Im Folgenden finden Sie einige Beispiele für erweiterte Abfragen:

Flow-Abfragen für Kommunikationsmuster

  • Gesamtdatenverkehr zwischen Datencentern oder Sites (DCI-Link-Nutzung)

    sum(bytes) of flows where ( Dst Manager = 'abc' AND src manager = 'cba') OR ( Dst Manager = 'cba' AND src manager = 'abc')

  • Gesamter VTEP-Datenverkehr
    • sum(bytes) of flows where Flow Type = 'Src is VTEP' or flow type = 'Dst is VTEP' VTEP traffic grouped by VMKNIC
    • sum(bytes) of flows where Flow Type = 'Src is VTEP' or Flow Type = 'Dst is VTEP' group by ip
  • Sonstiger Management-Datenverkehr

    flows where Flow Type = 'Source is VMKNIC' or Flow Type = 'Destination is VMKNIC'

  • Flows für erweitertes L2-Netzwerk

    flows where flow type = 'Extended L2 Network' and Destination IP Address = 10.172.13.14

Flow-Abfragen für Aggregation und Gruppierung

  • Gesamter Internet Datenverkehr nach Quell-VM

    sum(bytes) of flows where Flow Type = 'Internet' group by src vm

  • Top-Ports nach Gesamtbyte

    sum(bytes) of flow group by port order by sum(bytes)

  • Top-Subnetz-Paare nach geroutetem Datenverkehrsvolumen

    sum(bytes) of flow where Flow Type = 'Routed' group by Source Subnet Network, destination subnet network order by sum(bytes)

  • VM insgesamt nach Gesamtpaar-Byte

    sum(bytes) of flows group by src vm , dest vm order by sum(bytes)

  • Top-Server-VM/Port nach Gesamtbyte

    sum(bytes) of flows group by dest vm , port order by sum(bytes)

Flow-Abfragen zur Kapazitätsschätzung und Größenanpassung

  • Gesamtzahl der Bytes des gesamten vm-internet/internet-vm-Datenverkehrs, gruppiert nach ESX (Palo Alto Service-VM-Dimensionierung)

    sum(bytes) of flows where flow type = 'internet' and (flow type = ' src is vm ' OR flow type = 'destination is vm ') group by host order by sum(bytes)

  • Aggregierte Datenverkehrsserie für übereinstimmende Flows (Palo Alto-Dienst-VM-Dimensionierung)

    series( sum(byte rate)) of flows where host = 'ddc1-pod2esx012.dm.democompany.net' and (Flow Type = 'Source is VM' OR flow type = 'Destination is VM')

Nützliche Abfragen für die Anwendung

  • VMs in einer bestimmten Anwendung

    VM where application = 'CRM'

  • Geroutete Flows aus einer bestimmten Anwendung

    Flows where source application = CRM and Flow Type = 'Routed'

  • Flows zwischen zwei Ebenen (unidirektional)

    Flows where src tier = 'App' and Destination Tier = 'DB'

  • Flows zwischen zwei Ebenen (unidirektional)

    Flows where ( src tier = 'App' and destination Tier = 'DB') OR (destination tier = 'App' and source tier = 'DB')

Hilfreiche Abfragen für VM und ESX

  • Eigenschaften von Prod-Midtier-1-VM (MAC, IP, Host usw.)

    CPU Usage Rate, Network Rate, Memory Usage Rate, mac address, ip , vxlan , host of vm 'Quality control-VM26'

  • Netzwerksegmente mit der höchsten VM-Anzahl

    vm group by l2 network

  • Datenspeicher mit der höchsten VM-Anzahl

    vm group by datastore

  • Hosts nach vSphere-Version

    host group by version

  • Hosts nach vSphere-Builds

    host group by OS

  • Alle VMs auf allen Hosts/Blades in einem bestimmten UCS-Chassis (geschachtelte Abfrage)

    vm where host in (host where Blade like 'sys/chassis-1')

Nützliche Abfragen: Allgemeine Kapazität

  • Anzahl der Datencenter:

    count of datacenter

  • Anzahl der Cluster

    count of cluster

  • Anzahl der Hosts

    count of host

  • Anzahl der VMs

    count of vm

  • Anzahl der Netzwerke

    count of vlan

Nützliche Abfragen: Routen

  • VNIs nach primärem Controller

    vxlan group by Primary Controller

  • Routen für Provider Edge 3

    routes where vrf = 'Provider Edge 3'

  • Routen von DMZ DLR

    NextHop Router of routes where VRF = 'LDR-DMZ'

  • Routen mit dem angegebenen Router als nächster Hop

    routes where NextHop Router = 'California-Edge'

Hilfreiche Abfragen: Firewallregeln

  • Firewallregeln zwischen zwei VMs

    firewall rules from 'Prod-Midtier-1' to 'Prod-Db-1'

  • Regeln mit der Quelle „ANY

    firewall rules where Service Any = true

  • VMs für eine bestimmte Regel

    vm where Firewall Rule = 'Prod MidTier to Prod DB - DBService '

  • Firewallregeln, bei denen ein beliebiger Port zulässig ist

    firewall rule where action = allow and service any = true

  • Flows, die auf eine bestimmte Firewallregel treffen

    flows where firewall rule = 'Admin to Prod and Lab - SSH'

  • Zurückgewiesene Flows im System

    flows where firewall action = deny

  • Gateway-Firewall anzeigen

    Firewall Rule where firewall type = 'GatewayFirewall'

  • Verteilte Firewall anzeigen

    Firewall Rule where firewall type = 'Distributed Firewall'

Nützliche Abfragen: Allgemeine Datenverkehrsmuster

  • Menge des Ost-West- und Nord-Süd-Datenverkehrs, Menge des umgeschalteten Datenverkehrs, Menge des gerouteten Datenverkehrs und Menge des VM-zu-VM-Datenverkehrs

    plan security in last 7 days

Nützliche Abfragen: Datenverkehr von einer Überwachungskamera

  • Details zu VMs, die die meiste Bandbreite verbrauchen

    top 7 vm group by name, Vlan order by sum(Total Network Traffic) in last 7 days

  • Netzwerke, die den meisten Datenverkehr transportieren

    top 7 vlan group by Vlan id, vm count order by sum(Total Network Traffic) in last 7 days

  • Netzwerke, bei denen der Großteil der Kommunikation innerhalb des VLAN liegt (ohne eine physische Firewall oder L3-Grenze zu überschreiten)

    top 7 flow where Flow Type = 'Switched' group by Subnet Network order by sum(Bytes) in last 7 days

  • Netzwerke, bei denen der Großteil der Kommunikation über VLAN hinweg erfolgt (was zu Engpässen bei der physischen Firewall führen kann)

    top 7 flow where Flow Type = 'Routed' group by Source Subnet Network, Destination Subnet Network order by sum(Bytes) in last 7 days

  • VMs, die außerhalb des Landes kommunizieren

    top 7 flow where Destination Country != 'United States' group by Source VM, Destination Country order by sum(Bytes) in last 7 days

  • Datenspeicher mit den meisten Speicherlatenzen

    avg(Read Latency), avg(Write Latency) of top 7 vm group by Datastore, vlan order by avg(Write Latency) in last 7 days

Nützliche Abfragen: Konformität/Schwachstellen

  • Details zu anfälligen Betriebssystemen

    vm where Operating System like 'Microsoft Windows Server 2003' or Operating System like 'Microsoft Windows Server 2008' or Operating System like 'Red Hat Enterprise Linux 6' or Operating System like 'Red Hat Enterprise Linux 5' or Operating System like 'SUSE Linux Enterprise 10' group by vlan, Operating System

  • Anzahl der anfälligen Betriebssysteme

    count of vm where Operating System like 'Microsoft Windows Server 2003' or Operating System like 'Microsoft Windows Server 2008' or Operating System like 'Red Hat Enterprise Linux 6' or Operating System like 'Red Hat Enterprise Linux 5' or Operating System like 'SUSE Linux Enterprise 10'

  • Gesamte Angriffsfläche aufgrund alter Betriebssysteme

    vm where vlan in (vlan of vm where os in ('Microsoft Windows Server 2003', 'Microsoft Windows Server 2008', 'Red Hat Enterprise Linux 6', 'Red Hat Enterprise Linux 5', 'SUSE Linux Enterprise 10')) group by Vlan

    count of vm where vlan in (vlan of vm where os in ('Microsoft Windows Server 2003', 'Microsoft Windows Server 2008', 'Red Hat Enterprise Linux 6', 'Red Hat Enterprise Linux 5', 'SUSE Linux Enterprise 10'))
    Hinweis: Informationen zum Abrufen der empfohlenen Firewallregel für das anfällige Betriebssystem finden Sie unter Empfohlene Firewallregel zum Schutz gefährdeter Betriebssysteme.