在里面前面的文章我们讨论了如何使用NetFlow、IPFIX和各种其他流导出协议来为我们提供一些应用程序流量可见性。然而,没有什么比原始数据包解码提供更多的细节。一个名为AppFlow的新协议有望为管理员提供他们需要的数据,同时仍然在混合拓扑环境中工作。如果与IPFIX兼容,AppFlow将提供这些应用程序协议的细节,随着越来越多的供应商采用该协议,它将变得更加流行。AppFlow在提供具有流导出协议的性能和灵活性的应用程序层细节之间取得了恰当的平衡。
输入演示applow:
演示applow是一个流程图,出口协议,不仅提供了有关已经取得的TCP连接的细节,但它也包括关于应用程序的连接的细节。AppFlow提供TCP连接(例如源/目的IP地址,源/目的地TCP端口号,流量体积,时间戳),其类似于NetFlow和IPFIX的信息。事实上,AppFlow是兼容IPFIX。IPFIX允许供应商使用供应商ID来创建要导出的自己的专有信息。供应商可以将他们想要的任何东西放入该导出,IPFIX支持可变长度字段(NetFlow不支持)。AppFlow只是IPFIX的一种形式,它关注于应用程序数据。此外,AppFlow使用了不同的名称,因此给人的印象是它与IPFIX完全不同。
应用程序层数据也在AppFlow流数据中导出。AppFlow还提供有关HTTP信息和其他应用程序性能数据的信息。AppFlow流记录包括往返时间(RTT)和协议延迟等信息。AppFlow记录还包括有关HTTP URL、HTTP请求方法和响应状态代码的信息。AppFlow还使用事务ID、连接ID和自定义ID。
还有的AppFlow架构的两个组成部分:一台发电机和消费者。这样想,可能传统的NetFlow发送/ IPFIX数据路由器发电机。消费者可以看作是类似的NetFlow / IPFIX收集器或分析器计算机/服务。所述AppFlow发生器褶裥高达有关应用程序的信息流,然后将它们发送到消费者用于聚集,显示,分析和归档。所述AppFlow发生器/消费者术语是相似到NetFlow / IPFIX出口/集电极结构。名称不同,但相同的概念和功能。
AppFlow的另一个好处是它可以在基于云的系统上工作。它不需要物理tap、SPAN、端口镜像或物理探针。AppFlow也不需要在物理或虚拟服务器上安装代理。因此,AppFlow可能正是管理员所需要的,以便让他们能够看到自己的混合云环境。
使用AppFlow的一个关键益处在于,任何标准的NetFlow v9或IPFIX收集器也可以被用于解析AppFlow数据。AppFlow发送使用UDP端口4739与IPFIX协议格式的流量数据。只要收集器必须解析附加AppFlow信息和分析中的数据的能力,该AppFlow数据可以由IT管理员进行分析。事实上,AppFlow有时也被称为IPFIX扩展。
最初AppFlow规范有一个版本,但到2012年5月,AppFlow版本2已经是当前的版本了。AppFlow组织在其网站上记录并维护AppFlow协议appflow.org。
演示applow的实现:
AppFlow可能有点新,但是它得到了越来越多的供应商的支持,并得到了客户的认可。另外,现在支持IPFIX的供应商也可以使用AppFlow。以下是在其产品中支持AppFlow的主要供应商列表。
Citrix是其中最具发言权和前瞻性的供应商之一演示applow并一直倡导使用该议定书。在Citrix上对AppFlow有广泛的支持NetScaler全线产品。甲的Citrix NetScaler应用交付控制器(ADC)可以是AppFlow发生器。AppFlow也支持在CitrixNetScaler 1000 v与思科集成的ADCNexus 1000 v。
Splunk的是“饼干怪兽“IT和机器数据。Splunk的可以成为AppFlow数据的消费者,分析趋势并从大量数据中提取智能结果。啪的一声应用程序从的Citrix NetScalers收集AppFlow数据。还有一个的Splunk应用程序针对Citrix CloudBridge这将是在基于云的拓扑结构,其中一个数据包捕获将是困难的,如果不是不可能的执行有用的。
SolarWinds的软件可以为消费者演示applow数据。SolarWinds的免费即时演示applow分析仪可消耗的各种流出口协议和对这些数据进行分析。
其他公司的软件可以成为AppFlow消费者:
如前所述,任何支持ipfix的系统都可以使用AppFlow。AppFlow和IPFIX具有很强的互操作性和兼容性。
简介:
有许多基于流的网络监控协议可供选择。太多的选择会让消费者感到困惑,并导致分析瘫痪”。了解这些流导出协议之间的差异和相似之处是很有帮助的。然而,这些协议中的大多数只发送关于连接的高层特征和较细粒度细节的信息。没有什么比原始数据包捕获更好的了,只要数据没有被加密,但是原始数据包捕获通常是不可行的或者总是可用的。包捕获也不是长期分析的解决方案。
如果您希望在不必打出来的协议分析器来获得更详细的流程信息,您应该探索AppFlow和IPFIX如何对其进行扩展。问问你的供应商,如果他们支持AppFlow和/或IPFIX,如果没有,当它是怎么回事他们的产品路线图进行优先排序。AppFlow撞击有一协议,可以在许多拓扑工作之间的平衡点,具有良好的性能和低的影响,还是给了你所需要的应用可视性。
斯科特