Filtros de captura
Utilice filtros de captura para seleccionar el tráfico que desea incluir en los logs de flujo o los VTAP.
Puede crear dos tipos de filtros de captura: filtros de captura de registro de flujo y filtros de captura de VTAP. Ambos tipos utilizan reglas para incluir o excluir paquetes. Los filtros de captura de logs de flujo también le permiten especificar un ratio de muestreo.
Muchos VTAP o logs de flujo pueden utilizar filtros de captura. Al cambiar la configuración de un filtro de captura, se ven afectados todos los recursos que utilizan ese filtro de captura. Solo puede utilizar filtros de captura del tipo adecuado con un recurso. Por ejemplo, no puede usar un filtro de captura de VTAP con un log de flujo.
Para obtener más información, consulte Logs de flujo de VCN y Puntos de acceso de prueba virtual.
Ratio de Muestreo
Al crear un filtro de captura de log de flujo, puede especificar un ratio de muestreo. La velocidad de muestreo del filtro de captura controla el porcentaje de flujos de red que desea que capture el log de flujos. A continuación, el filtro de captura aplica reglas para incluir o excluir paquetes del flujo del registro.
Reglas
Un filtro de captura debe tener al menos una regla y puede tener hasta 10 reglas. Las reglas del filtro de captura se examinan en el orden de secuencia que defina. Cuando se encuentra una coincidencia, se aplica esa regla. Si no se encuentra ninguna coincidencia en una regla concreta, la siguiente regla de la secuencia se evalúa y se ejecuta si coincide. La reordenación de las reglas puede cambiar el comportamiento del filtro de captura. Un filtro de captura puede realizar una acción (ya sea incluir o excluir un paquete) según los siguientes tipos de criterios:
- El paquete forma parte del tráfico de entrada o salida.
- El paquete se envía o procede de un prefijo IPv6 o un bloque de CIDR IPv4 de origen o destino específico
- El paquete utiliza un parámetro de protocolo IP específico (rango de puertos TCP o UDP, ICMP , ICMPv6) utilizado por el tráfico, o cualquier protocolo (utilizando el valor por defecto, Todo).
Si una regla no especifica un bloque de CIDR, un prefijo o un protocolo IP, se aceptan todas las direcciones IP o protocolos IP para esa regla.
A continuación se muestra un ejemplo práctico de cómo estructurar un juego de reglas. La intención es que se incluya todo el tráfico de 10.1.0.0/16, excepto 10.1.1.1, que se excluye:
- CIDR de origen: 10.1.1.1/32, excluir
- CIDR de origen: 10.1.0.0/16, incluir
- CIDR de origen: 10.1.1.0/24, incluir
El filtro de captura evalúa cada paquete del tráfico con respecto a las reglas en el orden de secuencia definido. Un paquete procedente de 10.1.1.1 coincide con la primera regla y se excluye del tráfico reflejado. El paquete no se compara con las otras reglas del juego. El juego de reglas funciona según lo previsto.
Si la primera regla se mueve para ser la tercera en el orden de secuencia, el juego de reglas dejará de funcionar como estaba previsto:
- CIDR de origen: 10.1.0.0/16, incluir
- CIDR de origen: 10.1.1.0/24, incluir
- CIDR de origen: 10.1.1.1/32, excluir
Dado que las reglas del filtro de captura evalúan cada paquete del tráfico en el orden de secuencia definido. Un paquete procedente de 10.1.1.1 ahora coincide con la primera regla y se incluye en el tráfico reflejado. Se omiten otras evaluaciones de reglas. En este ejemplo se utilizan bloques CIDR, pero las reglas se evalúan de la misma forma independientemente del tipo de origen que elija.
Si un paquete no coincide con ninguna regla, se ignora y no se incluye en el log. Si desea que los paquetes que no se especifiquen de otro modo en una regla se incluyan en un log, puede crear una regla de inclusión para el CIDR de origen de 0.0.0.0/0. Esto captura cualquier paquete "de sobra" en un log que no se ha capturado en una regla anterior.
A continuación se muestra un ejemplo: la intención es que se excluya todo el tráfico de 10.1.1.1 y se incluya todo lo demás.
- CIDR de origen: 10.1.1.1/32, excluir
- CIDR de origen: 0.0.0.0/0, incluir
El uso de 0.0.0.0/0 para registrar paquetes puede producir una gran cantidad de datos de log.