Sentinel 现在使用通过收集 IP 流数据和 NetFlow 数据帮助您监视企业网络的 ArcSight SmartConnector。SmartConnector 将 IP 流数据收集为事件,这将允许您:
使用现有 Collector Manager 收集 IP 流数据。您将不再需要 NetFlow Collector Manager 收集 NetFlow 数据。
在 Sentinel 的多个方面使用 IP 流数据,例如可视化、事件路由选择、数据联合、报告和关联。
向 IP 流数据应用数据保留策略,这样您储存数据的时长可按需设置。
升级 Sentinel 后,您可以继续使用 NetFlow 功能或选择配置 IP 流数据集合。但是,可使用 IP 流数据集合和可视化功能后,之前可用的 NetFlow 功能,包括 NetFlow 视图现已弃用,将来将去除这些功能,以优化用户体验。
启用 IP 流数据集合后:
IP 流数据将收集为事件,因此应为 EPS 计数考虑此类事件。
您将失去启用 IP 流前收集的所有 NetFlow 数据。弃用的 NetFlow 系统保留期最长为 3 天。您可以按需要时长保留 IP 流事件。
您无法将启用 IP 流之前收集的 NetFlow 数据迁移到 IP 流功能。
您无法恢复配置,除非重新安装 Sentinel。
您将登出 Sentinel 主仪表板并需要重新登录。
要配置 IP 流数据集合:
安装和配置 ArcSight SmartConnector。配置时,确保配置收集 IP 流数据的相关 SmartConnector。
关于配置 SmartConnector 的相关信息,请参见 Sentinel 插件网站中的 Generic Universal CEF Collector(一般通用 CEF 收集器)文档。
在 Sentinel 主仪表板 > 集合 > IP 流中,选择收集 IP 流数据,然后单击启用。
注:由于现在 IP 流事件发送至 Collector Manager,您将不再需要使用 NetFlow Collector Manager。因此,可卸装任意现有 NetFlow Collector Manager。有关详细信息,请参见卸载 NetFlow Collector Manager。