Advanced Flow Collector Engine Custom Security Event Firing-gedrag configureren

Inleiding

Dit document beschrijft twee geavanceerde instellingen voor stroomverzamelaars die de manier kunnen veranderen waarop de SNA Flow Collector aangepaste beveiligingsgebeurtenissen (CSE's) afvuurt.

Achtergrond

De legacy early_check_age flow collector advanced instelling, samen met de nieuwe cse_exec_interval_secs flow collector advanced instelling bepalen de manier waarop Custom Security Events worden afgevuurd door de flow collector engine.  De stroomcollector is het eerste toestel in de SNA-systeemarchitectuur dat de stroom op het netwerk ziet, en dus is de stroomcollector-engine verantwoordelijk voor het bewaken van de kenmerken van de stroom(en) in de stroomcache en het bepalen of de stroom voldoet aan de geconfigureerde criteria van een bepaalde aangepaste beveiligingsgebeurtenis.  Deze geavanceerde instellingen voor stroomverzamelaars veranderen echter NIET de afvuurkenmerken van een van de ingebouwde Core Security Events.

Foutopsporing van aangepaste beveiligingsgebeurtenissen

In versie 7.5.0 en hoger van SNA is de geavanceerde instelling debug_custom_events flow collector verbeterd om verschillende niveaus van debuggen te bieden

• debug_custom_events 1 (minst debugging - bedoeld om in productie te kunnen draaien en meer inzicht te geven in exacte stromen die CSE's genereren)
• debug_custom_events 2 (meer foutopsporing)
• debug_custom_events 3 (meest uitgebreide debugging)

Standaardstroomcollectorgedrag

Standaard is de geavanceerde instelling early_check_age ingesteld op 160 seconden.  Dit betekent dat de flow collector engine minimaal 160 seconden in een flow wacht voordat deze controleert of die flow overeenkomt met een geconfigureerde Custom Security Event.  Standaard wordt deze controle pas opnieuw uitgevoerd nadat de stroom is beëindigd.  

Deze vroege controlewaarde van 160 seconden werd specifiek gekozen omdat bij gebruik van best practices de telemetrie-exporteurs moeten worden geconfigureerd om elke 60 seconden telemetrie te verzenden.  Deze standaardwaarde zorgt voor voldoende tijd in een typische omgeving voor de stroomverzamelaar om stroominformatie met betrekking tot beide zijden van een bepaald gesprek / stroom te zien.  Om deze reden is de early_check_age niet vooraf gedefinieerd in de lijst met geavanceerde instellingen.  Dit is door ontwerp en u mag deze waarde niet wijzigen zonder eerst met ondersteuning / engineering te overleggen.    Dit eerste ontwerp presteert echter niet gunstig bij het overwegen van lange en enigszins stille stroomkenmerken in combinatie met aangepaste beveiligingsgebeurtenisconfiguratie die de accumulatie van byte- of pakkettellingen met zich meebrengen.  Dit was de reden voor de creatie van de geavanceerde instellingsparameter cse_exec_interval_secs.

De geavanceerde instelling cse_exec_interval_secs

Beschikbaar gemaakt in 7.4.2, de toevoeging van de cse_exec_interval_secs flow collector geavanceerde instelling maakt het nu mogelijk om de motor te instrueren om periodiek de stromen in de flow cache te controleren met geconfigureerde Custom Security Events.  Deze geavanceerde instelling is met name handig in het geval van lange stromen, waarbij een bepaalde stroom niet is afgestemd op een CSEs-criterium op de standaard 160 seconden early_check_age, maar overschrijdt die drempel later in de stroom.  Zonder deze geavanceerde instelling zou het aangepaste beveiligingsevenement pas vuren nadat de stroom is beëindigd, soms kan dit dagen later zijn.

Effecten op prestaties

Het uitvoeren van deze interval CSE criteria controleert op stromen meer keer in de levensduur van de stroom dan wat de standaardinstellingen definiëren vereist meer CPU. De instructies begeleiden u door het onderzoeken van de inhoud van het bestand sw.log op de flow collector engine om een basislijn van de prestaties te bepalen voordat u de cse_exec_interval_secs parameter.  Als u overweegt deze geavanceerde instelling in te schakelen en TAC wilt helpen bij het bevestigen van uw stroomcollectorgezondheid ter voorbereiding op deze wijziging, kan dit worden gedaan door een ondersteuningsbehuizing te openen en een diagnostisch stroomcollectorpakket aan de SR te bevestigen.

De duur van de thread classify_flows meten

Een snelle prestatie-impactmeting die u kunt doen, is om sw.log vanaf vandaag te onderzoeken en de nummers te vergelijken die worden vermeld na de "cf-"logboekvermeldingen voorafgaand aan de activering van de instelling met de nummers nadat de instelling is toegepast. 

/lancope/var/sw/today/logs/grep "cf-"sw.log

20:43:21 I-flo-f0: classify_flows: flows n-1744317 ns-178613 ne-188095 nq-0 nd-0 nx-0 to-300 cf-21 ft-126473/792802/940383/14216

20:44:20 I-flo-f4: classify_flows: flows n-1754296 ns-191100 ne-167913 nq-0 nd-0 nx-0 to-300 cf-20 ft-122830/783378/949392/14928

20:44:21 I-flo-f2: classify_flows: flows n-1773175 ns-191930 ne-169039 nq-0 nd-0 nx-0 to-300 cf-20 ft-123055/788507/962264/15431

20:44:21 I-flo-f3: classify_flows: flows n-1750066 ns-189197 ne-165940 nq-0 nd-0 nx-0 to-300 cf-20 ft-122563/779792/944192/15154

20:44:21 I-flo-f5: classify_flows: flows N-1753899 ns-190477 ne-168004 nq-0 nd-0 nx-0 to-300 cf-20 ft-122261/783375/946651/15423

20:44:21 I-flo-f1: classify_flows: flows n-1763952 ns-191342 ne-169518 nq-0 nd-0 nx-0 to-300 cf-20 ft-122782/786822/955997/15175

20:44:21 I-flo-f7: classify_flows: flows N-1757535 ns-188154 ne-166221 nq-0 nd-0 nx-0 to-300 cf-20 ft-122808/781388/951528/14363

20:44:21 I-flo-f6: classify_flows: flows n-1764211 ns-190964 ne-169013 nq-0 nd-0 nx-0 to-300 cf-21 ft-122713/784446/954149/16320

20:44:21 I-flo-f0: classify_flows: flows n-1764197 ns-189780 ne-168784 nq-0 nd-0 nx-0 to-300 cf-21 ft-123290/787327/952186/14352

20:45:22 I-flo-f4: classify_flows: flows N-1780277 ns-177512 ne-149843 nq-0 nd-0 nx-0 to-300 cf-21 ft-129553/766777/964933/14864

20:45:22 I-flo-f2: classify_flows: flows n-1789285 ns-175763 ne-155809 nq-0 nd-0 nx-0 to-300 cf-21 ft-129685/772482/976850/15289

20:45:22 I-flo-f3: classify_flows: flows n-1774883 ns-177085 ne-149715 nq-0 nd-0 nx-0 to-300 cf-22 ft-129067/764272/962000/15090

20:45:22 I-flo-f5: classify_flows: flows N-1775998 ns-176898 ne-150682 nq-0 nd-0 nx-0 to-300 cf-22 ft-128835/768374/963353/15347

20:45:22 I-flo-f1: classify_flows: flows n-1786441 ns-175776 ne-151846 nq-0 nd-0 nx-0 to-300 cf-22 ft-129255/770212/970360/15129  

De CF-vermeldingen staan voor "Stromen classificeren".  Dit geeft het aantal seconden weer dat de thread nodig had om door het gedeelte van de Flow Cache te gaan waarvoor deze verantwoordelijk is.  Het is in de "Stromen classificeren" draden waar de CSE's worden toegepast tegen de stromen.  Als u deze cijfers ziet stijgen na het inschakelen van de functie, is dat een goede meting van de algehele impact op de prestaties. 

Een stijging na het toevoegen van deze geavanceerde intervalinstelling wordt verwacht, maar als dit aantal 60 nadert, verwijdert u de instelling omdat de impact te groot is. Een verhoging van enkele seconden wordt verwacht en wordt redelijk geacht. 

Motorstatus gedurende de prestatieperiode

Een andere prestatie "voor versus na" meting die u kunt doen is kijken naar de "Prestatie Periode" secties in het sw.log bestand die elke 5 minuten worden gelogd om de impact van de instelling op flow processing te meten.  Je kunt deze blokken ook zoeken door grep te gebruiken.  Als de engine overweldigd is, moet deze controle van het geavanceerde instellingsinterval worden uitgeschakeld.

/lancope/var/sw/today/logs/grep -A3 "Performance Period" sw.log

Let op elke andere status dan "Motorstatus normaal".

Een status zoals "Engine status Input rate too high" zou erop wijzen dat de thread classify_flows te veel CPU verbruikt.

SFI - Static Flow Index

Dit betekent dat de classificatiedraden hun passes niet door de stroomcache konden voltooien: het staat voor "Static Flow Index" en het geeft een worsteling aan in de classificatiestromen. Het is op zichzelf geen ramp, maar het geeft aan dat de motor het plafond begint te raken en dat de prestaties beginnen af te nemen op de huidige CF-niveaus.  

sw.log:16:09:49 I-flo-f1: classify_flows: sfi:base(8388608) (10522745 -> 11014427) max(16777215) cod(1) (491681/8388608)----------------->(5%)
sw.log:16:09:49 I-flo-f3: classify_flows: sfi:base(25165824) (27269277 -> 27754304) max(33554431) cod(1) (485026/8388608)------------------>(5%)
sw.log:16:09:49 I-flo-f4: classify_flows: sfi:base(33554432) (35652656 -> 36138422) max(41943039) COD(1) (485765/8388608)------------------>(5%)
sw.log:16:09:49 I-flo-f2: classify_flows: sfi:base(16777216) (18985626 -> 19499308) max(25165823) cod(1) (513681/8388608)------------------>(6%)
sw.log:16:09:54 I-flo-f0: classify_flows: sfi:base(0) (1786480 -> 421161) max(8388607) cod(1) (7023288/8388608)-------------->(83%)
sw.log:16:10:49 I-flo-f0: classify_flows: sfi:base(0) (421161 -> 1402189) max(8388607) cod(0) (981027/8388608)--------------->(11%)
sw.log:16:10:49 I-flo-f2: classify_flows: sfi:base(16777216) (19499308 -> 17522620) max(25165823) cod(0) (6411919/8388608)------------------>(76%)
sw.log:16:10:49 I-flo-f1: classify_flows: sfi:base(8388608) (11014427 -> 8976309) max(16777215) cod(0) (6350489/8388608)---------------->(75%)
sw.log:16:10:49 I-flo-f3: classify_flows: sfi:base(25165824) (27754304 -> 25702968) max(33554431) cod(0) (6337271/8388608)------------------>(75%)
sw.log:16:10:49 I-flo-f7: classify_flows: sfi:base(58720256) (58848913 -> 59630528) max(67108863) COD(0) (781614/8388608)----------------->(9%)
sw.log:16:10:49 I-flo-f4: classify_flows: sfi:base(33554432) (36138422 -> 34064015) max(41943039) COD(1) (6314200/8388608)------------------>(75%)
sw.log:16:10:49 I-flo-f5: classify_flows: sfi:base(41943040) (43310891 -> 44059251) max(50331647) COD(1) (748359/8388608)----------------->(8%)
sw.log:16:10:49 I-flo-f6: classify_flows: sfi:base(50331648) (51714170 -> 52444661) max(58720255) cod(1) (730490/8388608)----------------->(8%)
sw.log:16:11:49 I-flo-f5: classify_flows: sfi:base(41943040) (44059251 -> 42121104) max(50331647) COD(0) (6450460/8388608)------------------>(76%)
sw.log:16:11:49 I-flo-f0: classify_flows: sfi:base(0) (1402189 -> 2373792) max(8388607) cod(1) (971602/8388608)--------------->(11%)
sw.log:16:11:49 I-flo-f6: classify_flows: sfi:base(50331648) (52444661 -> 50483491) max(58720255) cod(1) (6427437/8388608)------------------>(76%)
sw.log:16:11:49 I-flo-f3: classify_flows: sfi:base(25165824) (25702968 -> 26385879) max(33554431) cod(1) (682910/8388608)------------------>(8%)
sw.log:16:11:49 I-flo-f1: classify_flows: sfi:base(8388608) (8976309 -> 9662167) max(16777215) cod(1) (685857/8388608)--------------->(8%)
sw.log:16:11:49 I-flo-f4: classify_flows: sfi:base(33554432) (34064015 -> 34742593) max(41943039) COD(1) (678577/8388608)------------------>(8%)
sw.log:16:11:50 I-flo-f7: classify_flows: sfi:base(58720256) (59630528 -> 60298366) max(67108863) COD(1) (667837/8388608)------------------>(7%)
sw.log:16:11:50 I-flo-f2: classify_flows: sfi:base(16777216) (17522620 -> 18202249) max(25165823) cod(1) (679628/8388608)----------------->(8%)

configureren

Open een webbrowser en navigeer rechtstreeks naar de IP van het Flow Collector-toestel.  Meld u aan als de lokale beheerdersgebruiker.

Navigeer naar Ondersteuning -> Geavanceerde instellingen

Scroll naar beneden in het scherm Geavanceerde instellingen om het configuratievak "Nieuwe optie toevoegen" onder aan de lijst weer te geven

Voer in het vak Nieuwe optie toevoegen: cse_exec_interval_secs in en voer in het vak Optie: bewerken 119 in. Door deze vakken te bewerken, wordt de knop Toevoegen ingeschakeld.  Druk op de knop Toevoegen na het invoeren van cse_exec_interval_secs in het vak Nieuwe optie toevoegen: bewerken en 119 in het vak Optiewaarde: bewerken.

De waarde Nieuwe optie toevoegen: en Optie: bewerkingsvakken wissen ter voorbereiding op een andere vermelding als er meerdere nieuwe Geavanceerde instellingen worden ingevoerd.  De nieuw toegevoegde Geavanceerde instellingen worden onderaan de lijst bijgehouden terwijl ze worden toegevoegd.  Dit geeft de gebruiker de kans om de invoer te inspecteren.  De exacte spelling van de geavanceerde instelling is belangrijk, evenals de case.  Alle geavanceerde instellingen zijn in kleine letters.

Nu de Geavanceerde instellingen correct zijn ingevoerd, drukt u op de knop Toepassen.  Merk op dat de knop Toepassen soms niet is ingeschakeld.  Om het in te schakelen, klikt u in het vak Nieuwe optie toevoegen: bewerken en vervolgens wordt de knop Toepassen ingeschakeld om te klikken.  Wanneer dit pop-upvenster wordt weergegeven, drukt u op de knop OK om de nieuwe Geavanceerde instellingen en waarde in te dienen.

Bevestiging van de wijziging

Deze laatste validatie is het belangrijkst. Klik opnieuw op het menu Ondersteuning en kies Bestanden doorbladeren.

Dit brengt u naar het bestandssysteem op de FC. Klik op sw.

Klik op vandaag

Klik op logs.

Klik op sw.log 

Voer een zoekopdracht uit op de browserpagina, Voer cse_exec_interval_secs in het zoekvak in om de Geavanceerde instelling te vinden

Geaccepteerde geavanceerde instellingen worden weergegeven zoals weergegeven in de schermafbeelding. 

Degenen die niet worden geaccepteerd, worden weergegeven als "geen onderdeel van de invoerconfiguratie", in dit geval was dit te wijten aan de verkeerde spelling van de instelling door de gebruiker. Daarom is het belangrijk om het logboek te controleren na het aanbrengen van dergelijke configuratiewijzigingen.

Gefeliciteerd! 

U hebt zojuist een nieuwe geavanceerde instelling ingevoerd en de acceptatie ervan door de engine gevalideerd.

Nu is de functie ingeschakeld om de CSE-logica op de stromen ongeveer om de 2 minuten uit te voeren nadat de stroom de early_check_age bereikt die standaard 160 seconden is. 

Als de CSE-regels betrekking hebben op het verzamelen van bytes in de loop van de tijd, verbetert deze functie de timing waarop de CSE's stromen activeren die overeenkomen met de criteria die u hebt gedefinieerd.