Filtres de capture

Taux d'échantillonnage

Lorsque vous créez un filtre de capture de journal de flux, vous pouvez indiquer une fréquence d'échantillonnage. La fréquence d'échantillonnage du filtre de capture contrôle le pourcentage de flux réseau que le journal de flux doit capturer. Les règles sont ensuite appliquées par le filtre de capture pour inclure ou exclure les paquets du flux de la journalisation.

Règles

Un filtre de capture doit comporter entre une et dix règles. Les règles de filtre de capture sont examinées dans l'ordre que vous définissez. Lorsqu'une correspondance est trouvée, la règle concernée est appliquée. En l'absence de correspondance avec une règle particulière, la règle suivante est évaluée et exécutée en cas de correspondance. La réorganisation des règles peut modifier le comportement du filtre de capture. Un filtre de capture peut effectuer une action (inclure ou exclure un paquet) en fonction des types de critère suivants :

• Le paquet fait partie du trafic entrant ou sortant.
• Le paquet part vers un bloc CIDR IPv4 ou un préfixe IPv6 source ou de destination spécifique, ou en provient.
• Le paquet emploie un paramètre de protocole IP spécifique (plage de ports TCP ou UDP, ICMP , ICMPv6) utilisé par le trafic ou n'importe quel protocole (avec la valeur par défaut, Tout).

Si une règle n'indique ni protocole IP, ni préfixe, ni bloc CIDR, l'ensemble des protocoles ou des adresses IP sont acceptés pour cette règle.

Voici un exemple pratique de la manière dont vous pouvez structurer un ensemble de règles. L'objectif est d'inclure tout le trafic provenant de 10.1.0.0/16 sauf de 10.1.1.1, qui est exclu :

1. CIDR source : 10.1.1.1/32, Exclure
2. CIDR source : 10.1.0.0/16, Inclure
3. CIDR source : 10.1.1.0/24, Inclure

Le filtre de capture évalue chaque paquet du trafic par rapport aux règles, dans l'ordre défini. Les paquets provenant de 10.1.1.1 correspondent à la première règle et sont exclus du trafic mis en miroir. Ils ne sont pas comparés aux autres règles de l'ensemble. L'ensemble de règles fonctionne comme prévu.

Si la première règle est mise en troisième position, l'ensemble de règles ne fonctionne plus comme prévu :

1. CIDR source : 10.1.0.0/16, Inclure
2. CIDR source : 10.1.1.0/24, Inclure
3. CIDR source : 10.1.1.1/32, Exclure

Etant donné que le filtre de capture évalue chaque paquet du trafic par rapport aux règles dans l'ordre défini, les paquets provenant de 10.1.1.1 correspondent désormais à la première règle et sont inclus dans le trafic mis en miroir. Les autres évaluations de règle sont ignorées. Cet exemple utilise des blocs CIDR, mais les règles sont évaluées de la même manière, quel que soit le type de source choisi.

Si un paquet ne correspond à aucune règle, il est ignoré et n'est pas inclus dans le journal. Si vous souhaitez que les paquets qui ne sont pas autrement spécifiés dans une règle soient inclus dans un journal, vous pouvez créer une règle d'inclusion pour le CIDR source de 0.0.0.0/0. Cela capture tous les paquets de "gauche" dans un journal qui ne sont pas capturés dans une règle précédente.

Voici un exemple : l'intention est que tout le trafic de 10.1.1.1 est exclu et tout le reste est inclus.

1. CIDR source : 10.1.1.1/32, Exclure
2. CIDR source : 0.0.0.0/0, Inclure

Tâches de filtre de capture

• Création d'un filtre de capture
• Mise à jour d'un filtre de capture
• Déplacement d'un filtre de capture vers un autre compartiment
• Suppression d'un filtre de capture