NTA: Flowデータ取得構築のヒント

ここに記載の情報は、以下URLの公開情報を日本語訳したものです。
Flow environment best practices

この記事には、NTAをうまく利用・活用する為の非常に有効なヒントが記載されているので、日本語訳し、更に一部説明を追加したものです。
(※注:公式の翻訳ではありませんので、参考情報として活用ください)
(※記述されているコマンドはCisco機器の仮定。他ベンダの場合は該当するコマンドとして読み替えてください)

どのポイントでフローデータを取得(有効化)するか

Solarwinds NTA は、大量のFlowデータを取得・保存することができる。
NTAを最適に利用する為に、Flowデータをどのポイントで取得(有効化)するのが良いかを考慮するにあたって、以下のガイドラインに沿うのが望ましい。
・ Flowデータの取得結果を用いて、解決したい問題を明確にすること。
 (※NTAは、通信帯域の消費を解析して、ネットワーク設計が適切か判断するのに優れたツールです。特定少量の通信(例:悪意のある通信)を見つけ出すような目的には向いていません)
・監視対象下のネットワーク環境(構造)を理解すること(※重要なポイント)。
・どこからスタートすれば良いかわからない場合は、「Core Layer」からFlowデータ取得を設定し、1週間程度様子を見る。その後Webコンソール上のNTAリソースで表示される情報が、(解決したい問題の要件を)満たしているものか否かを確認する。
・更に多くの情報が必要であると判断する場合、「Distributon Layer」をFlowデータ取得対象とする。
・※「Access Layer」からのFlowデータ取得は、大量のFlowデータの重複を招く為、推奨しない。
・イントラとインターネットの両トラフィックを監視したい場合は、Flow取得インターフェイスでIngressとEgressの両方を有効にする
・監視対象下におけるネットワーク全体の「カンバセーション」を取得したい場合は、Flow対象ノードの外部側インターフェースのIngressとEgressの両方を有効にするか、或いは、Flow対象ノードの全インターフェースでIngressのみを有効にする

pastedImage_20.png


フローの方向と重複を、十分に考えておくこと

Flow対象ノードのインターフェースでIngressとEgressの両方を有効にする場合、NTAリソースの表示上、ある1つのトラフィック情報が重複する場合がある。
トラフィック情報が重複は、以下のようなケースで起こり得る。
・Flow対象ノードの全インターフェースにて、「ip flow ingress」と「ip flow egress」が設定されている場合
・いくつかのインターフェイスでは「ip flow ingress」のみを設定し、その他のインターフェイスでは「ip flow egress」のみを設定している場合
・サブインターフェイスを含むシリアルインターフェイスにおいて、論理インターフェイスと物理インターフェイスの両方でFlowが有効化されている場合
※フローの方向(Ingress/Egress)については、こちらを参照。
NTA:Webコンソール上の用語、グラフについて


フローデータの保存期間

NTAにより取得されたFlowデータの保存期間は、デフォルトで30日で、これを過ぎるとデータは削除される。
約2,3日フローデータの取得を継続させることで、設定されている保存期間での、おおよそのフローデータデータベースサイズが自動的に計算され(※注)、NTA Settings上に表示される。この結果と、現状の許容容量を比較して、保存期間を調整することができる。
表示箇所は以下の通り。
- Webコンソール> All Settings> NTA設定
- データベース設定
- [Calculate]にて、フローデータベースサイズの予想計算結果を得られる(※注:NTA v4.4ではこの項目は存在しない)
- 保存期間の変更・設定が可能
- 取得データの日時参照とデータ削除の頻度の設定の選択が可能
- Saveにて設定内容の保存

pastedImage_0.png

※「Average received flow per second」にて、利用環境におけるおおよそのfpsが把握できる。評価で1週間程度確認してサイジングに利用することができる


[ヒント]

フローデータの取得(有効化)ポイント及びIngress/Egress設定が適切でない場合には、以下のような挙動及び不利な事象を引き起こす可能性が考えられる。
-Flow Navigatorによるフィルタリングの結果に、期待しない結果が含まれる
-フローデータ重複によるデータベースの肥大化
-データベースの肥大化による、処理パフォーマンスの低下(Webコンソールの反応速度、レポート作成にかかる時間、など)
-フローソース機器からの送信データ過剰による通信帯域消費量の増加


[参考情報]
NTA:Webコンソール上の用語、グラフについて