NSX Network Detection and Response 服务接收从独立主机和主机集群上的分布式防火墙发送的网络流量数据。如有必要,您可以选择停止从独立主机或主机集群中收集数据。将不再处理来自这些主机或集群的网络数据来检测可疑网络流量事件。

前提条件

  • 要管理数据收集设置,您必须具有企业管理员角色。
  • 必须在 NSX 应用程序平台 上激活了 NSX Network Detection and Response 功能。

过程

  1. 从浏览器中,使用企业管理员特权登录到 NSX Manager 设备,网址为 https://<nsx-manager-ip-address>。
  2. 在 NSX Manager 用户界面上,选择威胁检测和响应 > 设置 > 数据收集
  3. 要在所有独立主机和主机集群上配置数据摄取或数据保留,请执行以下步骤之一。
    • 在存储可用之前,暂停流量载入
      当分析和数据存储磁盘接近最大容量时,将暂时挂起数据摄取流。当磁盘使用率超过阈值时,将暂停所有集群和独立主机之间的数据摄取流。

      阈值由每日平均使用情况确定,每日平均使用情况可通过将当前磁盘使用情况除以存储中数据的天数来计算得出。预测的使用情况基于现有使用情况。当预测的使用情况低于阈值时,将恢复数据摄取流。

      可通过两种方法来恢复数据摄取流。
      • 横向扩展以增加数据存储磁盘卷和阈值。
      • 选择动态减少流量数据保留选项,以缩短数据保留期并减小数据大小。

      请参见部署和管理 VMware NSX Application Platform指南中的“横向扩展 NSX 应用程序平台”主题。

    • 动态减少流量数据保留
      减少流量数据保留可减少数据在数据库中存储的天数。此选项会删除旧数据,从而节省存储空间。数据保留基于两个关键因素来计算:数据大小和每天平均接收的数据量。

      举例来说,以下是一些数据保留场景:

      • 场景 1:如果初始数据保留配置为 30 天,到第 15 天时,磁盘已满。数据保留设置为 15 天。
      • 场景 2:如果初始数据保留配置为 30 天,前 14 天收到的数据非常少。然后,在第 15 天数据涌入,从而导致磁盘变满。数据保留将缩短为 15 天。
      • 场景 3:如果初始数据保留配置为 30 天,第二天磁盘已满。数据保留将缩短为两天。
    您可以查看数据保留期和现有流量的数量。
    • 选择系统 > NSX Application Platform > 衡量指标,然后滚动到 Druid 平均保留天数
    • 选择系统 > NSX Application Platform > 衡量指标,然后滚动到总流量和唯一流量
  4. 要管理一个或多个主机的流量数据收集,请执行以下步骤之一。
    1. 要停止收集流量数据,请在独立主机部分中选择一个或多个主机,单击停用,并在出现提示时单击确认(如果确定)。
    2. 要开始收集流量数据,请选择一个或多个主机,单击激活,并在出现提示时单击确认(如果确定)。

    系统将每个受影响的主机的收集状态值更新为已停用已激活,具体取决于您设置的数据收集模式。

  5. 要管理一个或多个主机集群的流量数据收集,请执行以下步骤之一。
    1. 要停止为一个或多个集群收集数据,请在集群部分中选择一个或多个集群,单击停用,并在出现提示时单击确认(如果确定)。
    2. 要开始收集流量数据,请选择一个或多个集群,单击激活,并在出现提示时单击确认(如果确定)。

结果

系统将每个受影响的集群的收集状态值更新为已停用已激活,具体取决于您设置的数据收集模式。