購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
505
閲覧回数
0
いいね!
0
コメント

Stealthwatch: Flow Collector Flow Data Lost アラームの原因と対応方法

taknakam
Cisco Employee
Cisco Employee

‎2022-01-29 08:04 PM

 

はじめに

本ドキュメントは、Flow Collector Flow Data Lost アラームの原因と対応方法について説明します。

 

 

Flow Data Lost アラームのトリガー

このアラームは、Exporter から Flow Collector 宛に 30分間 Netflow が送られてこない状態が続くと発生します。Flow Collector に Netflow を送ってきた Exporter の情報は、Flow Collector 上の Netflow Engine が管理しており、30分以上 Netflow を送ってこない Exporter があった場合、Flow Collector が SMC にアラームを通知し、SMC 上でアラームが上がります。

 

対応方法

このアラームが発生した場合の対応方法は以下の通りです。

 

実際に使用している Exporter であるか確認する

検証等で一時的に利用して現在は使用していない Exporter において、このアラームが発生していることがあります。この場合は、該当する Exporter を削除することで解消します。 Exporter を右クリックして Configuration > Delete で削除できます。

taknakam_0-1643446401823.png

 

Exporter が フローデータを送信しているか確認する

該当する Exporter から Flow Collector 宛に Netflow を送信する設定になっているか確認します。CSR1000V(IOS-XE 16.7.1)の場合は以下のコマンドで確認できます。

CSR1000v# show flow exporter 

Flow Exporter EXPORTER1:
  Description:              User defined
  Export protocol:          NetFlow Version 9
  Transport Configuration:
    Destination IP address: 192.168.10.123
    Source IP address:      192.168.10.100
    Source Interface:       GigabitEthernet1
    Transport Protocol:     UDP
    Destination Port:       2055
    Source Port:            50648
    DSCP:                   0x0
    TTL:                    255
    Output Features:        Used
  Export template data timeout:        30

 

実際に Netflow が送信されているか確認します。カウンタを確認する前に一旦カウンタをクリアしておくと分かりやすいです。

CSR1000v# clear flow exporter statistics 

CSR1000v# show flow exporter statistics 

Flow Exporter EXPORTER1:
  Packet send statistics (last cleared 00:03:16 ago):
    Successfully sent:         4                     (264 bytes)
    Reason not given:          160                   (13456 bytes)

  Client send statistics:
    Client: Flow Monitor MONITOR1
      Records added:           15
        - sent:                2  <<<==========####
        - failed to send:      13
      Bytes added:             720
        - sent:                96
        - failed to send:      624

 

Flow Collector が Netflow を受信しているかパケットキャプチャを取得する

途中経路の switch などで SPAN して取得する方法もありますが、Flow Collector 上で直接取得することもできます。Exporter の IP アドレスや、Netflow のポート番号は、Exporter の Netflow 設定に合わせてください。

tcpdump -i eth0 host 192.168.10.100 and udp port 2055

 

上記コマンドではファイルには出力していませんので、該当 Exporter(この場合は 192.168.10.100)から Netflow が送られてきていれば、端末上に情報が表示されます。しばらく待っても何も表示されない場合は Netflow が送られてきていないと判断できます。

Exporter から実際に Netflow が送られてきていない場合は、Exporter 側の問題であり、Stealthwatch 側で Flow Data Lost アラームが上がったことは期待通りの動作となります。Flow Collector が該当 Exporter から Netflow を受信しているにも関わらず、Flow Data Lost が上がっている場合は、SMC と Flow Collector の Diagnostics Pack を取得してサービスリクエストをオープンしてください。

ラベル:
0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents