概要
大量の通信が流れる環境でログを取ることは簡単ではありません。ASAの NetFlow は、コネクションの確立、切断、拒否を効率的にトラッキングするのに有効な方法を提供します。これらは、ASCII ベースのsyslogメッセージではなく、UDPパケットのバイナリデータを送信することによって行われます。ASAプラットフォームに実装されているのは、 RFC3954 によって定義された NetFlow V9 になります。
※この機能は、ASA 8.2.1 / ASDM 6.2.1で導入されました。機能自体に関する情報、機能と制限事項についてはこちらを参照下さい。
以下の文書は、NetFlowコレクタに NetFlow情報を送信するための、ASDMを使用した ASAの設定方法になります。
コンフィギュレーション
コレクタ の設定
ASDM の Configuration 配下の Device Management > Logging > NetFlow に進みます。
ここでは、NetFlowコレクタの IPアドレス、ASAインターフェイス、サポートしているポート番号を設定することができます。また、パケットの送信頻度を設定し、NetFlow の情報抽出後に重複する syslogを無効にすることができます。
NetFlow情報抽出の設定
上記で定義した NetFlowコレクタ宛への NetFlow情報の送信を ASAで有効にするために、 Firewall > Service Policy Rules に移動します。
全てのインターフェイスに適用するための新しい Service Policy を作成します。
NetFlowの統計情報を集めるために必要なトラフィックを定義します。
その後、(上記で定義した)トラフィックの統計情報を送信するコレクタを定義します。
最終的に、ASA は NetFlow を送信するための Service Policy が設定された状態になります。
反映後の CLI 設定
ASA にこれらの変更を反映させると、CLI 上の設定は次のようになります。
access-list global_mpc extended permit ip any any
!
flow-export destination inside 192.168.1.13 2055
!
class-map global_class
match access-list global_mpc
!
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
class global_class
flow-export event-type all destination 192.168.1.13
*Thanks to the auther, Mr. Panos Kampanakis.
This document is translated from the below original document.
https://supportforums.cisco.com/t5/-/-/ta-p/3119466