NSX Network Detection and Response サービスは、スタンドアローン ホストおよびホストのクラスタ上の分散ファイアウォールから送信されたネットワーク トラフィック データを受信します。必要に応じて、スタンドアローン ホストまたはホスト クラスタからのデータ収集を停止することもできます。これらのホストまたはクラスタのネットワーク データは、不審なネットワーク トラフィック イベントを検出するために処理されなくなります。

前提条件

  • データ収集設定を管理するには、エンタープライズ管理者ロールが必要です。
  • NSX Network Detection and Response 機能は、NSX アプリケーション プラットフォーム で有効にする必要があります。

手順

  1. ブラウザから、エンタープライズ管理者の権限で NSX Manager アプライアンス (https://<nsx-manager-ip-address>) にログインします。
  2. NSX Manager ユーザー インターフェイスで、[脅威の検出と対応] > [設定] > [データ収集] の順に選択します。
  3. すべてのスタンドアローン ホストおよびホストのクラスタでデータの取り込みまたはデータ保持を構成するには、次のいずれかの手順を実行します。
    • ストレージが使用可能になるまでフローの取り込みを一時停止する
      分析およびデータ ストレージ ディスクが最大容量に近づいた場合、データの取り込みのフローを一時的にサスペンドします。ディスク使用量がしきい値を超えると、すべてのクラスタとスタンドアローン ホストでデータの取り込みのフローが一時停止します。

      しきい値は、1 日の平均使用量によって決まります。これは、現在のディスク使用量をストレージ内のデータの日数で除算して求められます。予測される使用量は、既存の使用量に基づいています。予測される使用量がしきい値を下回ると、データの取り込みのフローが再開されます。

      データの取り込みのフローを再開するには、2 つの方法があります。
      • スケール アウトして、データ ストレージのディスク ボリュームとしきい値を増やします。
      • [フロー データの保持期間を動的に短縮する] オプションを選択して、データの保持期間とデータ サイズを減らします。

      VMware NSX Application Platform の展開と管理』ガイドの「NSX アプリケーション プラットフォーム のスケール アウト」トピックを参照してください。

    • フロー データの保持期間を動的に短縮する
      フロー データの保持期間を短縮すると、データがデータベースに保存される日数が減少します。このオプションは、古いデータを削除し、ストレージ容量を節約します。データの保持期間は、データのサイズと 1 日に受信したデータの平均量という 2 つの主な要因に基づいて計算されます。

      以下に、データ保持期間のシナリオをいくつか示します。

      • シナリオ 1:初期データ保持期間が 30 日に構成され、15 日目にディスクがいっぱいになる。データ保持期間は 15 日に設定されます。
      • シナリオ 2:初期データ保持期間が 30 日に設定され、最初の 14 日間に受信されたデータが非常に少ない。15 日目にデータが大量に流入し、ディスクがいっぱいになる。データ保持期間は 15 日に短縮されます。
      • シナリオ 3:初期データ保持期間が 30 日に構成され、2 日目にディスクがいっぱいになる。データ保持期間は 2 日に短縮されます。
    データ保持期間と既存のフローの数を表示できます。
    • [システム] > [NSX Application Platform] > [メトリック] を選択し、[Druid 平均保持日数] までスクロールします。
    • [システム] > [NSX Application Platform] > [メトリック] を選択し、[フローの合計数と一意のフロー] までスクロールします。
  4. 1 台以上のホストのトラフィック データ収集を管理するには、次のいずれかの手順を実行します。
    1. トラフィック データ収集を停止するには、[スタンドアローン ホスト] セクションで 1 台以上のホストを選択してから [無効化] をクリックし、確認メッセージが表示されたら [確認] をクリックします。
    2. トラフィック データ収集を開始するには、1 台以上のホストを選択してから [有効化] をクリックし、確認メッセージが表示されたら [確認] をクリックします。

    システムは、設定したデータ収集モードに応じて、影響を受ける各ホストの [収集状態] の値を 無効 または 有効 に更新します。

  5. 1 つ以上のホスト クラスタのトラフィック データ収集を管理するには、次のいずれかの手順を実行します。
    1. 1 つ以上のクラスタのデータ収集を停止するには、[クラスタ] セクションで 1 つ以上のクラスタを選択してから [無効化] をクリックし、確認メッセージが表示されたら [確認] をクリックします。
    2. トラフィック データ収集を開始するには、1 つ以上のクラスタを選択してから [有効化] をクリックし、確認メッセージが表示されたら [確認] をクリックします。

結果

システムは、設定したデータ収集モードに応じて、影響を受ける各クラスタの [収集状態] の値を 無効 または 有効 に更新します。