ASA Netflow支持

Question

Cisco支持名为netflow安全事件日志(NSEL)的NetFlow版本。收集器是否需要对协议的特殊支持才能查看流？该协议是否与传统的netflow收集器兼容？在我的实现中，我计划只将成功的流发送给收集器。

Answer 1

我们的ASA(Version8.2(X))使用Netflow版本9发送给SolarWinds猎户座收集器，我们不需要做任何特殊的事情来使它工作。SolarWinds有一个文档，很好地解释了"normal“和"ASA”Netflow在这里的区别：http://www.solarwinds.com/documentation/Netflow/docs/understandingciscoasanetflow.pdf。

如果有帮助的话，这里有一个示例配置：

access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
 match access-list flow_export_acl
 description Netflow
 class flow_export_class
  flow-export event-type all destination collector_IP-address

Answer 2

NSEL记录仅在流创建、删除或ACL拒绝事件期间发送，并使用NetFlow v9字段和模板。这是思科在ASA上拥有一个关于Netflow的文档，最后它谈到了收集器的互操作性。我个人使用过审查器，一切都很完美。

编辑: Plixer也做了一个关于什么是NSEL的“深潜”。

Answer 3

我以前在ASAs上使用过netflow，它只需要在您的收集器上使用v9兼容性。