建立堆疊

建立新的實體 QRadar® Network Packet Capture 堆疊,以增加可用於擷取資料的儲存體空間。

在開始之前

請先準備環境,然後再建立堆疊。
  • 您最多可以堆疊 16 個應用裝置,包括「堆疊控制器」。 任兩個應用裝置之間的實體纜線安裝距離上限為十公尺。
  • 確保堆疊中的所有軟體驅動裝置都執行相同版本的 QRadar Network Packet Capture 軟體。
  • 確保所有應用裝置都在群組中。 如需相關資訊,請參閱 分組的應用裝置
  • 連接應用裝置以形成環,以便所有應用裝置可以彼此通訊。 若要查看纜線安裝圖範例,請參閱 堆疊拓蹼
    附註: 不容許遞送及切換。 只容許對等式連線。

程序

  1. 在堆疊控制器上,將埠 2 連接至所監視的交換器或 SPAN 埠; 這是 TAP 點。
  2. 選用。 在堆疊控制器上,將埠 3 連接至 QRadar QNI 軟體驅動裝置。
    埠 3 用來將所有擷取資料重新傳輸至 QNI 應用裝置。 資料以特殊格式重新傳輸,並且具有嵌入在幀中的高精度資料捕獲時間戳。
  3. 在「堆疊節點」上,連接埠 0 及埠 1 以形成環。
    附註: 對於堆疊節點,不得使用埠 2 和 3。

範例

下圖顯示具有一個堆疊控制器 (應用裝置 A) 及三個堆疊節點 (應用裝置 B、C 及 P) 的範例拓蹼。

NT40E3-4 埠是使用埠 0 和 1 來連接,以形成環。
  1. 應用裝置 A ,埠 0 連接至應用裝置 B ,埠 1。
  2. 應用裝置 B ,埠 0 連接至應用裝置 C ,埠 1。
  3. 應用裝置 C ,埠 0 連接至應用裝置 A ,埠 1。
圖 1. QRadar Network Packet Capture 範例拓蹼。
堆疊控制器會顯示在圖表底端,具有送入的擷取資料,以及送出的重新傳輸擷取資料。 堆疊控制器與堆疊節點交互連接 (最多有 16 個節點包括控制器)。 堆疊控制器也是堆疊節點。 每一個堆疊節點都具有 SmartNIC 及資料庫,並具有與交換器及管理網路的雙向連線。