NSX Network Detection and Response 서비스는 독립형 호스트 및 호스트 클러스터의 분산 방화벽에서 전송된 네트워크 트래픽 데이터를 수신합니다. 필요한 경우 독립형 호스트 또는 호스트 클러스터에서 데이터 수집을 선택적으로 중지할 수 있습니다. 이러한 호스트 또는 클러스터의 네트워크 데이터는 더 이상 의심스러운 네트워크 트래픽 이벤트를 감지하기 위해 처리되지 않습니다.

사전 요구 사항

  • 데이터 수집 설정을 관리하려면 엔터프라이즈 관리자 역할이 있어야 합니다.
  • NSX Network Detection and Response에서 NSX 애플리케이션 플랫폼 기능을 활성화해야 합니다.

프로시저

  1. 브라우저에서 엔터프라이즈 관리자 권한으로 https://<nsx-manager-ip-address>에서 NSX Manager 장치에 로그인합니다.
  2. NSX Manager 사용자 인터페이스에서 위협 감지 및 대응 > 설정 > 데이터 수집을 선택합니다.
  3. 모든 독립형 호스트 및 호스트 클러스터에서 데이터 수집 또는 데이터 보존을 구성하려면 다음 단계 중 하나를 수행합니다.
    • 스토리지를 사용할 수 있게 될 때까지 흐름 수집 일시 중지
      분석 및 데이터 스토리지 디스크가 최대 용량에 가까워지면 데이터 수집 흐름을 일시적으로 중단합니다. 디스크 사용량이 임계값을 초과하면 모든 클러스터 및 독립형 호스트에서 데이터 수집 흐름이 일시 중지됩니다.

      임계값은 일별 평균 사용량에 따라 결정되며, 현재 디스크 사용량을 스토리지의 데이터(일 수)로 나누어 계산합니다. 예측되는 사용량은 기존 사용량을 기준으로 합니다. 예측된 사용량이 임계값 미만으로 떨어지면 데이터 수집 흐름이 재개됩니다.

      데이터 수집 흐름을 재개하는 방법에는 두 가지가 있습니다.
      • 확장하여 데이터 스토리지 디스크 볼륨과 임계값을 늘입니다.
      • 흐름 데이터 보존을 동적으로 줄이기 옵션을 선택하여 데이터 보존 기간 및 데이터 크기를 줄입니다.

      "VMware NSX Application Platform 배포 및 관리" 가이드에서 NSX 애플리케이션 플랫폼 확장 항목을 참조하십시오.

    • 흐름 데이터 보존을 동적으로 줄이기
      흐름 데이터 보존을 줄이면 데이터가 데이터베이스에 저장되는 일수가 줄어듭니다. 이 옵션은 이전 데이터를 제거하고 스토리지 공간을 절약합니다. 데이터 보존은 데이터 크기와 일별로 수신되는 평균 데이터양이라는 두 가지 주요 요소를 기준으로 계산됩니다.

      다음은 몇 가지 데이터 보존 시나리오입니다.

      • 시나리오 1: 초기 데이터 보존이 30일로 구성되고 15일에 디스크가 가득 찼습니다. 데이터 보존은 15일로 설정됩니다.
      • 시나리오 2: 초기 데이터 보존이 30일로 구성되고, 처음 14일 동안 아주 적은 데이터가 수신됩니다. 그런 다음, 15일에 데이터 유입이 발생하여 디스크가 가득 찼습니다. 데이터 보존은 15일로 감소됩니다.
      • 시나리오 3: 초기 데이터 보존이 30일로 구성되고 2일 차에 디스크가 가득 찼습니다. 데이터 보존은 2일로 줄어듭니다.
    데이터 보존 기간 및 기존 흐름 수를 볼 수 있습니다.
    • 시스템 > NSX Application Platform > 메트릭을 선택하고 Druid 평균 보존 기간으로 스크롤합니다.
    • 시스템 > NSX Application Platform > 메트릭을 선택하고 총 흐름 및 고유 흐름으로 스크롤합니다.
  4. 하나 이상의 호스트에 대한 트래픽 데이터 수집을 관리하려면 다음 단계 중 하나를 수행합니다.
    1. 트래픽 데이터 수집을 중지하려면 표준 호스트 섹션에서 호스트를 선택하고 비활성화를 클릭하고 확인하라는 메시지가 표시되면 확인을 클릭합니다.
    2. 트래픽 데이터 수집을 시작하려면 호스트를 선택하고 활성화를 클릭한 다음, 확인하라는 메시지가 표시되면 확인을 클릭합니다.

    시스템은 사용자가 설정한 데이터 수집 모드에 따라 영향을 받는 각 호스트에 대한 수집 상태 값을 비활성화됨 또는 활성화됨으로 업데이트합니다.

  5. 하나 이상의 호스트 클러스터에 대한 트래픽 데이터 수집을 관리하려면 다음 단계 중 하나를 수행합니다.
    1. 하나 이상의 클러스터에 대한 데이터 수집을 중지하려면 클러스터 섹션에서 클러스터를 선택하고 비활성화를 클릭한 다음, 확인하라는 메시지가 표시되면 확인을 클릭합니다.
    2. 트래픽 데이터 수집을 시작하려면 클러스터를 선택하고 활성화를 클릭한 다음, 확인하라는 메시지가 표시되면 확인을 클릭합니다.

결과

시스템은 사용자가 설정한 데이터 수집 모드에 따라 영향을 받는 각 클러스터에 대한 수집 상태 값을 비활성화됨 또는 활성화됨으로 업데이트합니다.