概要

Datadog で NetFlow Monitoring を使用すると、NetFlow 対応デバイスからのフローレコードを視覚化して監視することができます。

インストール

ネットワークデバイスモニタリングで NetFlow Monitoring を使用するには、Agent のバージョン 7.45 以降を使用していることを確認してください。

注: NetFlow データの送信には、ネットワークデバイスモニタリングからのメトリクス収集の構成は必須ではありませんが、この追加データを使用してデバイス名、モデル、ベンダー、インバウンド/アウトバウンドインターフェイス名などの情報でフローレコードをリッチ化できるため、強く推奨されています。

構成

NetFlow、sFlow、または IPFIX トラフィックを Agent NetFlow サーバーに送信するようにデバイスを構成するには、Datadog Agent がインストールされている IP アドレス、具体的には flow_type と port にトラフィックを送信するようデバイスを構成する必要があります。

NetFlow を有効にするために、Agent コンフィグレーションファイル datadog.yaml を編集します。

network_devices:
  netflow:
    enabled: true
    listeners:
      - flow_type: netflow9   # 選択肢: netflow5、netflow9、ipfix、sflow5
        port: 2055            # デバイスはこのポートにトラフィックを送信する必要があります
      - flow_type: netflow5
        port: 2056
      - flow_type: ipfix
        port: 4739
      - flow_type: sflow5
        port: 6343

変更内容を保存したら、Agent を再起動します。

集計

Datadog Agent は、情報の大半を維持しつつ、プラットフォームに送信されるレコード数を制限するために、受信した NetFlow データを自動的に集計します。デフォルトでは、集計の間隔は 5 分間で、その間に共通の識別情報 (ソースと宛先アドレスおよびポート、プロトコルなど) をもつフローレコードが集計されます。また、Datadog Agent は、エフェメラルポートを検出して削除することができます。その結果、port:* のフローを見ることができます。

リッチ化

NetFlow データは Datadog のバックエンドにより処理され、デバイスおよびインターフェイスから利用できるメタデータでリッチ化されます。リッチ化は、NetFlow エクスポーターの IP とインターフェイスインデックスに基づいて行われます。再利用されたプライベート IP が競合する可能性に対し、曖昧性を解消するため、Agent コンフィギュレーションファイルごとに異なる namespace を構成することができます (network_devices.namespace の設定を使用します)。

NetFlow エクスポーターの IP がデバイスの IP の 1 つではあるが、SNMP インテグレーションで構成されたものではない場合、Datadog はエクスポーターの IP が属するデバイスの特定を試み、一意で一致する場合に限り、その情報で NetFlow データをリッチ化します。

視覚化

NetFlow のページはネットワークデバイスのページで確認できます。

このデータはダッシュボードやノートブックなどでも利用でき、より正確なクエリを確認したり、別のデータソースとの相関を見たりすることができます。

保持

NetFlow データは、デフォルトで 30 日間保持されます。

その他の参考資料

お役に立つドキュメント、リンクや記事:

ネットワークデバイスモニタリングのプロファイルの使用ドキュメント Datadog で NetFlow トラフィックデータを監視するブログ SNMP トラップによるネットワークパフォーマンスの問題の監視と診断ブログ