Deduplikacja
Jeśli wdrożenie produktu IBM® QRadar® obejmuje wiele kolektorów przepływu , które udostępniają dane do partycji Flow Processor, można skonfigurować deduplikację przepływu w celu usunięcia zduplikowanych przepływów. Proces deduplikacji przepływu zapewnia, że rekordy przepływu o tym samym unikalnym identyfikatorze są zgłaszane tylko jeden raz.
- Id. źródła przepływu
- Nazwa źródła przepływu
- Źródło ASN
- Miejsce docelowe ASN
- Indeks wejściowy IF
- Indeks wyjściowy IF
Konfigurowanie deduplikacji przepływu
Deduplikację przepływu można skonfigurować tak, aby była wykonywana w kolektorze przepływu lub w konsoli Flow Processor.
Gdy kolektor przepływu odbiera dane z dwóch różnych źródeł przepływu, które monitorują tę samą część sieci, należy skonfigurować deduplikację w urządzeniu Kolektor przepływu . Na przykład kolektor przepływu może odbierać dane od 3rd eksportera przepływu podmiotu, jak również własnej sieci TAP.
Jeśli istnieją dwa różne kolektory przepływu , które monitorują nakładające się części sieci, poszczególne kolektory przepływu nie są świadomione operacji deduplikacji. W tym scenariuszu deduplikacja zostanie skonfigurowana na urządzeniu Flow Processor .
Metodę deduplikacji przepływu można ustawić w ustawieniach konfiguracyjnych urządzenia. Więcej informacji na ten temat zawiera sekcja Konfigurowanie kolektora przepływu.