NetFlow Analyzer ナレッジベース

NetFlow Analyzer のEdition 選択基準


概要

  • NetFlow Analyzer には、Essential Edition とEnterprise Edition があります。
  • Essential Edition は単体サーバーで稼働させます。
  • Enterprise Edition は分散構成を取ることができるのが大きな特徴です。主に大規模監視用です。
  • Enterprise Edition を選択する基準を以下に示します

Enterprise Edition を選択する基準

1. フローレート(NetFlow Analyzer が受信する1秒間あたりのフローデータ数の平均値)が、
50,000 を超える場合、あるいは10,000 - 50,000でローデータ保持も行ないたい場合(※)
-> 複数のRemote Collector(フローデータ受信・保存用サーバー)を立てる必要があります。

2. 監視対象のインターフェース数が1,000を超える場合
-> 複数のRemote Collector を立てる必要があります。
その際、各Remote Collector について、1. の内容の考慮も必要になります。

3. 次のサイト2つのエディションの中の機能
「キャパシティプランニングレポート」
「Cisco MediaNetレポート」
「Cisco NBARレポート」
「Cisco CBQoSレポート」
「攻撃レポート(アドバンストセキュリティ分析)」
が必要になる場合
-> 1.、2. が該当しない場合は、単体サーバー構成で組むことも可能です。

4. 複数拠点での通信を監視する必要があり、拠点ごとに監視対象が増えていく場合
-> 複数のRemote Collector を立てることで監視規模の拡大に対応可能です。

となります。

(※)(1)については、フローレートの値が通常分からないため、
評価版で実環境でご評価いただき、ご確認いただくのが最も正確な情報になりますが、
それが難しい場合は、監視対象機器配下のPC端末の台数 × 1.5
で得られる値を目安にしていただければと存じます。
目安ですので、実際のフローレートはその値から大きく異なっている場合もございます。
安全率をかけていただければ幸いでございます。

なお、本製品では、フローレート値が10,000を超えますと、
単体サーバーでの処理パフォーマンスが悪化するため、
ローデータ(時間的な平均化を行なっていない詳細データ)の保持を
非推奨とさせていただいております。
ローデータは、フォレンジック(フォレンジクス)レポート検索機能で使うのが
主な用途となり、その他のほとんどの画面表示では、
平均データを使っておりますので、ローデータ保持無しでも、
ご利用に影響はありません。
(例外は、Unknown Application に分類された通信の、
ポート番号、プロトコルとの紐づけ情報追加ができなくなるところです。
Unknown Application が表示されたときだけ、
一時的にローデータも短時間保持する運用で回避可能です。)