Filtros de Captura
Use filtros de captura para selecionar qual tráfego incluir nos logs de fluxo ou nos VTAPs.
Você pode criar dois tipos de filtros de captura: filtros de captura de Log de fluxo e filtros de captura de VTAP. Ambos os tipos usam regras para incluir ou excluir pacotes. Os filtros de captura de log de fluxo também permitem especificar uma taxa de amostragem.
Os filtros de captura podem ser usados por muitos VTAPs ou logs de fluxo. Quando você altera a configuração de um filtro de captura, todos os recursos que usam esse filtro de captura são afetados. Você só pode usar filtros de captura do tipo apropriado com um recurso. Por exemplo, você não pode usar um filtro de captura VTAP com um log de fluxo.
Para obter mais informações, consulte Logs de Fluxo da VCN e Pontos de Acesso de Teste Virtual.
Taxa de Amostra
Ao criar um filtro de captura de log de fluxo, você pode especificar uma taxa de amostragem. A taxa de amostragem do filtro de captura controla a porcentagem de fluxos de rede que você deseja que o log de fluxo capture. Em seguida, as regras são aplicadas pelo filtro de captura para incluir ou excluir pacotes no fluxo do log.
Regras
Um filtro de captura deve ter pelo menos uma regra e pode ter até 10 regras. As regras do filtro de captura são examinadas na ordem de sequência definida. Quando uma correspondência é encontrada, essa regra é aplicada. Se nenhuma correspondência for encontrada em uma regra específica, a próxima regra na sequência será avaliada e executada se houver correspondência. A reordenação das regras pode alterar o comportamento do filtro de captura. Um filtro de captura pode executar uma ação (incluir ou excluir um pacote) com base nos seguintes tipos de critérios:
- O pacote faz parte do tráfego de entrada ou saída
- O pacote está vinculado a ou vindo de um bloco CIDR IPv4 ou de um prefixo IPv6 de determinada origem ou destino
- O pacote usa um parâmetro de protocolo IP específico (faixa de portas TCP ou UDP, ICMP, ICMPv6) usado pelo tráfego ou quaisquer protocolos (usando o padrão, Todos)
Se uma regra não especificar um bloco CIDR, um prefixo ou um protocolo IP, todos os endereços IP ou protocolos IP serão aceitos para essa regra.
Veja um exemplo de como estruturar um conjunto de regras. A intenção é que todo o tráfego de 10.1.0.0/16 seja incluído, exceto 10.1.1.1, que é excluído:
- CIDR de Origem: 10.1.1.1/32, Excluir
- CIDR de Origem: 10.1.0.0/16, Incluir
- CIDR de Origem: 10.1.1.0/24, Incluir
O filtro de captura avalia cada pacote no tráfego em relação às regras na ordem de sequência definida. Um pacote de 10.1.1.1 corresponde à primeira regra e é excluído do tráfego espelhado. O pacote não é comparado com as outras regras do conjunto. O conjunto de regras funciona conforme o esperado.
Se a primeira regra for movida para o terceiro lugar na ordem de sequência, o conjunto de regras não funcionará mais como esperado:
- CIDR de Origem: 10.1.0.0/16, Incluir
- CIDR de Origem: 10.1.1.0/24, Incluir
- CIDR de Origem: 10.1.1.1/32, Excluir
Como as regras do filtro de captura avaliam cada pacote no tráfego na ordem de sequência definida, um pacote de 10.1.1.1 agora corresponde à primeira regra e está incluído no tráfego espelhado. Outras avaliações de regra são ignoradas. Este exemplo usa blocos CIDR, mas as regras são avaliadas da mesma maneira, independentemente do tipo de origem escolhido.
Se um pacote não corresponder a nenhuma regra, ele será ignorado e não será incluído no log. Se quiser que pacotes que não sejam especificados em uma regra sejam incluídos em um log, você poderá criar uma regra Incluir para o CIDR de origem de 0.0.0.0/0. Isso captura todos os pacotes "sobras" em um log que não foram capturados em uma regra anterior.
Veja um exemplo: A intenção é que todo o tráfego de 10.1.1.1 seja excluído e todo o restante seja incluído.
- CIDR de Origem: 10.1.1.1/32, Excluir
- CIDR de Origem: 0.0.0.0/0, Incluir
O uso de 0.0.0.0/0 para pacotes de log pode produzir uma grande quantidade de dados de log.