NetFlow 構成が正しく機能していることを確認するには、QRadar® NetFlow データを検証する必要があります。
このタスクについて
データを最も近い QRadar QFlow Collectorまたは QRadarフロー・プロセッサー・アプライアンスに送信するように NetFlow を構成します。
デフォルトでは、QRadar は、管理インターフェース上でポート 2055 (UDP) の NetFlow トラフィックを listen します。 NetFlow ポートがさらに必要な場合は、さらにポートを割り当てることができます。
手順
-
「ネットワーク・アクティビティー」タブをクリックします。
-
「ネットワーク・アクティビティー」ツールバーから、をクリックします。
-
「検索パラメーター」ペインで、フロー・ソースの検索フィルターを追加します。
-
最初のリストから、「フロー・ソース」を選択します。
-
3 番目のリストから、使用する NetFlow ルーターの名前または IP アドレスを選択します。
使用する NetFlow ルーターが 3 番目のリストに表示されない場合は、QRadar がそのルーターからのトラフィックを検出していない可能性があります。
-
「フィルターの追加」をクリックします。
-
「検索パラメーター」ペインで、プロトコルの検索フィルターを追加します。
-
最初のリストから、「プロトコル」を選択します。
-
3 番目のリストから、「TCP」を選択します。
-
「フィルターの追加」をクリックします。
-
「フィルター (Filter)」をクリックします。
-
「送信元バイト数」列と「宛先バイト数」列を見つけ、データ収集を検証します。
いずれかの列に 0 バイトの結果が多数表示されている場合は、構成が不完全な可能性があります。 NetFlow 構成を検証する必要があります。