Configuration du collecteurLe fichier de configuration doit préciser l'adresse et le port d'écoute des netflows, les adresses des routeurs à collecter (l'exportation des netflows peut être activée sur des routeurs non concernés par l'application) et pour chacun d'eux les caractéristiques des flux à conserver (interfaces d'entrée et de sortie). Quelques exemples de fichiers de configuration figurent ci-dessous et la syntaxe est précisée dans le paragraphe Le fichier de configuration du collecteur. Pour un réseau réduit aux deux routeurs de l'exemple d'un paragraphe précédent (Figure 13) le fichier de configuration pourrait être : NETFLOW_LISTEN_ADDR_PORT { @IP/8080 } Ce fichier de configuration suppose que l'exportation des netflows n'a été activée que sur les interfaces B, C et D du routeur X et F, G, H du routeur Y. Si pour une raison quelconque l'exportation a été activée sur toutes les interfaces, le «filtrage» devra être fait par le collecteur : NETFLOW_LISTEN_ADDR_PORT { @IP/8080 } L'énumération des couples d'interfaces d'entrée et de sortie peut être en pratique fastidieuse. Il est possible d'utiliser des notations de type «tout sauf» : NETFLOW_LISTEN_ADDR_PORT { @IP/8080 } Il est prudent de spécifier le filtrage dans le fichier de configuration du collecteur même si l'activation de l'exportation des netflows peut se faire sélectivement sur les routeurs : on se protège ainsi contre une erreur de configuration lors d'une mise à jour des routeurs. Pour des raisons d'efficacité de la collecte il faut privilégier les expressions courtes dans les règles de filtrage. Une configuration plus complexe permet d'illustrer une nouvelle construction du fichier de configuration (Figure 14). Les interfaces pour lesquels les netflows sont exportés figurent en vert sur le schéma, celles ou l'exportation est inactivée sont en rouge. Conformément à la règle énoncée dans un paragraphe précédent (L'exportation des informations de flux par les routeurs) l'exportation n'est pas activée sur les interfaces A, B, E et F. Il devrait en être de même pour les interfaces J et K mais l'utilisation de netMET sur le réseau nécessite que le routeur de connexion à Internet exporte les netflows sur toutes ses interfaces. Il est possible de configurer le collecteur netMAT de manière à ignorer les netflows envoyés par le routeur de connexion à Internet, il suffit de ne pas citer le routeur de connexion à Internet dans le fichier de configuration. Il est aussi possible configurer l'exploitation netMAT de manière à ne pas prendre en compte le trafic des (sous-)réseaux X et Y vers Internet. On peut cependant souhaiter voir apparaître le trafic avec Internet, considéré comme un organisme unique, dans les résultats produits par netMAT. Pour cela il n'est pas nécessaire de conserver dans les flux les adresses Internet. Il est possible de les remplacer par une adresse «d'agrégation» unique. Cette façon de faire a de plus l'avantage de diminuer considérablement la taille de la table de comptage du collecteur et par conséquent la taille des fichiers de «dump» correspondants. Le filtrage des netflows envoyés par le routeur de connexion à Internet consiste à ne conserver que les flux entrant par l'interface I, ce qui garantit que les trafic Internet vers X ou Y est pris en compte. Le trafic de X ou Y vers Internet transite par les interfaces C, D ou G, H et est donc bien pris en comte. Le remplacement dans les flux des adresses Internet par une adresse d'agrégation unique
Le fichier de configuration du collecteur devient : NETFLOW_LISTEN_ADDR_PORT { @IP/8080 } Actuellement netMAT ne permet pas de visualiser le trafic relatif à une adresse donnée : les résultats sont relatifs aux «organisations» et pas aux machines ni aux postes de travail. Il n'est donc pas nécessaire en l'état de conserver dans la table du collecteur les véritables adresses sources et destinations des flux, les adresses de base des sous-réseaux correspondants sont suffisantes. Le remplacement de chaque adresse par l'adresse de base du sous-réseau auquel elle appartient permet de diminuer considérablement la taille des fichiers de collecte. Cela s'obtient en remplaçant la clause Pour diminuer la taille des fichiers de collecte il est aussi possible d'utiliser un fichier descriptif des services spécifique à la collecte au lieu du fichier /etc/services «standard». Il suffit de placer une clause << Activation du collecteur | Documentation | Le « vidage » de la table du collecteur >> |