はじめに
このドキュメントでは、Secure Network Analyticsで欠落しているエクスポータインターフェイス情報のトラブルシューティング方法について説明します
前提条件
- 基本的なSimple Network Management Protocol(SNMP)ポーリングの知識があることが推奨されます
- 基本的なSecure Network Analytics(SNA/StealthWatch)の知識があることが推奨されます
要件
- バージョン7.4.1以降のSNA Manager
- バージョン7.4.1以降のSNA Flow Collector
- NetFlowをSNAにアクティブに送信しているエクスポータ
使用するコンポーネント
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください
- バージョン7.4.1以降のSNA Manager
- バージョン7.4.1以降のSNA Flow Collector
- SNMPwalkソフトウェア
- Wiresharkソフトウェア
コンフィギュレーション
- デバイス設定:SNMPアクセスを許可するようにエクスポータを設定する必要があります。これには、SNMPコミュニティストリング、アクセスコントロールリスト(ACL)の設定、使用するSNMPバージョンの定義など、各デバイスでのSNMP設定の設定が含まれます
- SNAでのSNMPポーリング設定:エクスポータが正常に設定されると、事前に設定されたパラメータを使用してSMCでSNMPポーリングがデフォルトで有効になります。ポーリングメカニズムを最適に動作させるには、SNMPコミュニティストリングやSNMPバージョンなど、エクスポータに関する必要な詳細情報を提供することが重要です
背景説明
SNAは、インターフェイスステータスレポートを包括的に提供する機能と、NetFlowデータをフローコレクタにアクティブに送信しているエクスポータのインターフェイス名を表示する機能を備えています。 このインターフェイスの詳細は、Manager Web UIからInvestigate -> Interfacesメニューに移動して表示できます。
トラブルシューティング
インターフェイス名の誤り
生成されたレポートで「ifindex-#」が表示されてエクスポータインターフェイスに対応していない場合は、SMCまたはエクスポータインターフェイス自体でのSNMPポーリングに関する潜在的な設定の問題が示唆されています。 この例では、特定のエクスポータのSNMPポーリングに関する明らかな問題を取り上げています。
エクスポータまたはインターフェイスが見つからない
テンプレート検証は、NetFlowデータ処理において非常に重要です。具体的には、エクスポータから受信したNetFlowテンプレートに、フローコレクタによる正常なデコードと処理に必要なすべての必須フィールドが含まれるようにします。有効なテンプレートが見つからないと、関連するフローのセットがデコードから除外され、その結果、フローはインターフェイスのリストから欠落します。
インターフェイスリストに必要なエクスポータまたはインターフェイスが表示されない場合は、着信netflow data dnテンプレートを確認する必要があります。 NetFlowテンプレートを確認するには、パケットキャプチャをフローコレクタ側で作成し、エクスポータからIPを指定します。ここでは、「x.x.x.x」を変更して、NetFlowを取得します。
NetFlowテンプレートが9個の必須フィールドを使用していることを確認します。これらのテンプレートフィールドの正確な名前は、エクスポータのタイプによって異なる可能性があるため、設定するエクスポータのタイプの詳細については、次のドキュメントを参照してください。
- 送信元 IP アドレス
- 宛先 IP アドレス
- 送信元ポート
- 宛先ポート
- レイヤ4プロトコル
- バイト数
- パケット数
- フロー開始時間
- フロー終了時間
インターフェイスを正しく表示するには、次のコマンドも追加してください。
次に、特定のエクスポータのデバイスからのテンプレートパケットキャプチャの例を示します
- 赤い矢印:必須のNetFlowフィールド
- 緑色の矢印:SNMPフィールド
注:コマンド例に示されているポートは、エクスポータの設定によって異なる場合があります。デフォルトは2055です
注:パケットキャプチャは5 ~ 10分で実行してください。エクスポータによっては、テンプレートをN分ごとに送信できるのに対し、NetFlowが正しくデコードされるようにそのテンプレートをキャッチする必要があります。テンプレートが表示されない場合は、パケットキャプチャを長い期間繰り返します。
接続性の問題
接続の確認:SNA Managerアプライアンスとエクスポータの間に接続があることを確認します。IPアドレスにpingを実行して、Stealthwatch管理コンソールからエクスポータに到達できることを確認します。ネットワーク接続の問題がある場合は、トラブルシューティングを行い、状況に応じて解決します。
Manager(SMC)のエクスポータに対するポーリング機能の検証
エクスポータのIPアドレスを使用して、SMCでパケットキャプチャを生成します。
SNMPポーリング設定の検証
ポーリング間隔が適切であり、必要なメトリックがSNMPクエリに含まれていることを確認します
- Web UIで、Configure -> Exporters -> Exporter SNMP Profilesの順に選択します。
- 正しいSNMPポート(通常はUDPポート161)と、選択した正しいSNMPクエリー方式が、エクスポータ(ifxTableカラム、CatOS MIB、PanOS MIB)と適切に一致していることを確認します。
注:インターフェイスが10 Gbpsの場合、SNMPクエリー方式としてifxTable columnsオプションを選択することを推奨します。
注:最適なシステムパフォーマンスを得るには、SNMPポーリングを12時間間隔に設定します。ポーリングの頻度を上げても、使用率メトリックが最新になるわけではなく、システムの実行速度が低下する可能性があります。
- SNAとエクスポータの両方で設定されているSNMPバージョンに互換性があることを確認します。SNAはSNMPv1、SNMPv2c、およびSNMPv3をサポートします。SNAで設定されているSNMPバージョンと同じバージョンを使用するようにエクスポータが設定されているかどうかを確認します。
- SNMPv3を使用する場合は、SNMP設定が正しいことを確認します(ユーザ名、認証パスワード、認証プロトコル、プライバシーパスワード、プライバシープロトコル)
SNMPポーリングのライブトラブルシューティング
Web UIで、「設定 – >エクスポータ – >エクスポータSNMPプロファイル」の順に移動します。
別のデバイスからのSNMPポーリングのテスト
SNMPポーリングのテスト:ローカルマシンから特定のネットワークデバイスへのSNMPポーリングを手動で開始し、応答を受信するかどうかを確認します。これは、SNMPポーリングツールまたはSNMPwalkなどのユーティリティを使用して実行できます。ネットワークデバイスが要求されたSNMPデータで応答することを確認します。応答がない場合は、SNMPの設定または接続に問題があることを示しています。
- エクスポータがSNMPデータで応答することを確認します。
関連情報