Il servizio NSX Network Detection and Response riceve i dati del traffico di rete inviati dal firewall distribuito negli host autonomi e nei cluster di host. Se necessario, è possibile interrompere facoltativamente la raccolta dati da un host indipendente o da un cluster di host. I dati di rete di questi host o cluster non verranno più elaborati per rilevare gli eventi del traffico di rete sospetti.

Prerequisiti

  • Per gestire le impostazioni della raccolta dati, è necessario disporre del ruolo Amministratore aziendale.
  • La funzionalità NSX Network Detection and Response deve essere attivata nella NSX Application Platform.

Procedura

  1. Dal browser, accedere con privilegi di amministratore aziendale a un'appliance NSX Manager all'indirizzo https://<nsx-manager-ip-address>.
  2. Nell'interfaccia utente di NSX Manager, selezionare Rilevamento delle minacce e risposta > Impostazioni > Raccolta dati.
  3. Per configurare l'acquisizione o la conservazione dei dati in tutti gli host autonomi e i cluster di host, eseguire uno dei passaggi seguenti.
    • Sospendi l'inserimento del flusso finché lo storage non è disponibile
      Sospende temporaneamente il flusso di acquisizione dei dati quando il disco di analisi e archiviazione dei dati sta per avvicinarsi alla capacità massima. Quando l'utilizzo del disco supera una soglia, il flusso di acquisizione dei dati viene sospeso in tutti i cluster e negli host autonomi.

      La soglia è determinata dall'utilizzo medio giornaliero, che viene calcolato in base all'utilizzo del disco corrente diviso per il numero di giorni di dati nello storage. L'utilizzo previsto si basa sull'utilizzo esistente. Quando l'utilizzo previsto scende al di sotto della soglia, il flusso di acquisizione dei dati viene ripreso.

      Esistono due modi per riprendere il flusso di acquisizione dei dati.
      • Scalabilità orizzontale per aumentare il volume del disco di archiviazione dei dati e la soglia.
      • Selezionare l'opzione Riduci dinamicamente conservazione dati flusso per ridurre il periodo di conservazione dei dati e le dimensioni dei dati.

      Vedere l'argomento Scalabilità orizzontale della NSX Application Platform nella guida di Distribuzione e gestione di VMware NSX Application Platform.

    • Riduci dinamicamente conservazione dati flusso
      Riducendo la conservazione dei dati del flusso si riduce il numero di giorni in cui i dati vengono archiviati nel database. Questa opzione elimina i dati precedenti e consente di risparmiare spazio di archiviazione. La conservazione dei dati viene calcolata in base a due fattori chiave: la dimensione dei dati e la quantità media di dati ricevuti al giorno.

      A scopo esplicativo, di seguito sono riportati alcuni scenari di conservazione dei dati:

      • Scenario 1: se la conservazione iniziale dei dati è configurata per 30 giorni e il giorno 15 il disco è pieno. La conservazione dei dati viene impostata su 15 giorni.
      • Scenario 2: se la conservazione iniziale dei dati è configurata per 30 e vengono ricevuti pochissimi dati per i primi 14 giorni. Il giorno 15, poi, si verifica un flusso di dati che fa sì che il disco diventi pieno. La conservazione dei dati viene ridotta a 15 giorni.
      • Scenario 3: se la conservazione iniziale dei dati è configurata per 30 giorni e il disco è pieno il secondo giorno. La conservazione dei dati viene ridotta a due giorni.
    È possibile visualizzare il periodo di conservazione dei dati e il numero di flussi esistenti.
    • Selezionare Sistema > NSX Application Platform > Metriche e scorrere fino a Giorni di conservazione media Druid.
    • Selezionare Sistema > NSX Application Platform > Metriche e scorrere fino a Flussi totali e flussi univoci.
  4. Per gestire la raccolta dati del traffico per uno o più host, eseguire uno dei passaggi seguenti.
    1. Per interrompere la raccolta dati, selezionare l'host o gli host nella sezione Host autonomo, fare clic su Disattiva e fare clic su Conferma quando viene richiesto, se si è sicuri.
    2. Per avviare la raccolta dati del traffico, selezionare l'host o gli host, fare clic su Attiva e fare clic su Conferma quando viene richiesto, se si è sicuri.

    Il sistema aggiorna il valore dello Stato raccolta per ogni host interessato a Disattivato o Attivato, in base alla modalità di raccolta dati impostata.

  5. Per gestire la raccolta dati del traffico per uno o più cluster, eseguire uno dei passaggi seguenti.
    1. Per interrompere la raccolta dati per uno o più cluster, selezionare il cluster o i cluster nella sezione Cluster, fare clic su Disattiva e fare clic su Conferma quando viene richiesto, se si è sicuri.
    2. Per avviare la raccolta dati del traffico, selezionare il cluster o gli host, fare clic su Attiva e fare clic su Conferma quando viene richiesto, se si è sicuri.

risultati

Il sistema aggiorna il valore dello Stato raccolta per ogni cluster interessato a Disattivato o Attivato in base alla modalità di raccolta dati impostata.