El servicio NSX Network Detection and Response recibe los datos de tráfico de red enviados desde el firewall distribuido en los hosts independientes y los clústeres de hosts. Si es necesario, también podrá detener la recopilación de datos de un host independiente o un clúster de hosts. Los datos de red de estos hosts o clústeres ya no se procesarán para detectar los eventos de tráfico de red sospechosos.

Requisitos previos

  • Para administrar la configuración de recopilación de datos, debe tener la función Administrador empresarial.
  • La función NSX Network Detection and Response debe activarse en Plataforma de aplicaciones NSX.

Procedimiento

  1. En un navegador, inicie sesión con privilegios de administrador empresarial en un dispositivo de NSX Manager desde https://<dirección-ip-nsx-manager>.
  2. En la interfaz de usuario de NSX Manager, seleccione Detección y respuesta a amenazas > Configuración > Recopilación de datos.
  3. Para configurar el consumo de datos o la retención de datos en todos los hosts independientes y el clúster de hosts, realice uno de los siguientes pasos.
    • Pausar ingesta de flujo hasta que haya almacenamiento disponible
      Suspende temporalmente el flujo de ingesta de datos cuando el disco de almacenamiento de datos y análisis se encuentra cerca de su capacidad máxima. Cuando el uso del disco supera un umbral, el flujo de ingesta de datos se pausa en todos los clústeres y hosts independientes.

      El umbral se determina en función del promedio de uso diario, que se calcula según el uso de disco actual dividido por el número de días de datos en el almacenamiento. El uso previsto se basa en el uso existente. Cuando el uso previsto cae por debajo del umbral, se reanuda el flujo de ingesta de datos.

      Existen dos formas de reanudar el flujo de ingesta de datos.
      • Escale horizontalmente para aumentar el volumen y el umbral del disco de almacenamiento de datos.
      • Seleccione la opción Reducir dinámicamente la conservación de los datos de flujo para reducir el periodo de retención de datos y el tamaño de los datos.

      Consulte el tema Escalar horizontalmente Plataforma de aplicaciones NSX en la guía Implementar y administrar VMware NSX Application Platform.

    • Reducir dinámicamente la conservación de los datos de flujo
      La reducción de la retención de datos de flujo disminuye el número de días que los datos se almacenan en la base de datos. Esta opción elimina los datos antiguos y ahorra espacio de almacenamiento. La retención de datos se calcula en función de dos factores clave: el tamaño de los datos y la cantidad media de datos recibidos por día.

      A modo de ilustración, estos son algunos escenarios de retención de datos:

      • Escenario 1: Si la retención de datos inicial está configurada para 30 días, y el disco se llena antes del día 15. La retención de datos se establece en 15 días.
      • Escenario 2: Si la retención de datos inicial está configurada para 30 días y se reciben muy pocos datos durante los primeros 14 días. Después, el día 15, se produce un flujo de entrada de datos que hace que el disco se llene. La retención de datos se reduce a 15 días.
      • Escenario 3: Si la retención de datos inicial está configurada para 30 días y el disco se llena el día 2. La retención de datos se reduce a 2 días.
    Puede ver el periodo de retención de datos y el número de flujos existentes.
    • Seleccione Sistema > NSX Application Platform > Métricas y, a continuación, desplácese hasta Media de días de conservación de Druid.
    • Seleccione Sistema > NSX Application Platform > Métricas y, a continuación, desplácese hasta Flujos totales y flujos únicos.
  4. Para administrar la recopilación de datos de tráfico para uno o varios hosts, realice uno de los siguientes pasos.
    1. Para detener la recopilación de datos de tráfico, seleccione el host o los hosts en la sección Host independiente, haga clic en Desctivar y, a continuación, haga clic en Confirmar cuando se le pida que confirme.
    2. Para iniciar la recopilación de datos de tráfico, seleccione el host o los hosts, haga clic en Activar y, a continuación, haga clic en Confirmar cuando se le pida que confirme.

    El sistema actualizará el valor de Estado de recopilación para cada host afectado a Desactivado o Activado, en función del modo de recopilación de datos que haya establecido.

  5. Para administrar la recopilación de datos de tráfico para uno o varios clústeres de hosts, realice uno de los siguientes pasos.
    1. Para detener la recopilación de datos de uno o varios clústeres, seleccione el clúster o los clústeres en la sección Clúster, haga clic en Desactivar y, a continuación, haga clic en Confirmar cuando se le pida que confirme.
    2. Para iniciar la recopilación de datos de tráfico, seleccione el clúster o los clústeres, haga clic en Activar y, a continuación, haga clic en Confirmar cuando se le pida que confirme.

Resultados

El sistema actualizará el valor de Estado de recopilación para cada clúster afectado a Desactivado o Activado, en función del modo de recopilación de datos que haya establecido.