sFlow

sFlow ist ein Multi-Vendor-und Benutzerstandard für die Stichprobentechnologie, der die kontinuierliche Überwachung von Datenflüssen auf Anwendungsebene auf allen Schnittstellen gleichzeitig ermöglicht.

Ein sFlow kombiniert Schnittstellenzähler und Datenflussstichproben in sFlow -Datagrammen, die über das Netz an einen sFlow -Collector gesendet werden. Der sFlow -Datenverkehr basiert auf Stichprobendaten und stellt daher möglicherweise nicht den gesamten Netzverkehr dar.

IBM QRadar unterstützt Datenflussquellen für sFlow Version 5.

sFlow verwendet ein verbindungsloses Protokoll (UDP). Wenn Daten von einem Switch oder Router gesendet werden, wird der Datensatz sFlow gelöscht. UDP bietet keine Garantie für die Datenbereitstellung. Daher kann es bei der Verwendung einer sFlow -Datenflussquelle zu ungenauen Darstellungen des Verkehrsaufkommens und der bidirektionalen Datenflüsse sowie zu verringerten Alertfunktionen kommen.

Weitere Informationen finden Sie auf der sFlow Website (www.sflow.org).

sFlow -Datenflussquellenkonfiguration

Wenn Sie eine externe Datenflussquelle für sFlowkonfigurieren, müssen Sie die folgenden Tasks ausführen:

Stellen Sie sicher, dass die entsprechenden Firewallregeln konfiguriert sind.
Stellen Sie sicher, dass die entsprechenden Ports für QRadar VFlow Collectorkonfiguriert sind.