Le service NSX Network Detection and Response reçoit les données de trafic réseau envoyées depuis le pare-feu distribué sur les hôtes autonomes et les clusters d'hôtes. Si nécessaire, vous pouvez éventuellement arrêter la collecte de données à partir d'un hôte autonome ou d'un cluster d'hôtes. Les données réseau de ces hôtes ou clusters ne seront plus traitées pour détecter les événements de trafic réseau suspects.

Conditions préalables

  • Pour gérer les paramètres de collecte de données, vous devez disposer du rôle Administrateur d'entreprise.
  • La fonctionnalité NSX Network Detection and Response doit être activée sur Plate-forme d'application NSX.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur d'entreprise à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Dans l'interface utilisateur de NSX Manager, sélectionnez Détection des menaces et Réponse > Paramètres > Collecte de données.
  3. Pour configurer l'ingestion de données ou la rétention des données sur tous les hôtes autonomes et le cluster d'hôtes, effectuez l'une des étapes suivantes.
    • Suspendre l'ingestion de flux jusqu'à ce que le stockage soit disponible
      Interrompt temporairement le flux d'ingestion de données lorsque le disque d'analyse et de stockage des données approche de la capacité maximale. Lorsque l'utilisation du disque dépasse un seuil, le flux d'ingestion de données est mis en pause sur tous les clusters et les hôtes autonomes.

      Le seuil est déterminé par l'utilisation moyenne quotidienne, qui est calculée en divisant l'utilisation actuelle du disque par le nombre de jours de données dans le stockage. L'utilisation prévue est basée sur l'utilisation existante. Lorsque l'utilisation prévue passe en dessous du seuil, le flux d'ingestion de données reprend.

      Il existe deux façons de reprendre le flux d'ingestion de données.
      • Montée en charge pour augmenter le volume et le seuil du disque de stockage de données.
      • Sélectionnez l'option Réduire dynamiquement la rétention des données de flux pour réduire la période de rétention des données et la taille des données.

      Reportez-vous à la rubrique Monter en charge Plate-forme d'application NSX du guide Déploiement et gestion de VMware NSX Application Platform.

    • Réduire dynamiquement la rétention des données de flux
      La réduction de la rétention des données de flux diminue le nombre de jours de stockage des données dans la base de données. Cette option nettoie les anciennes données et économise de l'espace de stockage. La rétention des données est calculée en fonction de deux facteurs clés : la taille des données et la quantité moyenne de données reçues par jour.

      À titre d'exemple, voici quelques scénarios de rétention des données :

      • Scénario 1 : la rétention initiale des données est configurée sur 30 jours et le disque est plein au 15e jour. La rétention des données est définie sur 15 jours.
      • Scénario 2 : la rétention initiale des données est configurée sur 30 jours et très peu de données sont reçues pendant les 14 premiers jours. Au 15e jour, un afflux de données entraîne la saturation du disque. La rétention des données est réduite à 15 jours.
      • Scénario 3 : la rétention initiale des données est configurée sur 30 jours et le disque est plein dès le deuxième jour. La rétention des données est réduite à deux jours.
    Vous pouvez examiner la période de rétention des données et le nombre de flux existants.
    • Sélectionnez Système > NSX Application Platform > Métriques et faites défiler l'écran jusqu'à Nombre moyen de jours de rétention de Druid.
    • Sélectionnez Système > NSX Application Platform > Métriques et faites défiler l'écran jusqu'à Nombre total de flux et flux uniques.
  4. Pour gérer la collecte de données de trafic pour un ou plusieurs hôtes, effectuez l'une des étapes suivantes.
    1. Pour arrêter la collecte des données de trafic, sélectionnez l'hôte ou les hôtes dans la section Hôte autonome, cliquez sur Activer, puis cliquez sur Confirmer lorsque vous y êtes invité, si vous en êtes sûr.
    2. Pour démarrer la collecte des données de trafic, sélectionnez l'hôte ou les hôtes, cliquez sur Activer, puis sur Confirmer lorsque vous y êtes invité, si vous en êtes sûr.

    Le système met à jour la valeur État de la collecte de chaque hôte concerné sur Désactivé ou Activé, en fonction du mode de collecte de données que vous avez défini.

  5. Pour gérer la collecte de données de trafic pour un ou plusieurs clusters d'hôtes, effectuez l'une des étapes suivantes.
    1. Pour arrêter la collecte de données pour un ou plusieurs clusters, sélectionnez le ou les clusters dans la section Cluster, cliquez sur Activer, puis cliquez sur Confirmer lorsque vous y êtes invité, si vous en êtes sûr.
    2. Pour démarrer la collecte des données de trafic, sélectionnez le ou les clusters, cliquez sur Activer, puis cliquez sur Confirmer lorsque vous y êtes invité, si vous en êtes sûr.

Résultats

Le système met à jour la valeur État de la collecte de chaque cluster concerné sur Désactivé ou Activé, en fonction du mode de collecte de données que vous avez défini.