Deduplicación
Si el despliegue de IBM QRadar incluye varios Recopiladores de flujos que proporcionan datos a un Flow Processor, puede configurar la deduplicación de flujos para eliminar flujos duplicados. El proceso de deduplicación de flujo garantiza que los registros de flujo con el mismo identificador exclusivo se notifiquen una sola vez.
- ID de origen de flujo
- Nombre de origen de flujo
- ASN de origen
- ASN de destino
- Índice IF de entrada
- Índice IF de salida
Configuración de la deduplicación de flujo
Puede configurar la deduplicación de flujos para que tenga lugar en el Recopilador de flujos o en el Flow Processor.
Cuando el Recopilador de flujos recibe datos de dos orígenes de flujo diferentes que supervisan la misma parte de la red, configure la deduplicación en el dispositivo Recopilador de flujos . Por ejemplo, su Flow Collector podría recibir datos de un exportador de flujo de terceros, así como de su propio TAP de red.
Cuando tiene dos Recopiladores de flujos diferentes que supervisan partes solapadas de la red, los recopiladores de flujos individuales no son conscientes de la eliminación de duplicados. En el escenario, puede configurar la eliminación de duplicados en el dispositivo Flow Processor .
Puede establecer el método de deduplicación de flujo en los valores de configuración del dispositivo. Para obtener más información, consulte Configuración de un recopilador de flujos.