―uzel nuqtalari‖ da, masalan, tarmoq segmentlari marshrutizatorlari 
chegarasida qoʼyish samaralidir. 
- Kollektor sensorlardan maʼlumotlarni yigʼadi. Qabul qilingan 
fayllarni u keyinchalik ishlov berish uchun faylga tashlaydi. Turli 
kollektorlar maʼlumotlarni turli formatlarda saqlaydi. 
- Аnalizator, yoki qayta ishlash tizimi bu fayllarni hisoblaydi va 
hisobotlarni odamlarga qulay shaklda generirovka qiladi. Bu tizim kollektor 
taqdim qilgan maʼlumotlar bilan kirishishi kerak. Zamonaviy tizimlarda 
kollektor va analizator bir sitemaga birlashtirilgan. 
Odatda kollektor va analizator serverda ishlovchi bitta dastur kompleksi 
qismlari hisoblanadi. PO kollektor/analizator turlari juda koʼp - pulli va 
bepul, Windows va Unix-tizimlari ga asoslangan. 
Taʼkidlash joizki, kollektor va uning orqasida joylashgan analizator 
tizimning passiv elementlari hisoblanadi. Mohiyatan, server koʼtarilgan 
boʼlsa, monitoringga va serverga tushadigan qurilmalarni qoʼlda qoʼshishimiz 
shart emas. Sensor hisobotlarni yuboradi, kollektor ularni qabul qiladi, 
analizator roʼyxatdan oʼtkazadi. Аgar sensor oʼchirilgan boʼlsa, u joriy 
onlaynstatistikadan yoʼqolib qoladi. 
NetFlow trafik kollektori toʼgʼrisidagi maʼlumotlarni yuborish uchun 
UDP va SCTPdan foydalanadi. Odatda, kollektor 2055, 9555 yoki 9995 (yoki siz 
kollektor va sensor qurilmasida koʼrsatadigan) portlarini tinglaydi. 
Sensor quyidagi parametrlar bilan xarakterlanadigan trafikdan oʼtayotgan 
oqimlarni ajratadi: 
1. Manba manzili; 
2. Topshiriq manzili; 
3. UDP va TCP manzil port; 
4. UDP va TCP uchun port topshirig’i; 
5. ICMP uchun habar kodi va turi; 
6. IP protocol raqami; 
7. Tarmoq interfeys (ifindex SNMP параметр);
8. IP Type of Service. 
NetFlow – CiscoSystems kompaniyasi tomonidan ishlab chiqilgan tarmoq 
trafigini hisoblash uchun moʼljallangan tarmoq protokolidir. Аsoslangan 
sanoat standarti hisoblanadi va nafaqat Cisco qurilmasi tomonidan, balki 
boshqa koʼplab qurilmalar tomonidan qoʼllab quvvatlanadi 
(xususan, Juniper, MikroTik va Enterasys). Shuningdek, . UNIX ga oʼxshagai 
tizimlar uchun mustaqil realizatsiyalar ham mavjud. Protokotning bir necha 
versiyalari mavjud boʼlib, 2011-yilda 5 va 9 versiyalari keng tarqaldi. 9 versiya 
asosida, shuningdek IPFIX (InternetProtocolFlowInformationeXport IP oqimlari 

toʼgʼrisida eksport informatsiyasi ). 
Oqim deb - bir yoʼnalishda oʼtadigan paketlar toʼplamiga aytiladi. Sensor 
oqim tugaganini aniqlaganda, (paket parametrlari oʼzgargani yoki TCP - sessiya 
ishdan chiqishi bilan) u maʼlumotni kollektorga yuboradi. Qurilmalarga bogʼliq 
tarzda, u, shuningdek, kollektorga haliyam davom etayotgan oqimlar haqidagi 
maʼlumotni vaqti-vaqti bilan yuborishi mumkin. Bu juda muhimdir – sensor 
qqurilmasida biz qaysi parametrlar boʼyicha yuborilgan maʼlumot hisobotlarda 
birlashtirilishini qaror qilamiz. 
Protokol raqami versiyai; 
1. Yozib olish raqami; 
2. Kiruvchi va chiquvchi tarmoq interfeysi; 
3. Oqim boshlanishi va tugashi vaqti; 
4. Oqimda bayt va paketlar miqdori; 
5. Manba va topshiriq manzili; 
6. Manba va topshiriq manzili; 
7. IP protokoli raqami; 
8. Type of Service miqdori; 
9. TCP-bogʼlanishlar uchun — flaga bogʼlanishi davomidagi barcha 
kuzatuvlar; 
10. Shlyuza manzili; 
11. Manba va topshiriq manzili. 
Аgar sensor sifatida tarmoq qurilmasi kelsa, NetFlow resurslarini 
tejash maqsadida asosiy statistika yigʼishni istalgan interfeyslar uchun 
qoʼshiladi. 
Protsessor resurslarini tejash maqsadida, shuningdek «sampledNetFlow» 
qoʼllaniladi. Bunday vaziyatda sensor hamma emas, balki har bir n-paketni 
tahlil qiladi, bunda n administrativ yoki tasodifiy tarzda belgilangan 
boʼlishi mumki. sampledNetFlow qoʼllanilganda olingan miqdorlar aniq emas, 
baholovchi boʼladi. 

Download 0.79 Mb.

Do'stlaringiz bilan baham: