CiscoがASAソフトウェア v8.2のリリースを開始した時に、とても盛り上がりました。ついにCiscoが他のキーデバイスのためのネットフローサポートを全ての人のネットワークに含みました。当然ながら、みんなASA用にネットフローを有効にする最新のコンフィグを探しています。

 

しかし、ネットフローコレクターが一度それらASAネットフローレコードに着手すると、奇妙な結果が出てきます。

 

数ヶ月前、お客様にいくつかの答えを見つけるのを手伝ってくれるよう頼みました。Wiresharkの助けにより、このパズルを解くための大量なデータを収集しました。

懸命な研究の末、とうとういくつかの答えに辿り着きました・・・。

 

ASA firewallからのネットフローエクスポート機能はNSELとして分類されます。

 

NetFlow Security Event Logging

 

NSELの目的はネットフローを使ってfirewallイベントを追跡し、そのイベントタイプと関連する全てのコンバセーションのサマリーを持つことです。

 

ですので、ネットフローエクスポートのためにASAを設定する時にネットフローコレクターを使って監視したいイベントを選んでいることになります。現在、監視できるイベントは3種類あります。

 

・    Flow Create

・    Flow Denied

・    Flow Teardown

 

ネットフローv9をエクスポートしている各ルータとは違い、ASAのためにイベントタイプを監視している時はそのイベントのためにエクスポートされることができる複数の固有テンプレートがあります。例えば、FLOW CREATEイベントだと、エクスポートされることができる4つのテンプレートがあります。

 

2つのテンプレートはIPv4アドレスの使用と関連づいています。残り2つはIPv6と関連づいています。

 

3つのイベントタイプ全てを統合すると、コレクターを管理するために17もの固有テンプレートができます!

 

先に少し述べたように、それらのテンプレートは一般のネットフローv9のフォーマットに従っているにも関らず、いくつかは独自の方向に進んでいってしまっています・・・。

 

しかし、それはパート2で解決します。