NDR添加H3C SecPath TAP8000为日志源，设备类型应该选择什么？

要将 TAP8000 设备设置为 NDR 平台的日志源，在“设备类型”中应选择 “流量探针”或“安全设备 > 流量探针” 这一分类。

这个选择主要是从 TAP8000 的功能定位和 NDR 平台的设计逻辑来考虑的：

• TAP8000 的角色：H3C SecPath TAP8000 系列被官方定义为“流量可视化系统”，是一种用于流量统一采集、预处理和分发的专用设备。它本身不产生日志，而是将采集的流量处理后输出给 NDR 等后端分析系统。

• NDR 平台的角色：NDR 平台的“日志源配置”功能，正是为了管理这些能提供流量或日志数据的外部设备。在 H3C 的官方文档中，已将此类设备明确归类为“流量探针”。

 关联步骤：创建采集器

如果 NDR 平台支持主动采集，您可能还需要创建一个关联的采集器。这个采集器会负责定时从 TAP8000 这类设备上获取日志或流量数据，并上报给 NDR 系统进行分析。

 最后的选择与建议

• 最终选择：如果下拉菜单中没有“流量探针”，那么最接近的备选方案是“安全设备”这个大的分类。稳妥起见，你可以快速浏览一下，如果还有类似“流量采集器”、“分流器”、“网络探针”的选项，优先级更高。

• 官方咨询：如果以上选项都无法确认，最直接的办法是联系 H3C 官方技术支持。提供 NDR 平台的具体版本和 TAP8000 的型号，他们能给出最准确的设备类型对应关系。

一、选择依据（为什么是流量探针）

• 设备定位：TAP8000 是流量可视化 / 分流器，核心是采集、复制、汇聚、预处理流量并转发给分析平台，不产生安全策略 / 攻击日志。
• NDR 分类：NDR 把 “提供原始流量 / 元数据的前端采集设备” 统一归类为 流量探针（Traffic Probe）。
• 官方适配：H3C 文档与 NDR 对接指南中，TAP8000 标准类型就是流量探针。

二、常见下拉选项（按优先级）

1. 首选：流量探针 / Traffic Probe
2. 次选：安全设备 → 流量探针 / 分流器
3. 备选（无以上选项时）：
   • 安全设备 → 其他安全设备
   • 网络设备 → 流量采集设备

三、关键配置要点（类型选对后）

• 日志 / 数据类型：选 NetFlow/IPFIX/ 流量元数据 / 原始流量（TAP8000 输出流量或流日志）。
• 协议与端口：
  • 标准 Syslog（UDP 514）：设备状态、系统日志。
  • IPFIX/NetFlow（默认 UDP 4739）：流量统计。
  • 原始流量（镜像 / 分流）：直接端口镜像，无需日志协议。
• TAP8000 侧配置：
  • 开启 流量镜像 / 分流 到 NDR 接收口H3C。
  • 按需开启 流日志（IPFIX） 输出至 NDR。
  • 配置 信息中心 发送 Syslog 到 NDR（设备状态）。

四、错误类型（不要选）

• ❌ 防火墙 / 入侵防御 / IPS：TAP8000 无攻击检测、策略阻断功能。
• ❌ 交换机 / 路由器：不是三层转发设备。
• ❌ AC / AP / 无线控制器：与无线无关。

五、一句话总结