NSX Network Detection and Response 服務會接收來自獨立主機和主機叢集上的分散式防火牆所傳送的網路流量資料。如有必要,您可以選擇停止從獨立主機或主機叢集收集資料。將不再處理來自這些主機或叢集的網路資料來偵測可疑網路流量事件。

必要條件

  • 若要管理資料收集設定,您必須具備企業管理員角色。
  • 必須在 NSX Network Detection and Response 上啟用 NSX 應用程式平台 功能。

程序

  1. 從瀏覽器以企業管理員權限登入 NSX Manager 應用裝置,網址為 https://<nsx-manager-ip-address>。
  2. 在 NSX Manager 使用者介面上,選取威脅偵測與回應 > 設定 > 資料收集
  3. 若要在所有獨立式主機和主機叢集上設定資料擷取或資料保留,請執行下列其中一個步驟。
    • 暫停流量擷取,直到儲存區可用
      當分析和資料存放區磁碟逼近最大容量時,會暫時暫停資料擷取流量。當磁碟使用量超過臨界值時,會暫停所有叢集和獨立式主機之間的資料擷取流量。

      系統會根據每日平均使用量來判定臨界值,每日平均使用量則是藉由將目前磁碟使用量除以儲存區中資料的天數計算得出。所預測的使用量是以現有使用量為基礎。一旦預測的使用量低於臨界值時,就會恢復資料擷取流量。

      恢復資料擷取流量的做法有兩種。
      • 藉由擴充,以增加資料存放區的磁碟區和臨界值。
      • 選取動態減少流量資料保留選項,以縮短資料保留期並減小資料大小。

      請參閱《部署和管理 VMware NSX Application Platform》指南中的〈擴充 NSX 應用程式平台〉主題。

    • 動態減少流量資料保留
      減少流量資料保留可縮短資料在資料庫中儲存的天數。此選項會刪除舊資料,從而節省儲存區空間。資料保留是根據下列兩個關鍵因素計算得出:資料大小和每天平均接收的資料量。

      舉例來說,以下是一些資料保留案例:

      • 案例 1:如果起始資料保留設定為 30 天,但到第 15 天時磁碟已滿。資料保留會設定為 15 天。
      • 案例 2:如果起始資料保留設定為 30 天,但前 14 天收到的資料非常少。然後,在第 15 天資料湧入,從而導致磁碟變滿。資料保留將縮短為 15 天。
      • 案例 3:如果起始資料保留設定為 30 天,第二天磁碟已滿。資料保留將縮短為兩天。
    您可以檢視資料保留期和現有流量的數量。
    • 選取系統 > NSX Application Platform > 度量,然後捲動到 Druid 平均保留天數
    • 選取系統 > NSX Application Platform > 度量,然後捲動到流量總計和唯一流量
  4. 若要管理一或多個主機的流量資料收集,請執行下列步驟之一。
    1. 若要停止收集流量資料,請在獨立主機區段中選取一或多個主機,按一下停用,並在提示您是否確定時按一下確認
    2. 若要開始收集流量資料,請選取一或多個主機,按一下啟用,並在提示您是否確定時按一下確認

    系統會將每個受影響主機的收集狀態值更新為已停用已啟用,取決於您已設定的資料收集模式。

  5. 若要管理一或多個主機叢集的流量資料收集,請執行下列步驟之一。
    1. 若要停止一或多個叢集的資料收集,請在叢集區段中選取一或多個叢集,按一下停用,並在提示您是否確定時按一下確認
    2. 若要開始收集流量資料,請選取一或多個叢集,按一下啟用,並在提示您是否確定時按一下確認

結果

系統會將每個受影響叢集的收集狀態值更新為已停用已啟用,取決於您已設定的資料收集模式。