Comment vérifier et dépanner Netflow

• Firewall
• Interface de confiance: 100.2.3.4
• Interface de confiance: 192.168.133.1
• DMZ interface: 172.16.1.1

• Netflow Server (w/ Netflow Analysis/Logiciel collector installé) :
• 172.16.1.10

• Client PC :
• 192.168.133.10

Procédure pas à pas w / Captures d’écran: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJzCA vérifier

la configuration netflow via le Firewall Web UI
1. Allez à Device > Server Profiles > Netflow > cliquez pour modifier >> vérifier qu’il a un nom, IP adressecorrecte , et corriger le port (généralement 2055)
2. Passez aux interfaces >> réseau >> sélectionnez l’interface sur   laquelle le trafic circule >> vérifiez qu’il a le profil net de flux correct sélectionné dans le drop-down
3. Rendez-vous sur l >>'onglet Configuration >> Services d’installation de l’appareil >> cliquez sur Configuration de la route de service >> cliquez sur Netflow >> cliquez sur Source Interface >> vérifiez que l’interface source correcte est sélectionnée (c’est-à-dire l’interface sur laquelle les paquets Netflow doivent être envoyés pour atteindre votre serveur Netflow)
4. Allez à l’onglet Configuration >> >> Services d'>> cliquez sur Configuration de l’itinéraire de service >> cliquez sur Netflow >> cliquez sur Interface source >> vérifiez que l’adresse source IP correcte est sélectionnée (c.-à-d. l’adresse IP d’interface de l’interface sur laquelle les paquets Netflow doivent être envoyés pour aller à votre serveur Netflow)
Remarque : Si vous utilisez une PA-7000 série, une série ou une PA-5200 PA-3200 firewall série, vous devez configurer une route de service sur une interface de données (et non l’interface Gestion ( MGT ) - interface ne peut pas être utilisée pour MGT Netflow sur ces modèles)
5. Vérifiez que vous avez commis la configuration de votre Firewall configuration (et poussé si Panorama elle est en cours d’utilisation)

Vérifiez la configuration netflow via Firewall CLI

> set cli config-output-format set
> configure
# show | match netflow
set deviceconfig system route service netflow source address 172.16.1.1
set deviceconfig system route service netflow source interface ethernet1/3
set network interface ethernet ethernet1/3 layer3 netflow-profile pantaclab_netflow_server_profile
set network interface ethernet ethernet1/6 layer3 netflow-profile pantaclab_netflow_server_profile
set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server host 172.16.1.10
set vsys vsys1 server-profile pantaclab_netflow_server_profile server lab_netflow_server port 2055
set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate minutes 30
set vsys vsys1 server-profile pantaclab_netflow_server_profile template-refresh-rate packets 20
set vsys vsys1 server-profile pantaclab_netflow_server_profile active-timeout 5

Vérifiez la portée de votre Serveur Netflow
a. Si vous utilisez l’interface de gestion comme interface source pour Netflow

> ping host <netflow_server_ip_address>

B. Si vous utilisez une interface de données (ethernet1/ X ) comme interface source pour Netflow

> ping source <firewall_source_interface_ip_address> host <netflow_server_ip_address>

En outre, UDP assurez-vous que le port 2055 est ouvert entre les Firewall compteurs Netflow Server Verify pour les

statistiques netflow sont en augmentation
 

> debug log-receiver netflow statistics
> debug dataplane netflow statistics (for PA-7000/PA-5200/PA-3200 series)

 Netflow Statistics
--------------------------------------------------------------------------------
          Template Config           Last Refreshes            Pkts Sent (errors)
--------------------------------------------------------------------------------
Server Profile : pantaclab_netflow_server_profile
          30 min/20 pkts          28 min/8 pkts                    3223 (0)
Total Netflow packets exported : 3223 (errors 0)

Pour effacer les compteurs ci-dessus, exécutez cette commande :

> debug log-receiver netflow clear

Vérifiez que les compteurs pour les compteurs mondiaux liés à Netflow sont en augmentation

> show counter global | match netflow
name                                   value     rate severity  category  aspect    description
--------------------------------------------------------------------------------------------------------------------------------------------------------------
log_netflow_cnt                            2        0 info      log       system    Number of netflow records

(For PA-7000, PA-5200, and PA-3200 series firewalls only):
flow_netflow_event_created                58        1 info      flow      netflow   NetFlow flowsets added for flow_created event
flow_netflow_event_deleted                43        0 info      flow      netflow   NetFlow flowsets added for flow_deleted event
flow_netflow_event_update                  1        0 info      flow      netflow   NetFlow flowsets added for flow_update event
flow_netflow_event_denied                213        1 info      flow      netflow   NetFlow flowsets added for flow_denied event
flow_netflow_wqe_success                   1        0 info      flow      netflow   WQE created for NetFlow
flow_netflow_data_send_success             1        0 info      flow      netflow   NetFlow data packet sent
flow_netflow_data_flush_success            1        0 info      flow      netflow   NetFlow data packet flushed

Note: If a traffic flow is 'hardware offloaded' you may see the following counter increment when the offload processor informs the DP that the DP needs to create + send out a Netflow event/record):
> show counter global | match fpga_flow
flow_fpga_flow_update                      3        0 info      flow      offload   fpga flow update transaction
flow_fpga_flow_delete                       3        0 info      flow      offload   fpga flow delete transactions
flow_fpga_rcv_stats

Pour effacer les compteurs ci-dessus, exécutez cette commande :

> clear counter global

Vérifiez firewall ne dépasse pas le nombre de taux d’enregistrement max/sec
Vérifiez le taux d’enregistrement maximum que firewall vous pouvez gérer :

> show system setting logging
Max. logging rate: 50000 cnt/sec

Vérifiez les compteurs ci-dessous pour voir si les compteurs dépassent leur taux d’enregistrement maximum (par seconde) ci-dessus :

> debug log-receiver statistics
Log incoming rate: 3/sec
Log written rate: 3/sec

Vérifiez firewall les ressources du système telles que , CPU mémoire, tampons, etc.
Allez à Monitor >> System Logs >> rechercher / assurez-vous que vous ne voyez pas de journaux sur CPU haute, haute mémoire, utilisation tampon élevée, etc en utilisant des filtres

Vérifiez paquets Netflow quittent l’utilisation firewall d’un avertissement de capture de paquets:
Les étapes ci-dessous (capture de paquets) peut / aura un impact sur les performances / stabilité de la et le trafic si elle n’est pas effectuée correctement / soigneusement - procéder avec firewall prudence

a. Si vous utilisez l’interface de gestion comme interface source pour Netflow

> tcpdump snaplen 0 filter “port 2055”
<ctrl+C after 5-10 seconds>

> view-pcap mgmt-pcap mgmt.pcap
17:15:06.895193 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1369
17:15:10.224250 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1356
17:15:13.021765 IP 172.16.1.1.39843 > 172.16.1.10.2055: UDP, length 1392

Si vous souhaitez exporter ces pcaps sur votre firewall ou serveur pour consultation dans SCP TFTP Wireshark:

> scp export mgmt-pcap from mgmt.pcap to <username@host:path>
> tftp export mgmt-pcap from mgmt.pcap to <host>

b. Si vous utilisez une interface de données (ethernet1/ ) comme interface source pour la capture de X paquets Netflow
Start
Allez surveiller >> Packet Capture >> cliquez sur Gérer les filtres >> cliquez sur Ajouter >> tapez votre adresse serveur Netflow dans la colonne IP Destination >> cliquez sur Ok Sous l’étape >> cliquez sur Ajouter >> ajouter 'transmettre' étape >> cliquez sur Ok
Toggle Filters à On
Toggle Packet Capture à On

Stop capture paquet

Toggle Packet Capture to Off
Toggle Filters to Off
Click Refresh (en haut à droite) Cliquez télécharger votre capture de paquets « transmettre » à votre Ouvrir la capture de paquets
dans PC

Wireshark - filtre par 'udp.port==2055' et vérifier ci-dessous Vérifier les paquets Netflow quittent le avec
firewall l’adresse source correcte IP (interface configurée dans device >> Setup >> Services onglet >> Service Route Configuration) Vérifiez que les
paquets Netflow quittent firewall l’interface correcte en regardant l’adresse Src MAC (interface configurée dans device >> Setup >> Services onglet >> Service Route Configuration)Vérifiez que les paquets Netflow quittent le avec
firewall l’adresse destination correcte (configurée dans device >> Netflow Server Profile >> IP cliquez sur Modifier) Vérifiez que les
paquets Netflow quittent le firewall port de destination correct (configuré dans device >> Netflow Server Profile >> cliquez sur Modifier)

Exemple :


Conseil : Si vous voyez « Aucun modèle trouvé » dans vos captures de paquets Wireshark de paquets Netflow / ne peut pas afficher les fluxets - ne vous inquiétez pas - il suffit de faire la capture de paquets à nouveau, mais pour une plus longue période - cela se produit parce que Wireshark doit capturer un modèle netflow avec les flux de flux nets afin d’être en mesure d’afficher les flux de flux net pour vous.

Vérifiez que les paquets Netflow arrivent sur le serveur Netflow à l’aide d’une capture de paquets
Prenez une capture de paquet sur votre serveur Netflow à l’aide du logiciel/utilitaire de capture de paquets de votre choix (Wireshark, tcpdump, etc.) - ( filtre par 'udp.port==2055' ) Assurez-vous que les paquets qui ont quitté

le firewall (dans l’étape précédente) s’affichent dans cette capture de paquets Netflow Server