sFlow

sFlow は、サンプリング・テクノロジーのためのマルチベンダーおよびユーザーの標準であり、すべてのインターフェース上のアプリケーション・レベルのトラフィック・フローを同時に継続的にモニターします。

sFlow は、インターフェース・カウンターとフロー・サンプルを結合して、ネットワークを介して sFlow コレクターに送信される sFlow データグラムにします。 sFlow トラフィックはサンプル・データに基づいているため、すべてのネットワーク・トラフィックを表しているとは限りません。

IBM QRadar は、 sFlow バージョン 5 のフロー・ソースをサポートします。

sFlow はコネクションレス・プロトコル (UDP) を使用します。 スイッチまたはルーターからデータが送信されると、 sFlow レコードはパージされます。 UDP では、データの送信が保証されません。 そのため、 sFlow フロー・ソースを使用すると、トラフィック量と双方向フローの両方の表示が不正確になり、アラート機能が低下する可能性があります。

詳しくは、 sFlow Web サイト (www.sflow.org) を参照してください。