Divergences dans les données NetFlow concernant le trafic d'application'incomplet'

Divergences dans les données NetFlow concernant le trafic d'application'incomplet'

36034
Created On 09/26/18 19:16 PM - Last Modified 06/13/23 05:13 AM


Resolution


Demande client

Lors de la surveillance de la bande passante du pare-feu de Palo Alto Networks et du trafic réseau à l'aide d'un analyseur NetFlow, il peut y avoir un décalage dans le trafic d'application «incomplet» signalé sur le serveur NetFlow, par rapport à ce qui est rapporté sur l'onglet ACC du pare-feu

 

Détails

Pour les sessions TCP, le premier paquet d'une poignée de main TCP n'a pas de données d'application pour effectuer une correspondance de modèle à l'aide de signatures pour identifier l'application. Par conséquent, le cache App-ID est utilisé pour identifier l'application sur le premier paquet. Il aide dans les règles de transfert basées sur des politiques, dans lesquelles une décision de routage doit être basée sur le premier paquet d'une session. Dans ce cas, la décision de routage est faite avant qu'une application puisse être identifiée, de sorte que le cache App-ID fournit un mécanisme pour faire une meilleure estimation pour la transmission des décisions.

 

Le pare-feu tente d'identifier l'application de la nouvelle session en fonction de toute entrée de mise en cache correspondante associée à la même adresse IP/port de destination. Lorsqu'aucune correspondance n'est trouvée, le pare-feu stipule que l'application est «None», ce qui est considéré comme «incomplet» dans les enregistrements de données envoyés au collecteur NetFlow.

Voir cet exemple:

TWB-doc-1. png

 

Une fois que le pare-feu voit d'autres échanges de données pour cette session, il identifie l'application en fonction des signatures de correspondance de modèle et envoie un enregistrement de données mis à jour pour la session au collecteur NetFlow.

TWB-doc-2. png

 

Certains collecteurs NetFlow s'en tenir à la première identification de l'application pour une session et ne pas apporter d'autres modifications dans le champ d'application de la session. Cela crée l'écart dans la quantité de trafic d'application «incomplète» rapporté par le pare-feu par rapport à ce qui est rapporté par le serveur NetFlow.

 

propriétaire : apasupulati

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3pCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language