Filtri di acquisizione

Frequenza di campionamento

Quando si crea un filtro di acquisizione del log di flusso, è possibile specificare una frequenza di campionamento. La frequenza di campionamento del filtro di acquisizione controlla la percentuale di flussi di rete che si desidera vengano acquisiti dal log di flusso. Le regole vengono quindi applicate dal filtro di acquisizione per includere o escludere i pacchetti nel flusso dalla registrazione.

Regole

Un filtro di acquisizione deve avere almeno una regola e può contenere fino a 10 regole. Le regole del filtro di acquisizione vengono esaminate nell'ordine di sequenza definito. Quando viene trovata una corrispondenza, viene applicata tale regola. Se non viene trovata alcuna corrispondenza in una determinata regola, la regola successiva della sequenza viene valutata ed eseguita se viene trovata una corrispondenza. Il riordinamento delle regole può modificare il funzionamento del filtro di acquisizione. Un filtro di acquisizione può eseguire un'azione (includere o escludere un pacchetto) in base ai seguenti tipi di criteri:

• Il pacchetto fa parte del traffico in entrata o in uscita
• Il pacchetto è associato o proveniente da un blocco CIDRIPv4 CIDR IPv4 di origine o destinazione specifico o da un prefisso IPv6
• Il pacchetto utilizza un parametro specifico del protocollo IP (intervallo di porte TCP o UDP, ICMP, ICMPv6) utilizzato dal traffico o da qualsiasi protocollo (utilizzando l'impostazione predefinita, Tutti).

Se una regola non specifica un blocco CIDR, un prefisso o un protocollo IP, per tale regola vengono accettati tutti gli indirizzi IP o i protocolli IP.

Di seguito è riportato un esempio pratico di come strutturare un set di regole. L'intento è che sia incluso tutto il traffico da 10.1.0.0/16 ad eccezione di 10.1.1.1, che è escluso:

1. CIDR di origine: 10.1.1.1/32, Escludi
2. CIDR di origine: 10.1.0.0/16, Includi
3. CIDR di origine: 10.1.1.0/24, Includi

Il filtro di acquisizione valuta ogni pacchetto nel traffico rispetto alle regole nell'ordine di sequenza definito. Un pacchetto di 10.1.1.1 corrisponde alla prima regola ed è escluso dal traffico con mirroring. Il pacchetto non viene confrontato con le altre regole del set. Il set di regole funziona come previsto.

Se la prima regola viene spostata in terza nell'ordine di sequenza, l'insieme di regole non funziona più come previsto:

1. CIDR di origine: 10.1.0.0/16, Includi
2. CIDR di origine: 10.1.1.0/24, Includi
3. CIDR di origine: 10.1.1.1/32, Escludi

Poiché le regole del filtro di acquisizione valutano ogni pacchetto nel traffico nell'ordine di sequenza definito, un pacchetto da 10.1.1.1 ora corrisponde alla prima regola ed è incluso nel traffico con mirroring. Ulteriori valutazioni delle regole vengono ignorate. In questo esempio vengono utilizzati blocchi CIDR, ma le regole vengono valutate allo stesso modo, indipendentemente dal tipo di origine selezionato.

Se un pacchetto non corrisponde ad alcuna regola, viene ignorato e non viene incluso nel log. Se si desidera includere in un log pacchetti non altrimenti specificati in una regola, è possibile creare una regola di inclusione per il CIDR di origine di 0.0.0.0/0. In questo modo vengono acquisiti tutti i pacchetti 'permanenti' in un log non acquisiti in una regola precedente.

Ecco un esempio: l'intento è che tutto il traffico da 10.1.1.1 sia escluso e tutto il resto sia incluso.

1. CIDR di origine: 10.1.1.1/32, Escludi
2. CIDR di origine: 0.0.0.0/0, Includi

Task filtro di acquisizione

• Creazione di un filtro di acquisizione
• Aggiornamento di un filtro di acquisizione
• Spostamento di un filtro di acquisizione in un altro compartimento
• Eliminazione di un filtro di acquisizione