• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

IMC

2023-02-01提问
  • 0关注
  • 0收藏,1108浏览
粉丝:0人 关注:0人

问题描述:

NTA 的 接口流量分析任务做不完整


点击审计没有反应,下面的信息必须要填写吗

我已经添加设备了


组网及组网描述:


2 个回答
已采纳
粉丝:237人 关注:8人

交换机需要配置的,参考:

 设备开启sflow功能配合NTA/UBA做流量分析与用户行为审计。

1.      设备配置

登录设备,在系统视图下执行命令

#

sflow agent 172.16.0.1

配置sflow agent地址,也即默认情况下的日志源地址

sflow collector 1 ip 172.16.0.20 port 9020

新建采集器,指定sflow日志目的地址和端口号

#

进入要监控接口的接口视图下执行命令

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 172.16.0.1 255.255.255.0

sflow sampling-rate 2000

配置sflow的采集速率

sflow flow collector 1

配置接口引用的采集器

#

2.      NTA/UBA配置

登录iMC,点击业务-流量分析与审计-配置管理,如下图14

14

点击设备管理,如下图15

15

点击增加,在弹出页面中点击选择设备,将需要监控的设备添加进来,启用”sflow设置并设置sflow采样比等参数,如下图16

16

注:这里也可以手工输入设备的IP地址来添加(即使设备不在iMC的管理中),但此时NTA/UBA无法从平台中读取到设备的相关配置,参数都得手工输入。

点击服务器管理,如下图17

17

在弹出页面中会列出当前iMC中部署了NTA/UBA服务组件的服务器,确定要用哪个务器来做流量分析与审计,并点击其后面的修改,如下图18

18

在弹出页面中设置服务器管理的相关参数,一般情况下服务器IP,接收端口等信息不用修改,只需要在“网络流量分析”栏,“用户行为审计”栏勾选上需要监控的设备即可(做用户行为审计时还需配置内网信息),完成后点击下发,如下图19

19

点击“流量分析任务管理”,如下图20

20

在弹出页面中点击增加,选择任务类型,如下图21

21

输入任务名称、需要监控的接口等,点击确定即可,如下图22

22

这样一个接口类型的流量分析任务就创建好了,等待5分钟左右,我们即可看到流量监控的详细信息,如下图23

23

注:服务器管理配置完成后,NTA/UBA就已经正确采集到设备的流量监控信息了,创建不同的流量分析任务只是将监控到的数据以不同的视图来展示出来。

接口类型:将流量是从这些接口流过的部分存为一个视图。

主机类型:将流量中包含或者排除这些主机地址的部分存为一个视图。

应用类型:将流量中包含这些应用的部分存为一个视图。

VPN类型:将流量中是从这些VPN实例流过的部分存为一个视图。

VLAN类型:将流量中流入或者流出这些VLAN的部分存为一个视图。

业务间类型:将流量中是从这些业务流入或流出的部分存为一个视图。

采集器类型:将流量中是从这个采集器采集的部分存为一个视图。

NTA可以根据IP地址、传输层端口号识别出四层应用,所以这里可以看到不同应用类型的流量大小,后面使用UBA做行为审计时,UBA可以根据数据包的报文头等内容识别出七层应用类型。

点击业务-流量分析与审计-用户行为审计,如下图24

24

输入本次审计的条件参数,如下图25

25

完成后点击查询即可看到网路中具体的流量使用情况,如下图26

26

注:由于sflow协议采用的是一种对报文采样的处理方式,所以sflow不能客观精确地反映出用户的网络行为。所以在做用户行为审计时请不要采用sflow日志来监控设备流量。

粉丝:160人 关注:1人

这个需要交换机配置sflow的,交换机那边配置了否

这是替换,之前旧IMC已经运行这些配置了,新IMC复制配置就好 交换机肯定有配置

zhiliao_suE9C0 发表时间:2023-02-17 更多>>

这是替换,之前旧IMC已经运行这些配置了,新IMC复制配置就好 交换机肯定有配置

zhiliao_suE9C0 发表时间:2023-02-17

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明