다음은 고급 쿼리의 몇 가지 예입니다.
통신 패턴에 대한 흐름 쿼리
-
데이터 센터 또는 사이트 전체의 총 트래픽(DCI 링크 사용)
sum(bytes) of flows where ( Dst Manager = 'abc' AND src manager = 'cba') OR ( Dst Manager = 'cba' AND src manager = 'abc')
- 총 VTEP 트래픽
sum(bytes) of flows where Flow Type = 'Src is VTEP' or flow type = 'Dst is VTEP' VTEP traffic grouped by VMKNIC
-
sum(bytes) of flows where Flow Type = 'Src is VTEP' or Flow Type = 'Dst is VTEP' group by ip
- 기타 관리 트래픽
flows where Flow Type = 'Source is VMKNIC' or Flow Type = 'Destination is VMKNIC'
- 확장된 L2 네트워크의 흐름
flows where flow type = 'Extended L2 Network' and Destination IP Address = 10.172.13.14
집계 및 그룹화를 위한 흐름 쿼리
- 소스 VM별 총 인터넷 트래픽
sum(bytes) of flows where Flow Type = 'Internet' group by src vm
- 총 바이트별 상위 포트
sum(bytes) of flow group by port order by sum(bytes)
- 라우팅된 트래픽 볼륨별 상위 서브넷 쌍
sum(bytes) of flow where Flow Type = 'Routed' group by Source Subnet Network, destination subnet network order by sum(bytes)
- 쌍의 총 바이트별 총 VM
sum(bytes) of flows group by src vm , dest vm order by sum(bytes)
- 총 바이트별 상위 서버 VM/포트
sum(bytes) of flows group by dest vm , port order by sum(bytes)
용량 예상 및 크기 조정을 위한 흐름 쿼리
- ESX별로 그룹화된 모든
vm-internet
/internet-vm
트래픽의 총 바이트(Palo Alto 서비스 VM 크기 조정)sum(bytes) of flows where flow type = 'internet' and (flow type = ' src is vm ' OR flow type = 'destination is vm ') group by host order by sum(bytes)
- 일치 흐름에 대한 집계된 트래픽 시리즈(Palo Alto 서비스 VM 크기 조정)
series( sum(byte rate)) of flows where host = 'ddc1-pod2esx012.dm.democompany.net' and (Flow Type = 'Source is VM' OR flow type = 'Destination is VM')
애플리케이션에 유용한 쿼리
- 지정된 애플리케이션의 VM
VM where application = 'CRM'
- 지정된 애플리케이션에서 라우팅된 흐름
Flows where source application = CRM and Flow Type = 'Routed'
- 두 계층 간의 흐름(단방향)
Flows where src tier = 'App' and Destination Tier = 'DB'
- 두 계층 간의 흐름(단방향)
Flows where ( src tier = 'App' and destination Tier = 'DB') OR (destination tier = 'App' and source tier = 'DB')
VM 및 ESX에 유용한 쿼리
- Prod -Midtier-1 VM의 속성(MAC, IP, 호스트 등)
CPU Usage Rate, Network Rate, Memory Usage Rate, mac address, ip , vxlan , host of vm 'Quality control-VM26'
- VM 수가 가장 높은 네트워크 세그먼트
vm group by l2 network
- VM 수가 가장 많은 데이터스토어
vm group by datastore
- vSphere 버전별 호스트
host group by version
- vSphere 빌드별 호스트
host group by OS
- 특정 UCS 섀시의 슬롯에 있는 모든 호스트/블레이드의 모든 VM(중첩된 쿼리)
vm where host in (host where Blade like 'sys/chassis-1')
유용한 쿼리: 일반 용량
- 데이터 센터 수:
count of datacenter
- 클러스터 수
count of cluster
- 호스트 수
count of host
- VM 수
count of vm
- 네트워크 수
count of vlan
유용한 쿼리: 경로
- 기본 컨트롤러별 VNI
vxlan group by Primary Controller
- 제공자 Edge 3에 대한 경로
routes where vrf = 'Provider Edge 3'
- DMZ DLR의 경로
NextHop Router of routes where VRF = 'LDR-DMZ'
- 지정된 라우터가 다음 홉으로 있는 경로
routes where NextHop Router = 'California-Edge'
유용한 쿼리: 방화벽 규칙
-
두 VM 간의 방화벽 규칙
firewall rules from 'Prod-Midtier-1' to 'Prod-Db-1'
-
ANY
소스가 있는 규칙firewall rules where Service Any = true
- 지정된 규칙에 대한 VM
vm where Firewall Rule = 'Prod MidTier to Prod DB - DBService '
- 모든 포트가 허용되는 방화벽 규칙
firewall rule where action = allow and service any = true
- 특정 방화벽 규칙이 적중되는 흐름
flows where firewall rule = 'Admin to Prod and Lab - SSH'
- 시스템에서 거부된 흐름
flows where firewall action = deny
- 게이트웨이 방화벽 보기
Firewall Rule where firewall type = 'GatewayFirewall'
- 분산 방화벽 보기
Firewall Rule where firewall type = 'Distributed Firewall'
유용한 쿼리: 일반 트래픽 패턴
- East-West 및 North-South 트래픽 수, 전환된 트래픽 수, 라우팅된 트래픽 수, VM - VM 트래픽 수
plan security in last 7 days
유용한 쿼리: 보안 렌즈의 트래픽
- 상위 토커 VM 세부 정보
top 7 vm group by name, Vlan order by sum(Total Network Traffic) in last 7 days
- 트래픽이 가장 많은 네트워크
top 7 vlan group by Vlan id, vm count order by sum(Total Network Traffic) in last 7 days
- 대부분의 통신이 VLAN 내에 있는 네트워크(물리적 방화벽이나 L3 경계를 통과하지 않음)
top 7 flow where Flow Type = 'Switched' group by Subnet Network order by sum(Bytes) in last 7 days
- 대부분의 통신이 VLAN을 통과하는 네트워크(물리적 방화벽에서 병목 현상 문제를 일으킬 수 있음)
top 7 flow where Flow Type = 'Routed' group by Source Subnet Network, Destination Subnet Network order by sum(Bytes) in last 7 days
- 해외에서 통신하는 VM
top 7 flow where Destination Country != 'United States' group by Source VM, Destination Country order by sum(Bytes) in last 7 days
- 스토리지 대기 시간이 가장 많이 발생하는 데이터스토어
avg(Read Latency), avg(Write Latency) of top 7 vm group by Datastore, vlan order by avg(Write Latency) in last 7 days
유용한 쿼리: 규정 준수/취약점
- 취약한 OS 세부 정보
vm where Operating System like 'Microsoft Windows Server 2003' or Operating System like 'Microsoft Windows Server 2008' or Operating System like 'Red Hat Enterprise Linux 6' or Operating System like 'Red Hat Enterprise Linux 5' or Operating System like 'SUSE Linux Enterprise 10' group by vlan, Operating System
- 취약한 OS 수
count of vm where Operating System like 'Microsoft Windows Server 2003' or Operating System like 'Microsoft Windows Server 2008' or Operating System like 'Red Hat Enterprise Linux 6' or Operating System like 'Red Hat Enterprise Linux 5' or Operating System like 'SUSE Linux Enterprise 10'
- 오래된 OS로 인한 총 공격 표면
vm where vlan in (vlan of vm where os in ('Microsoft Windows Server 2003', 'Microsoft Windows Server 2008', 'Red Hat Enterprise Linux 6', 'Red Hat Enterprise Linux 5', 'SUSE Linux Enterprise 10')) group by Vlan
count of vm where vlan in (vlan of vm where os in ('Microsoft Windows Server 2003', 'Microsoft Windows Server 2008', 'Red Hat Enterprise Linux 6', 'Red Hat Enterprise Linux 5', 'SUSE Linux Enterprise 10'))
참고: 취약한 OS에 권장되는 방화벽 규칙을 가져오려면 취약한 OS 보호를 위해 권장되는 방화벽 규칙 항목을 참조하십시오.