par le filtre de capture pour inclure ou exclure des paquets dans le flux de la journalisation.

Règles

Un filtre de saisie doit comporter au moins une règle et peut en comporter jusqu'à 10. Les règles du filtre de saisie sont examinées dans l'ordre que vous définissez. Lorsqu'une correspondance est trouvée, la règle associée est appliquée. Si aucune correspondance n'est trouvée pour une règle particulière, la règle suivante de la séquence est évaluée et exécutée en cas de correspondance. Le reclassement des règles peut modifier le comportement du filtre de saisie. Un filtre de saisie peut effectuer une action (inclure ou exclure un paquet) en fonction des types de critère suivants :

• Le paquet fait partie du trafic entrant ou sortant
• Le paquet est en direction ou en provenance d'un bloc CIDR IPv4 ou d'un préfixe IPv6 source ou de destination spécifique
• Le paquet se sert d'un paramètre de protocole IP spécifique (intervalle de ports TCP ou UDP, ICMP , ICMPv6) utilisé par le trafic ou n'importe quel protocole (à l'aide de la valeur par défaut, Tout)

Si une règle ne spécifie pas de bloc CIDR, de préfixe ou de protocole IP, toutes les adresses IP ou tous les protocoles IP sont acceptés pour cette règle.

Voici un exemple pratique de la façon dont vous pouvez structurer un jeu de règles. L'intention est que tout le trafic à partir de 10.1.0.0/16 soit inclus, sauf 10.1.1.1, qui est exclu :

1. CIDR source : 10.1.1.1/32, Exclure
2. CIDR source : 10.1.0.0/16, Inclure
3. CIDR source : 10.1.1.0/24, Inclure

Le filtre de saisie évalue chaque paquet du trafic d'après les règles dans l'ordre de séquence défini. Un paquet de 10.1.1.1 correspond à la première règle et est exclu du trafic en miroir. Le paquet n'est pas comparé aux autres règles du jeu. Le jeu de règles fonctionne comme prévu.

Si la première règle est placée en troisième dans la séquence, le jeu de règles ne fonctionne plus comme prévu :

1. CIDR source : 10.1.0.0/16, Inclure
2. CIDR source : 10.1.1.0/24, Inclure
3. CIDR source : 10.1.1.1/32, Exclure

Comme les règles de filtre de saisie évaluent chaque paquet dans le trafic dans l'ordre de séquence défini, un paquet de 10.1.1.1 correspond maintenant à la première règle et est inclus dans le trafic en miroir. D'autres évaluations de règle sont ignorées. Cet exemple utilise des blocs CIDR, mais les règles sont évaluées de la même façon, quel que soit le type de source choisi.

Si un paquet ne correspond à aucune règle, il est ignoré et n'est pas inclus dans le journal. Si vous voulez que les paquets qui ne sont pas spécifiés dans une règle soient inclus dans un journal, vous pouvez créer une règle d'inclusion pour le bloc CIDR source de 0.0.0.0/0. Cela capture tous les paquets "gains" dans un journal qui ne sont pas capturés dans une règle précédente.

Voici un exemple : L'intention est que tout le trafic de 10.1.1.1 soit exclu et que tout le reste soit inclus.

1. CIDR source : 10.1.1.1/32, Exclure
2. CIDR source : 0.0.0.0/0, Inclure

Tâches de filtre de saisie

• Création d'un filtre de saisie
• Mise à jour d'un filtre de saisie
• Déplacement d'un filtre de saisie vers un autre compartiment
• Suppression d'un filtre de saisie