Référence de l'API Trigger

Méthodes d'instance

Les méthodes de cette section ne peuvent pas être appelées directement sur Application classe. Vous ne pouvez appeler ces méthodes que sur des instances de classe Application spécifiques. Par exemple, la déclaration suivante est valide :

Application("sampleApp").metricAddCount("responses", 1);

Toutefois, la déclaration suivante n'est pas valide :

Application.metricAddCount("responses", 1);

commit(id: Corde ): vide

Crée une application, valide les métriques intégrées associées à l'événement dans l' application et ajoute l'application à tous les enregistrements intégrés ou personnalisés enregistrés pendant l'événement.

L'ID de l'application doit être une chaîne. Pour les métriques intégrées aux applications, les métriques ne sont validées qu'une seule fois, même si commit() La méthode est appelée plusieurs fois lors du même événement.

L'instruction suivante crée une application nommée « MyApp » et valide les métriques intégrées dans l' application :

Application("myApp").commit();

Copier

Si vous envisagez de valider des métriques personnalisées dans une application, vous pouvez créer l'application sans appeler le commit() méthode. Par exemple, si l'application n'existe pas encore, l'instruction suivante crée l'application et valide la métrique personnalisée dans l' application :

Application("myApp").metricAddCount("requests", 1);

Copier

Vous pouvez appeler le Application.commit méthode uniquement sur les événements suivants :

Types de métriques	Événement
AAA	AAA_REQUEST -et- AAA_RESPONSE
AJP	AJP_RESPONSE
CIFS	CIFS_RESPONSE
DB	DB_RESPONSE
DHCP	DHCP_REQUEST -et- DHCP_RESPONSE
DNS	DNS_REQUEST -et- DNS_RESPONSE
FIX	FIX_REQUEST -et- FIX_RESPONSE
FTP	FTP_RESPONSE
HTTP	HTTP_RESPONSE
IBMMQ	IBMMQ_REQUEST -et- IBMMQ_RESPONSE
ICA	ICA_TICK -et- ICA_CLOSE
Kerberos	KERBEROS_REQUEST -et- KERBEROS_RESPONSE
LDAP	LDAP_REQUEST -et- LDAP_RESPONSE
Memcache	MEMCACHE_REQUEST -et- MEMCACHE_RESPONSE
Modbus	MODBUS_RESPONSE
MongoDB	MONGODB_REQUEST -et- MONGODB_RESPONSE
NAS	CIFS_RESPONSE -et/ou- NFS_RESPONSE
NetFlow	NETFLOW_RECORD Notez que la validation n'aura pas lieu si des identifiants d'entreprise sont présents dans l'enregistrement NetFlow.
NFS	NFS_RESPONSE
RDP	RDP_TICK
Redis	REDIS_REQUEST -et- REDIS_RESPONSE
RPC	RPC_REQUEST -et- RPC_RESPONSE
RTP	RTP_TICK
RTCP	RTCP_MESSAGE
SCCP	SCCP_MESSAGE
SIP	SIP_REQUEST -et- SIP_RESPONSE
SFlow	SFLOW_RECORD
SMTP	SMTP_RESPONSE
SSH	SSH_CLOSE -et- SSH_TICK
SSL	SSL_RECORD -et- SSL_CLOSE
WebSocket	WEBSOCKET_OPEN, WEBSOCKET_CLOSE, et WEBSOCKET_MESSAGE

metricAddCount(metric_name: Corde , count: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de comptage. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Le nom de la métrique de comptage de niveau supérieur.

count: Numéro

La valeur de l'incrément. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir la propriété suivante :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailCount(metric_name: Corde , key: Corde | Adresse IP , count: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de comptage par lequel vous pouvez approfondir. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Nom de la métrique du nombre de détails.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

count: Numéro

La valeur de l'incrément. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir la propriété suivante :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDataset(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de l'ensemble de données. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Nom de la métrique de l'ensemble de données de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

freq: Numéro

Option qui vous permet d'enregistrer simultanément plusieurs occurrences de valeurs particulières dans l'ensemble de données lorsque le nombre d'occurrences est défini par le val paramètre. Si aucune valeur n'est spécifiée, la valeur par défaut est 1.

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailDataset(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de l'ensemble de données par lequel vous pouvez approfondir. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Nom de la métrique du nombre de détails.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

freq: Numéro

Option qui vous permet d'enregistrer simultanément plusieurs occurrences de valeurs particulières dans l'ensemble de données lorsque le nombre d'occurrences est défini par le val paramètre. Si aucune valeur n'est spécifiée, la valeur par défaut est 1.

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDistinct(metric_name: Corde , item: Numéro | Corde | Adresse IP :void

Crée une personnalisation niveau supérieur métrique de comptage distincte. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Nom de la métrique de comptage distincte de niveau supérieur.

item: Numéro | Corde | Adresse IP

La valeur à placer dans l'ensemble. La valeur est convertie en chaîne avant d'être placée dans l'ensemble.

metricAddDetailDistinct(metric_name: Corde , key: Corde | Adresse IP , item: Numéro | Corde | Adresse IP :void

Crée une personnalisation détail métrique de comptage distincte par lequel vous pouvez approfondir. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Nom de la métrique de comptage distincte détaillée.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

item: Numéro | Corde | Adresse IP

La valeur à placer dans l'ensemble. La valeur est convertie en chaîne avant d'être placée dans l'ensemble.

metricAddMax(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique maximale. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Le nom de la métrique maximale de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailMax(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail métrique maximale par lequel vous pouvez approfondir. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Nom de la métrique maximale de détail.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddSampleset(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur Sampleset métrique. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Le nom de la métrique de l'ensemble d'échantillons de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailSampleset(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail Sampleset métrique par lequel vous pouvez approfondir. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Nom de la métrique détaillée de l'ensemble d'échantillons.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddSnap(metric_name: Corde , count: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de capture d'écran. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Nom de la métrique de capture instantanée de niveau supérieur.

count: Numéro

La valeur observée, telle que les connexions actuellement établies. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailSnap(metric_name: Corde , key: Corde | Adresse IP , count: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de capture d'écran par lequel vous pouvez approfondir. Valide les données métriques dans l'application spécifiée.

metric_name: Corde

Nom de la métrique détaillée de l'ensemble d'échantillons.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

count: Numéro

La valeur observée, telle que les connexions actuellement établies. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

toString(): Corde

Renvoie l'objet Application sous forme de chaîne au format suivant :

[object Application <application_id>]

Copier

Propriétés de l'instance

id: Corde

L'identifiant unique de l'application, tel qu'indiqué dans le système ExtraHop sur la page de cette application.

Exemples de déclencheurs

• Exemple : création d'un conteneur d'applications

Un tampon est un objet présentant les caractéristiques d'un tableau. Chaque élément du tableau est un nombre compris entre 0 et 255, représentant un octet. Chaque objet tampon possède une propriété de longueur (le nombre d'éléments dans un tableau) et un opérateur entre crochets.

La charge utile chiffrée n'est pas déchiffrée pour l'analyse de la charge utile TCP et UDP.

UDP_PAYLOAD nécessite une chaîne correspondante mais TCP_PAYLOAD ne le fait pas. Si vous ne spécifiez pas de chaîne correspondante pour TCP_PAYLOAD, le déclencheur s'exécute une fois après les N premiers octets de charge utile.

Méthodes d'instance

decode(type: Corde ): Corde

Interprète le contenu de la mémoire tampon et renvoie une chaîne avec l'une des options suivantes :

• utf-8
• utf-16
• ucs2
• hex

equals(buffer: Tampon ): Booléen

Effectue un test d'égalité entre les objets Buffer, où buffer est l' objet à comparer.

slice(start: Numéro , end: Numéro ): Tampon

Renvoie les octets spécifiés dans un tampon sous la forme d'un nouveau tampon. Les octets sont sélectionnés à partir de l'argument de début donné et se terminant à l'argument de fin (sans inclure).

start: Numéro

Entier qui indique où commencer la sélection. Spécifiez les nombres négatifs à sélectionner à la fin d'une zone tampon. Il s'agit d'une base zéro.

end: Numéro

Nombre entier facultatif qui indique où terminer la sélection. En cas d'omission, tous les éléments situés entre la position de départ et la fin de la zone tampon seront sélectionnés. Spécifiez les nombres négatifs à sélectionner à la fin d'une zone tampon. Il s'agit d'une base zéro.

toString(format: Corde ): Corde

Convertit le buffer en chaîne. Le paramètre suivant est facultatif :

format: Corde

Le format avec lequel encoder la chaîne. Si aucun encodage n'est spécifié, la chaîne n'est pas encodée. Les formats de codage suivants sont valides :

• base64
• base64url
• hex

unpack(format: Corde , offset: Numéro ): Array

Traite les données binaires ou à largeur fixe à partir de n'importe quel objet tampon, tel que celui renvoyé par HTTP.payload, Flow.client.payload, ou Flow.sender.payload, selon la chaîne de format donnée et, éventuellement, selon le décalage spécifié.

Renvoie un tableau JavaScript contenant un ou plusieurs champs décompressés et contenant la position absolue en octets de charge utile +1 du dernier octet de l'objet décompressé. La valeur en octets peut être spécifiée comme décalage lors d' appels ultérieurs pour décompresser un tampon.

Remarque :

Le buffer.unpack La méthode interprète les octets dans l'ordre big-endian par défaut. Pour interpréter les octets dans l'ordre little-endian, préfixez la chaîne de format avec un signe inférieur à (<). Le format ne doit pas nécessairement consommer la totalité de la mémoire tampon. Les octets nuls ne sont pas inclus dans les chaînes décompressées. Par exemple : buf.unpack('4s')[0] - > 'example'. Le caractère de format z représente des chaînes de longueur variable terminées par des valeurs nulles. Si le dernier champ est z, la chaîne est produite, que le caractère nul soit présent ou non. Une exception est déclenchée lorsque tous les champs ne peuvent pas être décompressés car la mémoire tampon ne contient pas suffisamment de données.

Le tableau ci-dessous répertorie les formats de chaîne de mémoire tampon pris en charge :

Formater	Type C	Type de JavaScript	Taille standard
x	pad type	aucune valeur
A	struct in6_addr	IPAddress	16
a	struct in_addr	IPAddress	4
b	signed char	string of length 1	1
B	unsigned char	number	1
?	_Bool	boolean	1
H	court métrage non signé	number	2
h	short	number	2
i	int	number	4
I	unsigned int	number	4
l	long	number	4
L	unsigned long	number	4
q	long long	number	8
Q	unsigned long long	number	8
f	number	number	4
d	double	number	4
s	char[]	string
z	char[]	string

Propriétés de l'instance

length: Numéro

Le nombre d'octets dans la mémoire tampon.

Exemples de déclencheurs

• Exemple : analyse NTP avec analyse de charge utile universelle
• Exemple : analyse du syslog sur TCP avec une analyse de charge utile universelle

Évènements

DETECTION_UPDATE

S'exécute lorsqu'une détection est créée ou mise à jour sur le système ExtraHop.

Important :

Cet événement s'exécute pour toutes les détections, quel que soit l'accès au module accordé à l'utilisateur qui crée le déclencheur. Par exemple, les déclencheurs créés par les utilisateurs ayant accès au module NPM s'exécutent sur DETECTION_UPDATE événements pour les détections de sécurité et de performance.

Remarque :

Cet événement ne se produit pas lorsque le statut d'un ticket de détection est mis à jour. Par exemple, la modification d'un responsable de la détection n'entraîne pas l'exécution de l'événement DETECTION_UPDATE. Cet événement ne s'exécute pas non plus pour les détections masquées.

Remarque :

Vous ne pouvez pas attribuer des déclencheurs qui s'exécutent uniquement lors de cet événement à des appareils ou à des groupes d'équipements spécifiques. Les déclencheurs qui s'exécutent lors de cet événement seront exécutés chaque fois que cet événement se produira.

Propriétés

applianceId: Numéro

Si l'on fait appel à console, renvoie l'ID de la sonde connectée sur laquelle la détection s'est produite. En cas d'appel à une sonde, renvoie 0.

assignee: Corde

Destinataire du ticket associé à la détection.

categories: Tableau de chaînes

Liste des catégories auxquelles appartient la détection.

description: Corde

Description de la détection.

Conseil :

Il est souvent plus facile d'extraire des informations relatives à une détection à partir du Detection.properties propriété plutôt que d'analyser le Detection.description texte. Pour plus d'informations, consultez le Detection.properties description.

Le tableau suivant indique les formats Markdown courants que vous pouvez inclure dans la description :

Formater	Descriptif	Exemple
Rubriques	Placez un signe numérique (#) devant votre texte pour mettre en forme les en-têtes. Le niveau du titre est déterminé par le nombre de signes numériques.	####Example H4 heading
Listes non ordonnées	Placez un astérisque (*) avant votre texte.	* First example * Second example
Listes ordonnées	Placez un seul chiffre et un point (1.) avant votre texte.	1. First example 2. Second example
AUDACIEUX	Placez des astérisques doubles avant et après votre texte.	**bold text**
Italiques	Mettez un trait de soulignement avant et après votre texte.	_italicized text_
Hyperliens	Placez le texte du lien entre crochets avant l'URL entre parenthèses. Ou saisissez votre URL. Les liens vers des sites Web externes s'ouvrent dans un nouvel onglet du navigateur. Les liens du système ExtraHop, tels que les tableaux de bord, s'ouvrent dans l'onglet actuel du navigateur.	[Visit our home page](https://www.extrahop.com) https://www.extrahop.com
Citations en blocs	Placez un crochet à angle droit et un espace avant votre texte.	On the ExtraHop website: > Access the live demo and review case studies.
Emojis	Copiez et collez une image emoji dans la zone de texte. Voir le Graphique Emoji Unicode site Web pour les images. La syntaxe Markdown ne prend pas en charge les shortcodes emoji.

endTime: Numéro

Heure de fin de la détection, exprimée en millisecondes depuis l'époque.

id: Numéro

Identifiant unique pour la détection.

isCustom: Booléen

La valeur est true s'il s'agit d'une détection personnalisée générée par un déclencheur.

mitreCategories: Tableau d'objets

Ensemble d'objets contenant les techniques et tactiques MITRE associées à la détection. Chaque objet contient les propriétés suivantes :

id

L'identifiant de la technique ou de la tactique MITRE.

name

Le nom de la technique ou de la tactique MITRE.

url

Adresse Web de la technique ou de la tactique sur le site Web de MITRE.

participants: Tableau d'objets

Un ensemble d'objets participants associé à la détection. Un objet participant contient les propriétés suivantes :

object: Objet

Appareil, application ou objet d'adresse IP associé au participant.

id: Numéro

L'identifiant du participant.

role: Corde

Le rôle du participant dans la détection. Les valeurs suivantes sont valides :

• offender
• victim

properties: Objet

Objet contenant les propriétés de la détection. Seuls les types de détection intégrés incluent des propriétés de détection. Le type de détection détermine les propriétés disponibles.

Les noms de champ de l'objet sont les noms des propriétés de détection. Par exemple, le type de détection Anonymous FTP Auth Enabled inclut le client_port propriété, à laquelle vous pouvez accéder avec le code suivant :

Detection.properties.client_port

Copier

Pour afficher les noms des propriétés de détection, consultez les types de détection à l'aide du GET /detections/formats opération dans l'API REST ExtraHop.

Conseil :

Dans l'éditeur de déclencheur, vous pouvez afficher des propriétés de détection valides grâce à la fonctionnalité de saisie semi-automatique si vous incluez une logique qui détermine le type de détection. Par exemple, si le déclencheur contient le code suivant et que vous tapez un point après « propriétés », l'éditeur de déclencheur affiche les propriétés valides pour la détection activée par authentification FTP anonyme : if (Detection.type === 'anonymous_ftp') { Detection.properties } Copier

resolution: Corde

Résolution du ticket associé à la détection. Les valeurs valides sont action_taken et no_action_taken.

riskScore: nombre | nul

L'indice de risque associé à la détection.

startTime: Numéro

Heure à laquelle la détection a commencé, exprimée en millisecondes depuis l'époque.

status: Corde

État du ticket associé à la détection. Les valeurs valides sont acknowledged, new, in_progress, et closed.

ticketId: Corde

L'ID du ticket associé à la détection.

title: Corde

Titre de la détection.

type: Corde

Type de détection. Pour les détections personnalisées, « personnalisé » est ajouté au début de la chaîne définie par l' utilisateur. Par exemple, si vous spécifiez brute_force_attack dans le commitDetection fonction, le type de détection est custom.brute_force_attack.

updateTime: Numéro

Dernière mise à jour de la détection, exprimée en millisecondes depuis l'époque.

Méthodes

Device(id: Corde )

Constructeur de l'objet Device qui accepte un paramètre, qui est un identifiant de chaîne unique de 16 caractères.

S'il est fourni avec un identifiant provenant d'un objet Device existant, le constructeur crée une copie de cet objet avec toutes les propriétés de l'objet, comme illustré dans l' exemple suivant :

myDevice = new Device(Flow.server.device.id);
debug("myDevice MAC: " + myDevice.hwaddr);

Copier

Métriques associées à un objet Device par le biais d'un metricAdd* les fonctions sont conservées dans la banque de données

lookupByIP(addr: Adresse IP | Corde , vlan: Numéro ): Appareil

Renvoie l'équipement L3 qui correspond à l'adresse IP et à l'ID de VLAN spécifiés. Retours null si aucune correspondance n'est trouvée.

addr: Adresse IP | Corde

L'adresse IP de l'équipement. L'adresse IP peut être spécifiée en tant que IPAddress objet ou sous forme de chaîne.

vlan: nombre

L'ID VLAN de l'équipement. Renvoie une valeur par défaut de 0 si aucun ID de VLAN n'est fourni ou si la valeur du devices_across_vlans les paramètres sont définis sur true dans le fichier de configuration en cours d'exécution.

lookupByMAC(addr: Corde , vlan: Numéro ): Appareil

Renvoie l'équipement L2 qui correspond à l'adresse MAC et à l'ID VLAN spécifiés. Retours null si aucune correspondance n'est trouvée.

addr: Corde

L'adresse MAC de l'équipement.

vlan: Numéro

L'ID VLAN de l'équipement. Renvoie une valeur par défaut de 0 si aucun ID de VLAN n'est fourni ou si la valeur du devices_across_vlans les paramètres sont définis sur true dans le fichier de configuration en cours d'exécution.

toString(): Corde

Renvoie l'objet Device sous forme de chaîne au format suivant :

[object Device <discovery_id>]

Copier

Méthodes d'instance

Les méthodes décrites dans cette section ne sont présentes que sur les instances de la classe Device. La plupart des méthodes vous permettent de créer des mesures personnalisées au niveau de l'appareil, comme illustré dans l'exemple suivant :

Flow.server.device.metricAddCount("slow_rsp", 1);

equals(device: Appareil ): Booléen

Effectue un test d'égalité entre les objets Device, où device est l' objet à comparer.

metricAddCount(metric_name: Corde , count: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de comptage. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Le nom de la métrique de comptage de niveau supérieur.

count: Numéro

La valeur de l'incrément. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir la propriété suivante :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailCount(metric_name: Corde , key: Corde | Adresse IP , count: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de comptage par lequel vous pouvez approfondir. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Nom de la métrique du nombre de détails.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

count: Numéro

La valeur de l'incrément. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir la propriété suivante :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDataset(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de l'ensemble de données. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Nom de la métrique du jeu de données de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

freq: Numéro

Option qui vous permet d'enregistrer simultanément plusieurs occurrences de valeurs particulières dans l'ensemble de données lorsque le nombre d'occurrences est défini par le val paramètre. Si aucune valeur n'est spécifiée, la valeur par défaut est 1.

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailDataset(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de l'ensemble de données par lequel vous pouvez approfondir. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Nom de la métrique du nombre de détails.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

freq: Numéro

Option qui vous permet d'enregistrer simultanément plusieurs occurrences de valeurs particulières dans l'ensemble de données lorsque le nombre d'occurrences est défini par le val paramètre. Si aucune valeur n'est spécifiée, la valeur par défaut est 1.

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDistinct(metric_name: Corde , item: Numéro | Corde | Adresse IP :void

Crée une personnalisation niveau supérieur métrique de comptage distincte. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Le nom de la métrique de comptage distincte de niveau supérieur.

item: Numéro | Corde | Adresse IP

La valeur à placer dans l'ensemble. La valeur est convertie en chaîne avant d'être placée dans l'ensemble.

metricAddDetailDistinct(metric_name: Corde , key: Corde | Adresse IP , item: Numéro | Corde | Adresse IP :void

Crée une personnalisation détail métrique de comptage distincte par lequel vous pouvez approfondir. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Nom de la métrique de comptage distincte détaillée.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

item: Numéro | Corde | Adresse IP

La valeur à placer dans l'ensemble. La valeur est convertie en chaîne avant d'être placée dans l'ensemble.

metricAddMax(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique maximale. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Le nom de la métrique maximale de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailMax(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail métrique maximale par lequel vous pouvez approfondir. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Nom de la métrique maximale de détail.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddSampleset(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur Sampleset métrique. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Le nom de la métrique de l'ensemble d'échantillons de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailSampleset(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail Sampleset métrique par lequel vous pouvez approfondir. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Nom de la métrique détaillée de l'ensemble d'échantillons.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddSnap(metric_name: Corde , count: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de capture d'écran. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Nom de la métrique de capture instantanée de niveau supérieur.

count: Numéro

La valeur observée, telle que les connexions actuellement établies. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailSnap(metric_name: Corde , key: Corde | Adresse IP , count: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de capture d'écran par lequel vous pouvez approfondir. Valide les données métriques vers l'équipement spécifié.

metric_name: Corde

Nom de la métrique détaillée de l'ensemble d'échantillons.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

count: Numéro

La valeur observée, telle que les connexions actuellement établies. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

Propriétés de l'instance

Les propriétés suivantes vous permettent de récupérer les attributs de l'équipement et ne sont présentes que sur les instances de la classe Device.

cdpName: Corde

Le nom CDP associé à l'équipement, s'il est présent.

dhcpName: Corde

Le DHCP nom associé à l'équipement, le cas échéant.

discoverTime: Numéro

La dernière fois que le processus de capture a découvert l'équipement (et non l' heure de découverte initiale), exprimée en millisecondes depuis l'époque (1er janvier 1970). Les appareils découverts précédemment peuvent être redécouverts par le processus de capture s'ils deviennent inactifs puis redeviennent actifs, ou si le processus de capture est redémarré.

Pour demander à un déclencheur de s'exécuter uniquement lors de la découverte initiale d'un équipement, consultez le NEW_DEVICE événement discuté dans le Discover classe.

dnsNames: Array

Tableau de chaînes répertoriant les noms DNS associés à l'équipement, le cas échéant.

hasTrigger: Booléen

La valeur est true si un déclencheur attribué à l'objet Device est en cours d'exécution.

Si le déclencheur est exécuté sur un événement associé à un Flow objet, le hasTrigger la valeur de la propriété est true sur au moins l'un des objets Device du flux.

Le hasTrigger cette propriété est utile pour distinguer les rôles des équipements. Par exemple, si un déclencheur est attribué à un groupe de serveurs proxy, vous pouvez facilement déterminer si un équipement agit en tant que client ou en tant que serveur, plutôt que de vérifier les adresses IP ou les identifiants des appareils, comme dans l'exemple suivant :

//Event: HTTP_REQUEST
if (Flow.server.device.hasTrigger) {
    // Incoming request
} else {
    // Outgoing request
}

Copier

hwaddr: Corde

L'adresse MAC de l'équipement, le cas échéant.

id: Corde

L'identifiant unique à 16 caractères de l'équipement, tel qu'indiqué dans le système ExtraHop sur la page de cet appareil.

ipaddrs: Array

Une gamme de IPAddress objets représentant les adresses IP connues de l' appareil. Pour L3 appareils, la matrice contient toujours une adresse IP.

isGateway: Booléen

La valeur est true si l'équipement est une passerelle.

isL3: Booléen

La valeur est true si l'équipement est un L3 équipement pour enfants.

Important :

Si vous n'avez pas activé le système ExtraHop pour découvrir les appareils par adresse IP, la propriété iS3 est toujours définie sur False car le système ne fait pas de distinction entre les appareils enfants L3 et parents L2.

netbiosName: Corde

Le nom NetBIOS associé à l'équipement, s'il est présent.

vlanId: Numéro

L'ID VLAN de l'équipement.

Exemples de déclencheurs

• Exemple : surveillance des actions CIFS sur les appareils
• Exemple : suivi des réponses HTTP de niveau 500 par ID client et URI
• Exemple : collecte des mesures de réponse sur les requêtes de base de données
• Exemple : envoyer les données de l'équipement découvert à un serveur Syslog distant
• Exemple : accéder aux attributs d'en-tête HTTP
• Exemple : enregistrer les succès et les échecs de Memcache
• Exemple : analyse des clés de cache mémoire
• Exemple : analyse de messages PoS personnalisés avec une analyse de charge utile universelle
• Exemple : ajouter des métriques au magasin du cycle métrique

Évènements

NEW_APPLICATION

S'exécute lorsqu'une application est découverte pour la première fois. Cet événement consomme des ressources de capture.

Remarque :

Vous ne pouvez pas attribuer des déclencheurs qui s'exécutent uniquement lors de cet événement à des appareils ou à des groupes d'équipements spécifiques. Les déclencheurs qui s'exécutent lors de cet événement seront exécutés chaque fois que cet événement se produira.

NEW_DEVICE

S'exécute lorsque l'activité est observée pour la première fois sur un équipement. Cet événement consomme des ressources de capture.

Remarque :

Vous ne pouvez pas attribuer des déclencheurs qui s'exécutent uniquement lors de cet événement à des appareils ou à des groupes d'équipements spécifiques. Les déclencheurs qui s'exécutent lors de cet événement seront exécutés chaque fois que cet événement se produira.

Propriétés

application: Demande

Une application récemment découverte.

S'applique uniquement à NEW_APPLICATION événements.

device: Appareil

Un équipement récemment découvert.

S'applique uniquement à NEW_DEVICE événements.

Remarque :

Vous ne pouvez pas spécifier cette propriété en tant que participant au commitDetection fonction.

Exemples de déclencheurs

• Exemple : envoyer les données de l'équipement découvert à un serveur Syslog distant

Évènements

Si un flux est associé à un ExtraHop surveillé L7 protocole, les événements qui sont en corrélation avec le protocole seront exécutés en plus des événements de flux. Par exemple, un flux associé à HTTP exécutera également le HTTP_REQUEST et HTTP_RESPONSE événements.

FLOW_CLASSIFY

S'exécute chaque fois que le système ExtraHop classe initialement un flux comme étant associé à un protocole spécifique.

Remarque :

Pour les flux TCP, FLOW_CLASSIFY l'événement se déroule après le TCP_OPEN événement.

Grâce à une combinaison de L7 analyse de la charge utile, observation des poignées de main TCP et heuristique basée sur les numéros de port , le FLOW_CLASSIFY l'événement identifie le protocole L7 et les rôles des équipements pour les points de terminaison d'un flux tel que client/serveur ou expéditeur/récepteur.

La nature d'un flux peut changer au cours de sa durée de vie, par exemple en cas de tunneling via HTTP ou de passage du SMTP au SMTP-SSL. Dans ces cas, FLOW_CLASSIFY s'exécute à nouveau après le changement de protocole.

Le FLOW_CLASSIFY cet événement est utile pour lancer une action sur un flux sur la base de la connaissance la plus précoce des informations de flux, telles que le protocole L7, les adresses IP client/serveur ou les ports expéditeur/récepteur.

Actions communes initiées le FLOW_CLASSIFY inclure le démarrage d' une PCAP via captureStart() procédé ou association du flux à un contenant d'application via le addApplication() méthode.

Des options supplémentaires sont disponibles lorsque vous créez un déclencheur qui s'exécute sur cet événement. Par défaut, FLOW_CLASSIFY ne s'exécute pas à l' expiration du flux ; toutefois, vous pouvez configurer un déclencheur pour le faire afin de cumuler des métriques pour les flux qui n'étaient pas classés avant leur expiration. Voir Options de déclencheur avancées pour plus d'informations.

FLOW_DETACH

S'exécute lorsque l'analyseur a rencontré une erreur inattendue ou est à court de mémoire et cesse de suivre le flux. De plus, un flux de données de faible qualité avec des paquets manquants peut provoquer le détachement de l'analyseur.

Le FLOW_DETACH cet événement est utile pour détecter le contenu malveillant envoyé par clients et serveurs. Voici un exemple de la façon dont un déclencheur peut détecter une erreur DNS réponses sur FLOW_DETACH événements :

if (event == "FLOW_DETACH" && Flow.l7proto== "DNS") {
    Flow.addApplication("Malformed DNS");
}

Copier

FLOW_RECORD

Permet l'enregistrement des informations relatives à un flux à des intervalles chronométrés. Après FLOW_CLASSIFY a couru, le FLOW_RECORD cet événement aura lieu tous les N secondes et chaque fois qu'un flux se ferme. La valeur par défaut pour N, appelé intervalle de publication, est de 30 minutes ; la valeur minimale est de 60 secondes. Vous pouvez définir l'intervalle de publication dans les paramètres d'administration.

FLOW_TICK

Vous permet d'enregistrer des informations sur un flux par quantité de données ou par tour. Le FLOW_TICK cet événement aura lieu tous les FLOW_TURN ou tous les 128 paquets, selon la première éventualité. Également, L2 les données sont réinitialisées à chaque FLOW_TICK événement qui vous permet d'additionner des données à chaque coche. Si vous comptez le débit, collectez les données auprès de FLOW_TICK événements qui fournissent des mesures plus complètes que FLOW_TURN.

FLOW_TICK fournit un moyen de vérifier périodiquement l'existence de certaines conditions sur le flux, telles que l'absence de fenêtre ou les délais de Nagle, puis de prendre une action, telle que le lancement d'une PCAP ou l'envoi d'un message syslog.

Voici un exemple de FLOW_TICK:

log("RTT " + Flow.roundTripTime);
Remote.Syslog.info(
  " eh_event=FLOW_TICK" +
  " ClientIP="+Flow.client.ipaddr+
  " ServerIP="+Flow.server.ipaddr+
  " ServerPort="+Flow.server.port+
  " ServerName="+Flow.server.device.dnsNames[0]+
  " RTT="+Flow.roundTripTime);

Copier

FLOW_TURN

S'exécute à chaque tour TCP ou UDP. Un tour représente un cycle complet d'un client transfert des données de demande suivi du transfert d'une réponse par un serveur.

FLOW_TURN expose également un Turn objet.

Méthodes

addApplication(name: Corde , turnTiming: Booléen ): vide

Crée une application portant le nom spécifié et collecte les métriques L2-L4 à partir du flux. L'application peut être consultée dans le système ExtraHop et les métriques sont affichées sur une page L4 de l'application. Un flux peut être associé à une ou plusieurs applications à un instant donné ; les métriques L2-L4 collectées par chaque application seront les mêmes.

Appel Flow.addApplication(name) sur un FLOW_CLASSIFY cet événement est courant sur les protocoles non pris en charge. Pour les flux sur les protocoles pris en charge avec L7 événements déclencheurs, il est recommandé d'appeler le Application(name).commit() méthode, qui collecte un ensemble plus important de métriques de protocole.

L'optionnel turnTiming flag est défini sur false par défaut. S'il est défini sur true, le système ExtraHop collecte des mesures supplémentaires de chronométrage des tours pour le flux. Si cet indicateur est omis, aucune métrique de chronométrage des tours n'est enregistrée pour l'application sur le flux associé. Analyses d'analyse du temps de rotation L4 comportement afin de déduire les temps de traitement L7 lorsque le protocole surveillé suit un modèle de demande client et de réponse du serveur et dans lequel le client envoie le premier message. Les protocoles « bannières » (dans lesquels le serveur envoie le premier message) et les protocoles dans lesquels les données circulent simultanément dans les deux sens ne sont pas recommandés pour l'analyse de la synchronisation des tours.

captureStart(name: Corde , options: Objet ): Corde

Lance une capture de paquets de précision (PPCAP) pour le flux et renvoie un identifiant unique de la capture de paquets sous la forme d'un nombre décimal sous forme de chaîne. Retours null si la PCAP ne démarre pas.

name: Corde

Le nom du fichier de capture de paquets.

• La longueur maximale est de 256 caractères
• Une capture distincte est créée pour chaque flux.
• Les fichiers de capture portant le même nom sont différenciés par des horodatages.

options: Objet

Les options contenues dans l'objet de capture. Omettez l'une des options pour indiquer une taille illimitée pour cette option. Toutes les options s'appliquent à l'ensemble du flux, à l'exception des options « rétrospectives » qui s'appliquent uniquement à la partie du flux précédant l'événement déclencheur qui a lancé la capture de paquets.

maxBytes: Numéro

Le nombre maximum total d'octets.

maxBytesLookback: Numéro

Le nombre maximum total d'octets provenant de la mémoire tampon de visualisation. Le tampon de retour fait référence aux paquets capturés avant l'appel à Flow.captureStart().

maxDurationMSec: Numéro

Durée maximale de la PCAP, exprimée en millisecondes.

maxPackets: Numéro

Le nombre maximum total de paquets. La valeur maximale peut être dépassée si charge du déclencheur est lourd.

maxPacketsLookback: Numéro

Le nombre maximum de paquets provenant de la mémoire tampon de visualisation. Le tampon de retour fait référence aux paquets capturés avant l'appel à Flow.captureStart().

Voici un exemple de Flow.captureStart():

// EVENT: HTTP_REQUEST
// capture facebook HTTP traffic flows
if (HTTP.uri.indexOf("www.facebook.com") !== -1) {
   var name = "facebook-" + HTTP.uri;
   //packet capture options: capture 20 packets, up to 10 from the lookback buffer
   var opts = {
      maxPackets: 20,
      maxPacketsLookback: 10
   };
   Flow.captureStart(name, opts);
}

Copier

Remarque :

Le Flow.captureStart() L'appel de fonction nécessite que vous disposiez d'une licence pour la capture de paquets de précision. Vous pouvez spécifier le nombre d'octets par paquet (snaplen) que vous souhaitez capturer lors de la configuration du déclencheur dans le système ExtraHop. Cette option n'est disponible que pour certains événements. Voir Options de déclencheur avancées pour plus d' informations. Sur les systèmes ExtraHop Performance, les fichiers capturés sont disponibles dans les paramètres d'administration. Sur les systèmes Reveal (x), les fichiers capturés sont disponibles depuis la page Paquets du système ExtraHop. Sur les systèmes ExtraHop Performance, si le disque de capture de paquets de précision est plein, aucune nouvelle capture n'est enregistrée tant que l'utilisateur n'a pas supprimé les fichiers manuellement. Sur les systèmes Reveal, les anciennes captures de paquets sont supprimées lorsque le disque de capture de paquets de précision est plein pour permettre au système de continuer à enregistrer de nouvelles captures de paquets. La longueur maximale de la chaîne de nom de fichier est de 256 caractères. Si le nom dépasse 256 caractères, il sera tronqué et un message d'avertissement sera visible dans le journal de débogage, mais le déclencheur continuera à s'exécuter. La taille du fichier de capture est la valeur maximale atteinte en premier entre maxPackets et maxBytes options. La taille de la mémoire tampon de capture est la valeur maximale atteinte en premier entre maxPacketsLookback et maxBytesLookback options. Chacun a réussi max* le paramètre capturera jusqu'à la limite de paquet suivante. Si la PCAP a déjà été lancée sur le flux en cours, Flow.captureStart() les appels génèrent un avertissement visible dans le journal de débogage, mais le déclencheur continuera à fonctionner. Il existe un maximum de 128 captures de paquets simultanées dans le système. Si cette limite est atteinte, les appels suivants à Flow.captureStart() générera un avertissement visible dans le journal de débogage, mais le déclencheur continuera à s'exécuter.

captureStop(): Booléen

Arrête une PCAP en cours sur le flux actuel.

commitRecord1(): vide

Envoie un enregistrement à l'espace de stockage des enregistrements configuré qui représente les données envoyées depuis device1 dans une seule direction sur le flux.

Vous ne pouvez appeler cette méthode que sur FLOW_RECORD événements, et chaque enregistrement unique n'est validé qu'une seule fois pour les enregistrements intégrés.

Pour afficher les propriétés validées pour l'objet d'enregistrement, consultez record propriété ci-dessous.

commitRecord2(): vide

Envoie un enregistrement à l'espace de stockage des enregistrements configuré qui représente les données envoyées depuis device2 dans une seule direction sur le flux.

Vous ne pouvez appeler cette méthode que sur FLOW_RECORD événements, et chaque enregistrement unique n'est validé qu'une seule fois pour les enregistrements intégrés.

Pour afficher les propriétés validées pour l'objet d'enregistrement, consultez record propriété ci-dessous.

findCustomDevice(deviceID: Corde ): Appareil

Renvoie un seul Device objet qui correspond au paramètre DeviceID spécifié si l'équipement est situé de part et d'autre du flux. Retours null si aucun équipement correspondant n'est trouvé.

getApplications(): Corde

Récupère toutes les applications associées au flux.

Propriétés

Les propriétés et méthodes de l'objet Flow décrites dans cette section sont accessibles à tous L7 événement déclencheur associé au flux.

Par défaut, le système ExtraHop utilise une classification des protocoles mal initiée. Il essaiera donc de classer les flux même après le lancement de la connexion. L'initiation libre peut être désactivée pour les ports qui ne transportent pas toujours le trafic du protocole (par exemple, le port générique 0). Pour de tels flux, device1, port1, et ipaddr1 représenter l'équipement dont l'adresse IP est numériquement inférieure et device2, port2, et ipaddr2 représente l'équipement dont l'adresse IP est numériquement la plus élevée.

age: Numéro

Le temps écoulé depuis le début du flux, exprimé en secondes.

bytes1: Numéro

Le nombre de L4 octets de charge utile transmis par l'un des deux périphériques du flux ; l'autre équipement est représenté par bytes2. L' équipement représenté par bytes1 reste constant pour le flux.

Accès uniquement sur FLOW_TICK, FLOW_TURN, ou FLOW_RECORD événements ; sinon, une erreur se produira.

bytes2: Numéro

Le nombre de L4 octets de charge utile transmis par l'un des deux périphériques du flux ; l'autre équipement est représenté par bytes1. L' équipement représenté par bytes2 reste constant pour le flux.

Accès uniquement sur FLOW_TICK, FLOW_TURN, ou FLOW_RECORD événements ; sinon, une erreur se produira.

customDevices1: Array

Une gamme de produits personnalisés Device objets d'un flux. Les appareils personnalisés situés de l'autre côté du flux sont disponibles en accédant customDevices2. L'équipement représenté par customDevices1 reste constant pour le flux.

customDevices2: Array

Une gamme de produits personnalisés Device objets d'un flux. Les appareils personnalisés situés de l'autre côté du flux sont disponibles en accédant customDevices1. L'équipement représenté par customDevices2 reste constant pour le flux.

device1: Appareil

Le Device objet associé à l'un des deux appareils du flux ; l'autre équipement est représenté par device2. L' équipement représenté par device1 reste constant pour le flux. Par exemple, Flow.device1.hwaddr accède aux adresses MAC de cet équipement dans le flux.

equals: Booléen

Effectue un test d'égalité entre Device objets.

device2: Appareil

Le Device objet associé à l'un des deux appareils du flux ; l'autre équipement est représenté par device1. L' équipement représenté par device2 reste constant pour le flux. Par exemple, Flow.device2.hwaddr accède aux adresses MAC de cet équipement dans le flux.

equals: Booléen

Effectue un test d'égalité entre Device objets.

dscp1: Numéro

Le numéro représentant la dernière valeur de point de code de services différenciés (DSCP) transmise par l'un des deux appareils du flux ; l'autre équipement est représenté par dscp2. L'équipement représenté par dscp1 reste constant pour le flux.

dscp2: Numéro

Le lnumber représentant la dernière valeur de point de code de services différenciés (DSCP) transmise par l'un des deux appareils du flux ; l'autre équipement est représenté par dscp1. L'équipement représenté par dscp2 reste constant pour le flux.

dscpBytes1: Array

Un tableau contenant le nombre de L2 octets pour une valeur de point de code de services différenciés (DSCP) spécifique transmise par l'un des deux périphériques du flux ; l'autre équipement est représenté par dscpBytes2. L'équipement représenté par dscpBytes1 reste constant pour le flux.

La valeur est zéro pour chaque entrée qui ne contient aucun octet du DSCP spécifique depuis la dernière FLOW_TICK événement.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

dscpBytes2: Array

Un tableau contenant le nombre de L2 octets pour une valeur de point de code de services différenciés (DSCP) spécifique transmise par l'un des deux périphériques du flux ; l'autre équipement est représenté par dscpBytes1. L'équipement représenté par dscpBytes2 reste constant pour le flux.

La valeur est zéro pour chaque entrée qui ne contient aucun octet du DSCP spécifique depuis la dernière FLOW_TICK événement.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

dcspName1: Corde

Le nom associé à la valeur DSCP transmise par l'un des deux périphériques du flux ; l'autre équipement est représenté par dscpName2. L'équipement représenté par dscpName1 reste constant pour le flux.

Consultez les dscpName propriété dans le Points de terminaison section pour une liste des noms de code DSCP pris en charge.

dcspName2: Corde

Le nom associé à la valeur DSCP transmise par l'un des deux périphériques du flux ; l'autre équipement est représenté par dscpName1. L'équipement représenté par dscpName2 reste constant pour le flux.

Consultez les dscpName propriété dans le Points de terminaison section pour une liste des noms de code DSCP pris en charge.

dscpPkts1: Array

Un tableau contenant le nombre de L2 paquets pour une valeur de point de code de services différenciés (DSCP) donnée transmis par l'un des deux périphériques du flux ; l'autre équipement est représenté par dscpPkts2. L'équipement représenté par dscpPkts1 reste constant pour le flux.

La valeur est zéro pour chaque entrée qui ne contient aucun paquet du DSCP spécifique depuis la dernière FLOW_TICK événement.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

dscpPkts2: Array

Un tableau contenant le nombre de L2 paquets pour une valeur de point de code de services différenciés (DSCP) donnée transmis par l'un des deux périphériques du flux ; l'autre équipement est représenté par dscpPkts1. L'équipement représenté par dscpPkts2 reste constant pour le flux.

La valeur est zéro pour chaque entrée qui ne contient aucun paquet du DSCP spécifique depuis la dernière FLOW_TICK événement.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

fragPkts1: Numéro

Le nombre de paquets résultant de la fragmentation IP transmis par l'un des deux appareils du flux ; l'autre équipement est représenté par fragPkts2. L' équipement représenté par fragPkts1 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

fragPkts2: Numéro

Le nombre de paquets résultant de la fragmentation IP transmis par l'un des deux appareils du flux ; l'autre équipement est représenté par fragPkts1. L' équipement représenté par fragPkts2 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

id: Corde

L'identifiant unique d'un enregistrement Flow.

ipaddr: Adresse IP

LeIPAddress objet associé à un équipement du flux. Spécifiez le rôle de l'équipement dans la syntaxe, par exemple Flow.client.ipaddr ou Flow.receiver.ipaddr.

equals: Booléen

Effectue un test d'égalité entre IPAddress objets.

ipproto: Corde

Le protocole IP associé au flux, tel que TCP ou UDP.

ipver: Corde

Version IP associée au flux, telle que IPv4 ou IPv6.

isAborted: Booléen

La valeur est true si un flux TCP a été interrompu par une réinitialisation TCP (RST). Le flux peut être interrompu par un équipement. Le cas échéant, spécifiez le rôle de l'équipement dans la syntaxe, par exemple, Flow.client.isAborted ou Flow.receiver.isAborted.

Cette condition peut être détectée dans TCP_CLOSE événement et quel que soit l'impact L7 événements (par exemple, HTTP_REQUEST ou DB_RESPONSE).

Remarque :

Un L4 l'abandon se produit lorsqu'une connexion TCP est fermée par un RST au lieu d'un arrêt progressif. Un abandon de réponse L7 se produit lorsqu'une connexion se ferme alors qu'une réponse est en cours de réponse. Cela peut être dû à un RST, à un arrêt progressif du FIN ou à une expiration. L'abandon d'une demande L7 se produit lorsqu'une connexion se ferme au milieu d'une demande. Cela peut également être dû à un RST, à un arrêt progressif du FIN ou à une expiration.

isExpired: Booléen

La valeur est true si le flux a expiré au moment de l'événement.

isShutdown: Booléen

La valeur est true si l'équipement a initié l'arrêt de la connexion TCP. Spécifiez le rôle de l'équipement dans la syntaxe, par exemple Flow.client.isShutdown ou Flow.receiver.isShutdown.

l2Bytes1: Numéro

Le nombre de L2 octets, y compris les en-têtes Ethernet, transmis par l'un des deux périphériques du flux ; l'autre équipement est représenté par l2Bytes2. L'équipement représenté par l2Bytes1 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

l2Bytes2: Numéro

Le nombre de L2 octets, y compris les en-têtes Ethernet, transmis par l'un des deux périphériques du flux ; l'autre équipement est représenté par l2Bytes1. L'équipement représenté par l2Bytes2 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

l7proto: Corde

Le protocole L7 associé au flux. Pour les protocoles connus, la propriété renvoie une chaîne représentant le nom du protocole, tel que HTTP, DHCP, Memcache. Pour les protocoles moins connus, la propriété renvoie une chaîne au format ipproto:port—tcp:13724 ou udp:11258 Pour les noms de protocoles personnalisés, la propriété renvoie une chaîne représentant le nom défini dans la section Classification des protocoles des paramètres d' administration.

Cette propriété n'est pas valide pendant TCP_OPEN événements.

nagleDelay1: Numéro

Le nombre de retards de Nagle associés à l'un des deux appareils du flux ; l'autre équipement est représenté par nagleDelay2. L'équipement représenté par nagleDelay1 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

nagleDelay2: Numéro

Le nombre de retards de Nagle associés à l'un des deux appareils du flux ; l'autre équipement est représenté par nagleDelay1. L'équipement représenté par nagleDelay2 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

overlapFragPkts1: Numéro

Le nombre de paquets de fragments IP non identiques transmis par l'un des deux périphériques du flux ; l'autre équipement est représenté par overlapFragPkts2. L' équipement représenté par overlapFragPkts1 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

overlapFragPkts2: Numéro

Le nombre de paquets de fragments IP non identiques transmis par l'un des deux périphériques du flux ; l'autre équipement est représenté par overlapFragPkts1. L' équipement représenté par overlapFragPkts2 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

overlapSegments1: Numéro

Le nombre de segments TCP non identiques dans lesquels deux segments ou plus contiennent des données pour la même partie du flux. Les segments TCP sont transmis par l'un des deux équipements du flux ; l'autre équipement est représenté par overlapSegments2. L'équipement représenté par overlapSegments1 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

overlapSegments2: Numéro

Le nombre de segments TCP non identiques dans lesquels deux segments ou plus contiennent des données pour la même partie du flux. Les segments TCP sont transmis par l'un des deux équipements du flux ; l'autre équipement est représenté par overlapSegments1. L'équipement représenté par overlapSegments2 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

payload1: Tampon

La charge utile Tampon associé à l'un des deux appareils du flux ; l'autre équipement est représenté par payload2. L' équipement représenté par payload1 reste constant pour le flux.

Accès uniquement sur TCP_PAYLOAD, UDP_PAYLOAD, et SSL_PAYLOAD événements ; sinon, une erreur se produira.

payload2: Tampon

La charge utile Tampon associé à l'un des deux appareils du flux ; l'autre équipement est représenté par payload1. L' équipement représenté par payload2 reste constant pour le flux.

Accès uniquement sur TCP_PAYLOAD, UDP_PAYLOAD, ou SSL_PAYLOAD événements ; sinon, une erreur se produira.

pkts1: Numéro

Le nombre de paquets transmis par l'un des deux appareils du flux ; l'autre équipement est représenté par pkts2. L'équipement représenté par pkts1 reste constant pour le flux.

Accès uniquement sur FLOW_TICK, FLOW_TURN, ou FLOW_RECORD événements ; sinon, une erreur se produira.

pkts2: Numéro

Le nombre de paquets transmis par l'un des deux appareils du flux ; l'autre équipement est représenté par pkts1. L'équipement représenté par pkts2 reste constant pour le flux.

Accès uniquement sur FLOW_TICK, FLOW_TURN, ou FLOW_RECORD événements ; sinon, une erreur se produira.

port1: Numéro

Le numéro de port associé à l'un des deux périphériques d'un flux ; l'autre appareil est représenté par port2. L'équipement représenté par port1 reste constant pour le flux.

port2: Numéro

Le numéro de port associé à l'un des deux périphériques d'un flux ; l'autre appareil est représenté par port1. L'équipement représenté par port2 reste constant pour le flux.

rcvWndThrottle1: Numéro

Le nombre de régulateurs de fenêtre de réception envoyés par l'un des deux appareils du flux ; l'autre appareil est représenté par rcvWndThrottle2. L'équipement représenté par rcvWndThrottle1 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

rcvWndThrottle2: Numéro

Le nombre de régulateurs de fenêtre de réception envoyés par l'un des deux appareils du flux ; l'autre appareil est représenté par rcvWndThrottle1. L'équipement représenté par rcvWndThrottle2 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

record1: Objet

L'objet d'enregistrement qui peut être envoyé à l'espace de stockage des enregistrements configuré via un appel à Flow.commitRecord1() sur un FLOW_RECORD événement.

L' objet représente le trafic envoyé dans une seule direction depuis l'un des deux appareils du flux ; l'autre appareil est représenté par le record2 propriété. L' équipement représenté par record1 la propriété reste constante pour le flux.

Accédez à l'objet d'enregistrement uniquement sur FLOW_RECORD événements ; sinon, une erreur se produira.

L'objet d'enregistrement par défaut peut contenir les propriétés suivantes :

• age
• bytes (L3)
• clientIsExternal
• dscpName
• first
• last
• pkts
• proto
• receiverAddr
• receiverIsExternal
• receiverPort
• roundTripTime

  Le temps aller-retour (RTT) le plus récent de ce flux. Un RTT est le temps qu'il a fallu à un équipement pour envoyer un paquet et recevoir un accusé de réception immédiat (ACK).

• senderAddr
• senderIsExternal
• senderPort
• serverIsExternal
• tcpOrigin

  Ce champ d'enregistrement n'est inclus que si l'enregistrement représente le trafic envoyé depuis un équipement client ou expéditeur.

• tcpFlags

record2: Objet

L'objet d'enregistrement qui peut être envoyé à l'espace de stockage des enregistrements configuré via un appel à Flow.commitRecord2() sur un FLOW_RECORD événement.

L' objet représente le trafic envoyé dans une seule direction depuis l'un des deux appareils du flux ; l'autre appareil est représenté par le record1 propriété. L' équipement représenté par record2 la propriété reste constante pour le flux.

Accédez à l'objet d'enregistrement uniquement sur FLOW_RECORD événements ; sinon, une erreur se produira.

L'objet d'enregistrement par défaut peut contenir les propriétés suivantes :

• age
• bytes (L3)
• clientIsExternal
• dscpName
• first
• last
• pkts
• proto
• receiverAddr
• receiverIsExternal
• receiverPort
• roundTripTime

  Le temps aller-retour (RTT) le plus récent de ce flux. Un RTT est le temps qu'il a fallu à un équipement pour envoyer un paquet et recevoir un accusé de réception immédiat (ACK).

• senderAddr
• senderIsExternal
• senderPort
• serverIsExternal
• tcpOrigin

  Ce champ d'enregistrement n'est inclus que si l'enregistrement représente le trafic envoyé depuis un équipement client ou expéditeur.

• tcpFlags

roundTripTime: Numéro

Temps médian aller-retour (RTT) pendant la durée de l'événement, exprimé en millisecondes. La valeur est NaN s'il n'y a pas d'échantillons RTT.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

rto1: Numéro

Le nombre de délais de retransmission (RTO) associé à l'un des deux appareils du flux ; l'autre appareil est représenté par rto2. L'équipement représenté par rto1 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

rto2: Numéro

Le nombre de délais de retransmission (RTO) associé à l'un des deux appareils du flux ; l'autre appareil est représenté par rto1. L'équipement représenté par rto2 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

store: Objet

Le magasin de flux est conçu pour transmettre des objets de la demande à la réponse sur le même flux. Le store object est une instance d'un objet JavaScript vide. Les objets peuvent être attachés au magasin en tant que propriétés en définissant la clé de propriété et la valeur de la propriété. Par exemple :

Flow.store.myobject = "myvalue";

Copier

Pour les événements qui se produisent sur le même flux, vous pouvez appliquer le magasin de flux au lieu de la table de session pour partager des informations. Par exemple :

// request 
Flow.store.userAgent = HTTP.userAgent;  

// response 
var userAgent = Flow.store.userAgent;

Copier

Important :

Les valeurs du magasin de flux persistent pour toutes les demandes et réponses transmises par ce flux. Lorsque vous utilisez le magasin de flux, il est recommandé de définir la variable de stockage de flux sur null lorsque sa valeur ne doit pas être transmise à la demande ou à la réponse suivante. Cette pratique présente l'avantage supplémentaire de conserver la mémoire de stockage des flux.

La plupart des déclencheurs de stockage de flux doivent avoir une structure similaire à l' exemple suivant :

if (event === 'DB_REQUEST') {
                 if (DB.statement) {
                 Flow.store.stmt = DB.statement; 
} else {
                 Flow.store.stmt = null; 
} 
} 
else if (event === 'DB_RESPONSE') {
        var stmt = Flow.store.stmt;
        Flow.store.stmt = null;
        if (stmt) {
                 // Do something with 'stmt';   
                 // for example, commit a metric  
        } 
}

Copier

Remarque :

Étant donné que les demandes DHCP se produisent souvent sur des flux différents des réponses DHCP correspondantes, nous vous recommandons de combiner les informations de demande et de réponse DHCP en stockant les ID de transaction DHCP dans la table de session. Par exemple, le code de déclencheur suivant crée une métrique qui permet de suivre le nombre de messages de découverte DHCP qui ont reçu un message d'offre DHCP correspondant : if (event === 'DHCP_REQUEST'){ var opts = { expire: 30 }; Session.add(DHCP.txId.toString(), DHCP.msgType, opts); } else if (event === 'DHCP_RESPONSE'){ var reqMsgType = Session.lookup(DHCP.txId.toString()); if (reqMsgType && DHCP.msgType === 'DHCPOFFER') { Device.metricAddCount('dhcp-discover-offer', 1); } } Copier

tcpOrigin: Adresse IP | Null

L'adresse IP d'origine du client ou de l'expéditeur si elle est spécifiée par un proxy réseau dans l' option TCP 28.

vlan: Numéro

Le numéro de VLAN associé au flux. Si aucune balise VLAN n'est présente, cette valeur est définie sur 0.

vxlanVNI: Numéro

Numéro d'identifiant réseau VXLAN associé au flux. Si aucune balise VXLAN n'est présente, cette valeur est définie sur NaN .

zeroWnd1: Numéro

Le nombre de fenêtres nulles associées à l'un des deux appareils du flux ; l'autre équipement est représenté par zeroWnd2. L'équipement représenté par zeroWnd1 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

zeroWnd2: Numéro

Le nombre de fenêtres nulles associées à l'un des deux appareils du flux ; l'autre équipement est représenté par zeroWnd1. L'équipement représenté par zeroWnd2 reste constant pour le flux.

Accès uniquement sur FLOW_TICK ou FLOW_TURN événements ; sinon, une erreur se produira.

Exemples de déclencheurs

• Exemple : surveillance des actions CIFS sur les appareils
• Exemple : suivi des réponses HTTP de niveau 500 par ID client et URI
• Exemple : analyse de messages PoS personnalisés avec une analyse de charge utile universelle
• Exemple : analyse du syslog sur TCP avec une analyse de charge utile universelle
• Exemple : analyse NTP avec analyse de charge utile universelle
• Exemple : suivre les requêtes SOAP

Méthodes

FlowInterface(id: chaîne )

Constructeur de l'objet FlowInterface qui accepte un ID d'interface de flux. Une erreur se produit si l'identifiant de l'interface de flux n'existe pas sur le système ExtraHop.

Méthodes d'instance

Les méthodes décrites dans cette section vous permettent de créer des mesures personnalisées sur une interface de flux. Les méthodes ne sont présentes que sur les instances de NetFlow classe. Par exemple, l'instruction suivante collecte des métriques du trafic NetFlow sur l'interface d' entrée :

NetFlow.ingressInterface.metricAddCount("slow_rsp", 1);

Cependant, vous pouvez appeler la méthode FlowInterface en tant que méthode statique sur NETFLOW_RECORD événements. Par exemple, l'instruction suivante collecte des métriques du trafic NetFlow sur les interfaces d'entrée et de sortie :

FlowInterface.metricAddCount("slow_rsp", 1);

metricAddCount(metric_name: Corde , count: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de comptage. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Le nom de la métrique de comptage de niveau supérieur.

count: Numéro

La valeur de l'incrément. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir la propriété suivante :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailCount(metric_name: Corde , key: Corde | Adresse IP , count: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de comptage par lequel vous pouvez approfondir. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Nom de la métrique du nombre de détails.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

count: Numéro

La valeur de l'incrément. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir la propriété suivante :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDataset(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de l'ensemble de données. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Nom de la métrique du jeu de données de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

freq: Numéro

Option qui vous permet d'enregistrer simultanément plusieurs occurrences de valeurs particulières dans l'ensemble de données lorsque le nombre d'occurrences est défini par le val paramètre. Si aucune valeur n'est spécifiée, la valeur par défaut est 1.

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailDataset(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de l'ensemble de données par lequel vous pouvez approfondir. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Nom de la métrique du nombre de détails.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

freq: Numéro

Option qui vous permet d'enregistrer simultanément plusieurs occurrences de valeurs particulières dans l'ensemble de données lorsque le nombre d'occurrences est défini par le val paramètre. Si aucune valeur n'est spécifiée, la valeur par défaut est 1.

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDistinct(metric_name: Corde , item: Numéro | Corde | Adresse IP :void

Crée une personnalisation niveau supérieur métrique de comptage distincte. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Nom de la métrique de comptage distincte de niveau supérieur.

item: Numéro | Corde | Adresse IP

La valeur à placer dans l'ensemble. La valeur est convertie en chaîne avant d'être placée dans l'ensemble.

metricAddDetailDistinct(metric_name: Corde , key: Corde | Adresse IP , item: Numéro | Corde | Adresse IP :void

Crée une personnalisation détail métrique de comptage distincte par lequel vous pouvez approfondir. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Nom de la métrique de comptage distincte détaillée.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

item: Numéro | Corde | Adresse IP

La valeur à placer dans l'ensemble. La valeur est convertie en chaîne avant d'être placée dans l'ensemble.

metricAddMax(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique maximale. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Le nom de la métrique maximale de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailMax(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail métrique maximale par lequel vous pouvez approfondir. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Nom de la métrique maximale de détail.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddSampleset(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur Sampleset métrique. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Le nom de la métrique de l'ensemble d'échantillons de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailSampleset(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail Sampleset métrique par lequel vous pouvez approfondir. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Nom de la métrique détaillée de l'ensemble d'échantillons.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddSnap(metric_name: Corde , count: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de capture d'écran. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Nom de la métrique de capture instantanée de niveau supérieur.

count: Numéro

La valeur observée, telle que les connexions actuellement établies. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailSnap(metric_name: Corde , key: Corde | Adresse IP , count: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de capture d'écran par lequel vous pouvez approfondir. Valide les données métriques dans l'interface de flux spécifiée.

metric_name: Corde

Nom de la métrique détaillée de l'ensemble d'échantillons.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

count: Numéro

La valeur observée, telle que les connexions actuellement établies. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

Propriétés de l'instance

id: Corde

Chaîne qui identifie de manière unique l'interface de flux.

number: Numéro

Numéro d'interface de flux indiqué par l'enregistrement NetFlow.

Méthodes

FlowNetwork(id: chaîne )

Un constructeur pour l'objet FlowNetwork qui accepte un identifiant de réseau de flux. Une erreur se produit si l'identifiant du réseau de flux n'existe pas sur le système ExtraHop.

Méthodes d'instance

Les méthodes décrites dans cette section vous permettent de créer des mesures personnalisées sur un réseau de flux. Les méthodes ne sont présentes que sur les instances de NetFlow classe. Par exemple, l'instruction suivante collecte des métriques du trafic NetFlow sur un réseau individuel :

NetFlow.network.metricAddCount("slow_rsp", 1);

Cependant, vous pouvez appeler la méthode FlowNetwork en tant que méthode statique sur NETFLOW_RECORD événements. Par exemple, l'instruction suivante collecte des mesures du trafic NetFlow sur les deux appareils du réseau de flux :

FlowNetwork.metricAddCount("slow_rsp", 1);

metricAddCount(metric_name: Corde , count: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de comptage. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Le nom de la métrique de comptage de niveau supérieur.

count: Numéro

La valeur de l'incrément. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir la propriété suivante :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailCount(metric_name: Corde , key: Corde | Adresse IP , count: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de comptage par lequel vous pouvez approfondir. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Nom de la métrique du nombre de détails.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

count: Numéro

La valeur de l'incrément. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir la propriété suivante :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDataset(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de l'ensemble de données. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Nom de la métrique du jeu de données de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

freq: Numéro

Option qui vous permet d'enregistrer simultanément plusieurs occurrences de valeurs particulières dans l'ensemble de données lorsque le nombre d'occurrences est défini par le val paramètre. Si aucune valeur n'est spécifiée, la valeur par défaut est 1.

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailDataset(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de l'ensemble de données par lequel vous pouvez approfondir. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Nom de la métrique du nombre de détails.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

freq: Numéro

Option qui vous permet d'enregistrer simultanément plusieurs occurrences de valeurs particulières dans l'ensemble de données lorsque le nombre d'occurrences est défini par le val paramètre. Si aucune valeur n'est spécifiée, la valeur par défaut est 1.

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDistinct(metric_name: Corde , item: Numéro | Corde | Adresse IP :void

Crée une personnalisation niveau supérieur métrique de comptage distincte. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Nom de la métrique de comptage distincte de niveau supérieur.

item: Numéro | Corde | Adresse IP

La valeur à placer dans l'ensemble. La valeur est convertie en chaîne avant d'être placée dans l'ensemble.

metricAddDetailDistinct(metric_name: Corde , key: Corde | Adresse IP , item: Numéro | Corde | Adresse IP :void

Crée une personnalisation détail métrique de comptage distincte par lequel vous pouvez approfondir. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Nom de la métrique de comptage distincte détaillée.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

item: Numéro | Corde | Adresse IP

La valeur à placer dans l'ensemble. La valeur est convertie en chaîne avant d'être placée dans l'ensemble.

metricAddMax(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique maximale. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Le nom de la métrique maximale de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailMax(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail métrique maximale par lequel vous pouvez approfondir. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Nom de la métrique maximale de détail.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddSampleset(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur Sampleset métrique. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Le nom de la métrique de l'ensemble d'échantillons de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailSampleset(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail Sampleset métrique par lequel vous pouvez approfondir. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Nom de la métrique détaillée de l'ensemble d'échantillons.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddSnap(metric_name: Corde , count: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de capture d'écran. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Nom de la métrique de capture instantanée de niveau supérieur.

count: Numéro

La valeur observée, telle que les connexions actuellement établies. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailSnap(metric_name: Corde , key: Corde | Adresse IP , count: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de capture d'écran par lequel vous pouvez approfondir. Valide les données métriques dans le réseau de flux spécifié.

metric_name: Corde

Nom de la métrique détaillée de l'ensemble d'échantillons.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

count: Numéro

La valeur observée, telle que les connexions actuellement établies. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

Propriétés de l'instance

id: Corde

Chaîne qui identifie de manière unique le réseau de flux.

ipaddr: Adresse IP

L'adresse IP de l'interface de management sur le réseau de flux.

Méthodes

Les valeurs renvoyées par les méthodes GeoIP sont obtenues à partir du MaxMind GeoLite2, base de données par pays ou le Base de données MaxMind GeoLite2 City sauf configuration contraire par le Source de données Geomap paramètres dans les paramètres d'administration.

À partir des paramètres de la source de données Geomap, vous pouvez télécharger des bases de données personnalisées et spécifier la base de données à référencer par défaut pour les recherches de villes ou de pays.

Nous vous recommandons de télécharger uniquement une base de données personnalisée au niveau de la ville si vous avez l'intention d'appeler les deux GeoIP.getCountry() et GeoIP.getPreciseLocation() méthodes dans les déclencheurs. Si les deux types de bases de données personnalisées sont téléchargés, le système ExtraHop extrait les valeurs des deux méthodes dans la base de données au niveau de la ville et ignore la base de données au niveau du pays, qui est considérée comme un sous-ensemble de la base de données au niveau de la ville.

getCountry(ipaddr: Adresse IP ): Objet

Renvoie le détail au niveau du pays pour le paramètre spécifié IPAddress dans un objet contenant les champs suivants :

continentName: Corde

Le nom du continent, tel que Europe, qui est associé au pays d'origine de l'adresse IP spécifiée. La valeur est identique à continentName champ renvoyé par getPreciseLocation() méthode.

continentCode: Numéro

Le code du continent, tel que EU, qui est associé à la valeur du countryCode champ, conformément à la norme ISO 3166. La valeur est identique à continentCode champ renvoyé par getPreciseLocation() méthode.

countryName: Corde

Le nom du pays d'où provient l'adresse IP spécifiée, tel que United States. La valeur est identique à countryName champ renvoyé par getPreciseLocation() méthode.

countryCode: Corde

Le code associé au pays, conformément à la norme ISO 3166, tel que US. La valeur est identique à countryCode champ renvoyé par le getPreciseLocation() méthode.

Retours null dans un champ pour lequel aucune donnée n'est disponible, ou renvoie un null objet si toutes les données du champ ne sont pas disponibles.

Remarque :

Le getCountry() La méthode nécessite 20 Mo de RAM totale sur le système ExtraHop, ce qui peut affecter les performances du système. La première fois que cette méthode est appelée dans un déclencheur, le système ExtraHop réserve la quantité de RAM requise, sauf si getPreciseLocation() la méthode a déjà été appelée. Le getPreciseLocation() la méthode nécessite 100 Mo de RAM, donc suffisamment de RAM sera déjà disponible pour appeler le getCountry() méthode. La quantité de RAM requise n'est pas par déclencheur ou par appel de méthode ; le système ExtraHop ne réserve la quantité de RAM requise qu'une seule fois.

Dans l'exemple de code suivant , getCountry() la méthode est appelée pour chaque événement spécifié et récupère des données de localisation approximatives pour chaque adresse IP du client :

// ignore if the IP address is non-routable
if (Flow.client.ipaddr.isRFC1918) return;
var results=GeoIP.getCountry(Flow.client.ipaddr);
if (results) {
    countryCode=results.countryCode;
    // log the 2-letter country code of each IP address 
    debug ("Country Code is " + results.countryCode);
}

Copier

getPreciseLocation(ipaddr: Adresse IP ): Objet

Renvoie les détails au niveau de la ville pour le paramètre spécifié IPAddress dans un objet contenant les champs suivants :

continentName: Corde

Le nom du continent, tel que Europe, qui est associé au pays d'origine de l'adresse IP spécifiée. La valeur est identique à continentName champ renvoyé par getCountry() méthode.

continentCode: Numéro

Le code du continent, tel que EU, qui est associé à la valeur du countryCode champ, conformément à la norme ISO 3166. La valeur est identique à continentCode champ renvoyé par getCountry() méthode.

countryName: Corde

Le nom du pays d'où provient l'adresse IP spécifiée, tel que United States. La valeur est identique à countryName champ renvoyé par getCountry() méthode.

countryCode: Corde

Le code associé au pays, conformément à la norme ISO 3166, tel que US. La valeur est identique à countryCode champ renvoyé par le getCountry() méthode.

region: Corde

La région, telle qu'un État ou une province, telle que Washington.

city: Corde

La ville d'où provient l'adresse IP, telle que Seattle.

latitude: Numéro

Latitude de l'emplacement de l'adresse IP.

longitude: Numéro

Longitude de l'emplacement de l'adresse IP.

radius: Numéro

Rayon, exprimé en kilomètres, autour des coordonnées de longitude et de latitude de l'adresse IP.

Retours null dans un champ pour lequel aucune donnée n'est disponible, ou renvoie un null objet si toutes les données du champ ne sont pas disponibles.

Remarque :

Le getPreciseLocation() La méthode nécessite 100 Mo de RAM totale sur le système ExtraHop, ce qui peut affecter les performances du système. La première fois que cette méthode est appelée dans un déclencheur, le système ExtraHop réserve la quantité de RAM requise, sauf si getCountry() la méthode a déjà été appelée. Le getCountry() La méthode nécessite 20 Mo de RAM, le système ExtraHop réserve donc 80 Mo de RAM supplémentaires. La quantité de RAM requise n'est pas par déclencheur ou par appel de méthode ; le système ExtraHop ne réserve la quantité de RAM requise qu' une seule fois.

Méthodes

IPAddress(ip: Corde | Numéro , mask: Numéro )

Constructeur pour la classe IPAddress qui prend deux paramètres :

ip: Corde

La chaîne d'adresse IP au format CIDR.

mask: Numéro

Le masque de sous-réseau facultatif au format numérique, représentant le nombre de bits « 1 » situés le plus à gauche du masque (facultatif).

Méthodes d'instance

equals(equals: Adresse IP ): Booléen

Effectue un test d'égalité entre les objets IPAddress, comme illustré dans l' exemple suivant :

if (Flow.client.ipaddr.toString() === "10.10.10.10")
{ // perform a task }

Copier

mask(mask: Numéro ): Adresse IP

Définit le masque de sous-réseau de l'objet IPAddress comme illustré dans l'exemple suivant :

if ((Flow.ipaddr1.mask(24).toString() === "173.194.33.0")||
(Flow.ipaddr2.mask(24).toString() === "173.194.33.0"))
{Flow.setApplication("My L4 App");}

Copier

Le mask Le paramètre spécifie le masque de sous-réseau dans un format numérique, représentant le nombre de bits « 1 » situés le plus à gauche dans le masque (facultatif).

toJSON(): Corde

Convertit l'objet IPAddress au format JSON.

toString(): Corde

Convertit l'objet IPAddress en chaîne imprimable.

Propriétés

hostNames: Tableau de chaînes

Tableau de noms d'hôtes associés à l'adresse IP.

isBroadcast: Booléen

La valeur est true si l'adresse IP est une adresse de diffusion.

isExternal: Booléen

La valeur est true si l'adresse IP est externe à votre réseau.

isLinkLocal: Booléen

La valeur est true si l'adresse IP est une adresse locale de lien telle que (169.254.0.0/16).

isMulticast: Booléen

La valeur est true si l'adresse IP est une adresse de multidiffusion.

isRFC1918: Booléen

La valeur est true si l'adresse IP appartient à l'une des plages d'adresses IP privées de la RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). La valeur est toujours false pour les adresses IPv6.

isV4: Booléen

La valeur est true si l'adresse IP est une adresse IPv4.

isV6: Booléen

La valeur est true si l'adresse IP est une adresse IPv6.

localityName: Corde | nul

Le nom de la localité réseau dans laquelle se trouve l'adresse IP. Si l'adresse IP ne se trouve dans aucune localité réseau, la valeur est nulle.

Méthodes

metricAddCount(metric_name: Corde , count: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de comptage. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Le nom de la métrique de comptage de niveau supérieur.

count: Numéro

La valeur de l'incrément. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir la propriété suivante :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailCount(metric_name: Corde , key: Corde | Adresse IP , count: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de comptage grâce auquel vous pouvez effectuer une analyse plus approfondie. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Nom de la métrique du nombre de détails.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

count: Numéro

La valeur de l'incrément. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir la propriété suivante :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDataset(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique du jeu de données. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Nom de la métrique du jeu de données de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

freq: Numéro

Option qui vous permet d'enregistrer simultanément plusieurs occurrences de valeurs particulières dans l'ensemble de données lorsque le nombre d'occurrences est défini par le val paramètre. Si aucune valeur n'est spécifiée, la valeur par défaut est 1.

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailDataset(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail métrique du jeu de données grâce auquel vous pouvez effectuer une analyse plus approfondie. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Nom de la métrique du nombre de détails.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

freq: Numéro

Option qui vous permet d'enregistrer simultanément plusieurs occurrences de valeurs particulières dans l'ensemble de données lorsque le nombre d'occurrences est défini par le val paramètre. Si aucune valeur n'est spécifiée, la valeur par défaut est 1.

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDistinct(metric_name: Corde , item: Numéro | Corde | Adresse IP :void

Crée une personnalisation niveau supérieur métrique de comptage distincte. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Nom de la métrique de comptage distincte de niveau supérieur.

item: Numéro | Corde | Adresse IP

La valeur à placer dans l'ensemble. La valeur est convertie en chaîne avant d'être placée dans l'ensemble.

MetricAddDetailDistinct (metric_name) : Corde, clé : Corde | Adresse IP, article : Numéro | Corde | Adresse IP: nul

Crée une personnalisation détail métrique de comptage distincte par lequel vous pouvez approfondir. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Nom de la métrique de comptage distincte détaillée.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

item: Numéro | Corde | Adresse IP

La valeur à placer dans l'ensemble. La valeur est convertie en chaîne avant d'être placée dans l'ensemble.

metricAddMax(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique maximale. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Le nom de la métrique maximale de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailMax(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail métrique maximale grâce auquel vous pouvez effectuer une analyse plus approfondie. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Nom de la métrique maximale de détail.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddSampleset(metric_name: Corde , val: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur Sampleset métrique. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Le nom de la métrique de l'ensemble d'échantillons de niveau supérieur.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailSampleset(metric_name: Corde , key: Corde | Adresse IP , val: Numéro , options: Objet ):void

Crée une personnalisation détail Sampleset métrique par lequel vous pouvez approfondir. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Nom de la métrique détaillée de l'ensemble d'échantillons.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

val: Numéro

La valeur observée, telle qu'un temps de traitement. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddSnap(metric_name: Corde , count: Numéro , options: Objet ):void

Crée une personnalisation niveau supérieur métrique de capture d'écran. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Nom de la métrique de capture instantanée de niveau supérieur.

count: Numéro

La valeur observée, telle que les connexions actuellement établies. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

metricAddDetailSnap(metric_name: Corde , key: Corde | Adresse IP , count: Numéro , options: Objet ):void

Crée une personnalisation détail métrique de capture d'écran grâce auquel vous pouvez effectuer une analyse plus approfondie. Valide les données métriques sur le réseau spécifié.

metric_name: Corde

Nom de la métrique détaillée de l'ensemble d'échantillons.

key: Corde | Adresse IP

Clé spécifiée pour la métrique détaillée. UN null la valeur est ignorée silencieusement.

count: Numéro

La valeur observée, telle que les connexions actuellement établies. Il doit s'agir d'un entier de 64 bits signé positif différent de zéro. UN NaN la valeur est ignorée silencieusement.

options: Objet

Un objet facultatif qui peut contenir les propriétés suivantes :

highPrecision: Booléen

Un indicateur qui active une granularité en une seconde pour la métrique personnalisée lorsqu'elle est définie sur true.

Exemples de déclencheurs

• Exemple : analyse du syslog sur TCP avec une analyse de charge utile universelle
• Exemple : enregistrer des données dans une table de session
• Exemple : suivre les requêtes SOAP

Voici quelques informations importantes à connaître au sujet des tables de session :

• La table de session prend en charge les valeurs JavaScript ordinaires, ce qui vous permet d'ajouter des objets JS à la table.
• Les entrées de la table de session peuvent être supprimées lorsque la table devient trop grande ou lorsque l'expiration configurée est atteinte.
• Parce que la table de session sur un sonde n'est pas partagé avec console, les valeurs de la table de session ne sont pas partagées avec les autres utilisateurs connectés capteurs.
• L'API ExtraHop Open Data Context expose le tableau des sessions via le réseau de gestion, permettant ainsi la coordination avec les processus externes via le cache mémoire protocole.

Évènements

La classe Session ne se limite pas uniquement aux SESSION_EXPIRE événement. Vous pouvez appliquer la classe Session à n'importe quel événement ExtraHop.

SESSION_EXPIRE

S'exécute périodiquement (par incréments d'environ 30 secondes) tant que la table de session est utilisée. Lorsque le SESSION_EXPIRE un événement se déclenche, les clés expirées au cours des 30 secondes précédentes sont disponibles via le Session.expiredKeys propriété.

Le SESSION_EXPIRE l'événement n'est associé à aucun flux particulier, il se déclenche donc SESSION_EXPIRE les événements ne peuvent pas valider les métriques de l'équipement via Device.metricAdd*() méthodes ou Flow.client.device.metricAdd*() méthodes. Pour valider les métriques de l'équipement lors de cet événement, vous devez ajouter Device objets vers le tableau de session par le biais du Device() méthode d'instance.

Remarque :

Vous ne pouvez pas attribuer des déclencheurs qui s'exécutent uniquement lors de cet événement à des appareils ou à des groupes d'équipements spécifiques. Les déclencheurs qui s'exécutent lors de cet événement seront exécutés chaque fois que cet événement se produira.

TIMER_30SEC

Fonctionne exactement toutes les 30 secondes. Cet événement vous permet d'effectuer des traitements périodiques, tels que l'accès régulier aux entrées de table de session ajoutées via le API de contexte de données ouvertes.

Remarque :

Vous pouvez appliquer n'importe quelle classe de déclencheur à l'événement TIMER_30SEC.

Remarque :

Vous ne pouvez pas attribuer des déclencheurs qui s'exécutent uniquement lors de cet événement à des appareils ou à des groupes d'équipements spécifiques. Les déclencheurs qui s'exécutent lors de cet événement seront exécutés chaque fois que cet événement se produira.

Méthodes

add(key: Corde , value*, options: Objet ): *

Ajoute la clé spécifiée dans le tableau de session. Si la clé est présente, la valeur correspondante est renvoyée sans modifier l'entrée clé dans le tableau. Si la clé n'est pas présente, une nouvelle entrée est créée pour la clé et la valeur, et la nouvelle valeur est renvoyée.

Vous pouvez configurer une option Des options objet pour la clé spécifiée.

getOptions(key: Corde ): Objet

Renvoie le Des options objet pour la clé spécifiée. Vous configurez les options lors des appels à Session.add(), Session.modify(), ou Session.replace().

increment(key: Corde , count: Numéro ): Numéro | nul

Recherche la clé spécifiée et incrémente la valeur de la clé du nombre spécifié. La valeur par défaut du paramètre de comptage facultatif est 1. Renvoie la nouvelle valeur de la clé si l' appel est réussi. Retours null si la recherche échoue. Renvoie une erreur si la valeur de la clé n'est pas un nombre.

lookup(key: Corde ): *

Recherche la clé spécifiée dans la table de session et renvoie la valeur correspondante. Retours null si la clé n'est pas présente.

modify(key: Corde , value: *, options: Objet ): *

Modifie la valeur de clé spécifiée, si la clé est présente dans la table de session, et renvoie la valeur précédente. Si la clé n'est pas présente, aucune nouvelle entrée n'est créée.

En cas de modification de l'option Des options les objets sont inclus, les options clés sont mises à jour. et les anciennes options sont fusionnées avec les nouvelles. Si le expire l'option est modifiée, le délai d'expiration est réinitialisé.

remove(key: Corde ): *

Supprime l'entrée pour la clé donnée et renvoie la valeur associée.

replace(key: Corde , value: *, options: Objet ): *

Met à jour l'entrée associée à la clé donnée. Si la clé est présente, mettez à jour la valeur et renvoyez la valeur précédente. Si la clé n'est pas présente, ajoutez l'entrée et renvoyez la valeur précédente (null).

En cas de modification de l'option Des options les objets sont inclus, les options clés sont mises à jour et les anciennes options sont fusionnées avec les nouvelles. Si le expire l'option est fournie, le délai d'expiration est réinitialisé.

Constantes

PRIORITY_LOW: Numéro

Représentation numérique du niveau de priorité le plus bas. La valeur est 0. Les niveaux de priorité déterminent l'ordre dans lequel les entrées sont supprimées de la table de session si celle-ci devient trop grande.

PRIORITY_NORMAL: Numéro

Représentation numérique du niveau de priorité par défaut. La valeur est 1. Les niveaux de priorité déterminent l'ordre dans lequel les entrées sont supprimées de la table de session si celle-ci devient trop grande.

PRIORITY_HIGH: Numéro

Représentation numérique du niveau de priorité le plus élevé. La valeur est 2. Les niveaux de priorité déterminent l'ordre dans lequel les entrées sont supprimées de la table de session si celle-ci devient trop grande.

Propriétés

expiredKeys: Array

Tableau d'objets présentant les propriétés suivantes :

age: Numéro

Âge de l'objet expiré, exprimé en millisecondes. L'âge est le temps écoulé entre le moment où l'objet de la table de session a été ajouté ou l' option d'expiration de l'objet a été modifiée, et le SESSION_EXPIRE événement. L'âge détermine si la clé a été expulsée ou a expiré.

name: Corde

La clé de l'objet expiré.

value: Numéro | Corde | Adresse IP | Booléen | Appareil

La valeur de l'entrée dans le tableau de session.

Les clés expirées incluent les clés qui ont été expulsées parce que la table est devenue trop grande.

Le expiredKeys la propriété n'est accessible que sur SESSION_EXPIRE événements ; dans le cas contraire, une erreur se produira.

Exemples de déclencheurs

• Exemple : enregistrer des données dans une table de session

Propriétés

uuid: Corde

L'identifiant unique universel (UUID) du sonde ou console.

ipaddr: Adresse IP

Le IPAddress objet de l' interface de gestion principale (Interface 1) sur la sonde.

hostname: Corde

Le nom d'hôte du sonde ou console configuré dans les paramètres d'administration.

version: Corde

La version du microprogramme exécutée sur le sonde ou console.

Méthodes

hasIP(address: Adresse IP ): booléen

La valeur est true si les menaces ont été détectées pour l' adresse IP spécifiée. Si aucune information de renseignement n'est disponible sur le système ExtraHop, la valeur est null.

hasDomain(domain: Corde ): booléen

La valeur est true si les menaces ont été détectées pour le domaine spécifié. Si aucune information de renseignement n'est disponible sur le système ExtraHop, la valeur est null.

hasURI(uri: Corde ): booléen

La valeur est true si les menaces ont été détectées pour l' URI spécifiée. Si aucune information de renseignement n'est disponible sur le système ExtraHop, la valeur est null.

Propriétés

isAvailable: booléen

La valeur est true si des renseignements sur les menaces sont disponibles sur le système ExtraHop.

Propriétés

isDebugEnabled: booléen

La valeur est true si le débogage est activé pour le déclencheur. La valeur est déterminée par l'état du Activer le journal de débogage case à cocher dans le volet Modifier le déclencheur du système ExtraHop.

Propriétés de l'instance

id: Numéro

L'ID numérique d'un VLAN.

Évènements

AAA_REQUEST

S'exécute lorsque le système ExtraHop a fini de traiter une demande AAA.

AAA_RESPONSE

Fonctionne sur chaque réponse AAA traitée par l'équipement.

Méthodes

commitRecord(): vide

Envoie un enregistrement à l'espace de stockage des enregistrements configuré sur un AAA_REQUEST ou AAA_RESPONSE événement.

L'événement détermine les propriétés qui sont validées dans l'objet d'enregistrement. Pour consulter les propriétés par défaut validées pour chaque événement, consultez le record propriété ci-dessous.

Pour les enregistrements intégrés, chaque enregistrement unique n'est validé qu'une seule fois, même si le commitRecord() méthode est appelée plusieurs fois pour le même enregistrement unique.

Propriétés

authenticator: Corde

La valeur du champ d'authentificateur (RADIUS uniquement).

avps: Array

Un tableau d'objets AVP présentant les propriétés suivantes :

avpLength: Numéro

La taille de l'AVP, exprimée en octets. Cette valeur inclut les données d'en-tête AVP, ainsi que la valeur.

id: Numéro

L'ID numérique de l'attribut représenté sous forme de nombre entier.

isGrouped: Booléen

La valeur est true s'il s'agit d'un AVP groupé (diamètre uniquement).

name: Corde

Le nom de l'AVP donné.

vendor: Corde

Le nom du fournisseur pour les AVP du fournisseur (Diameter uniquement).

value: Corde | Array | Numéro

Pour les AVP uniques, une chaîne ou une valeur numérique. Pour les AVP groupés (diamètre uniquement), un tableau d'objets.

isDiameter: Booléen

La valeur est true si la demande ou la réponse est Diameter.

isError: Booléen

La valeur est true si la réponse est une erreur. Pour récupérer le détail de l'erreur dans Diameter, vérifiez AAA.statusCode. Pour récupérer les détails de l'erreur dans RADIUS, vérifiez l'AVP avec le code 18 (message de réponse).

Accès uniquement sur AAA_RESPONSE événements ; dans le cas contraire, une erreur se produira.

isRadius: Booléen

La valeur est true si la demande ou la réponse est RADIUS.

isRspAborted: Booléen

La valeur est true si le AAA_RESPONSE l'événement est annulé.

Accès uniquement sur AAA_RESPONSE événements ; dans le cas contraire, une erreur se produira.

method: Numéro

Méthode correspondant au code de commande dans RADIUS ou Diameter.

Le tableau suivant contient les codes de commande Diameter valides :

Nom de la commande	Abbé.	Code
AA-Request	AAR	265
AA-Answer	AAA	265
Diameter-EAP-Request	DER	268
Diameter-EAP-Answer	DEA	268
Abort-Session-Request	ASR	274
Abort-Session-Answer	ASA	274
Accounting-Request	ACR	271
Credit-Control-Request	CCR	272
Credit-Control-Answer	CCA	272
Capabilities-Exchange-Request	CER	257
Capabilities-Exchange-Answer	CEA	257
Device-Watchdog-Request	DWR	280
Device-Watchdog-Answer	DWA	280
Disconnect-Peer-Request	DPR	282
Disconnect-Peer-Answer	DPA	282
Re-Auth-Answer	RAA	258
Re-Auth-Request	RAR	258
Session-Termination-Request	STR	275
Session-Termination-Answer	STA	275
User-Authorization-Request	UAR	300
User-Authorization-Answer	UAA	300
Server-Assignment-Request	SAR	301
Server-Assignment-Answer	SAA	301
Location-Info-Request	LIR	302
Location-Info-Answer	LIA	302
Multimedia-Auth-Request	MAR	303
Multimedia-Auth-Answer	MAA	303
Registration-Termination-Request	RTR	304
Registration-Termination-Answer	RTA	304
Push-Profile-Request	PPR	305
Push-Profile-Answer	PPA	305
User-Data-Request	UDR	306
User-Data-Answer	UDA	306
Profile-Update-Request	PUR	307
Profile-Update-Answer	PUA	307
Subscribe-Notifications-Request	SNR	308
Subscribe-Notifications-Answer	SNA	308
Push-Notification-Request	PNR	309
Push-Notification-Answer	PNA	309
Bootstrapping-Info-Request	BIR	310
Bootstrapping-Info-Answer	BIA	310
Message-Process-Request	MPR	311
Message-Process-Answer	MPA	311
Update-Location-Request	ULR	316
Update-Location-Answer	ULA	316
Authentication-Information-Request	AIR	318
Authentication-Information-Answer	AIA	318
Notify-Request	NR	323
Notify-Answer	NA	323

Le tableau suivant contient des codes de commande RADIUS valides :

Nom de la commande	Code
Access-Request	1
Access-Accept	2
Access-Reject	3
Accounting-Request	4
Accounting-Response	5
Access-Challenge	11
Status-Server (experimental)	12
Status-Client (experimental)	13
Reserved	255

processingTime: Numéro

Le temps de traitement du serveur, exprimé en millisecondes. La valeur est NaN si le chronométrage n'est pas valide.

Accès uniquement sur AAA_RESPONSE événements ; dans le cas contraire, une erreur se produira.

record: Objet

L'objet d'enregistrement qui peut être envoyé à l'espace de stockage des enregistrements configuré via un appel à AAA.commitRecord() sur l'un ou l'autre AAA_REQUEST ou AAA_RESPONSE événement.

L'événement au cours duquel la méthode a été appelée détermine les propriétés que l'objet d'enregistrement par défaut peut contenir, comme indiqué dans le tableau suivant :

AAA_REQUEST	AAA_RESPONSE
authenticator	authenticator
clientIsExternal	clientIsExternal
clientZeroWnd	clientZeroWnd
method	isError
receiverIsExternal	isRspAborted
reqBytes	method
reqL2Bytes	processingTime
reqPkts	receiverIsExternal
reqRTO	roundTripTime
senderIsExternal	rspBytes
serverIsExternal	rspL2Bytes
serverZeroWnd	rspPkts
txId	rspRTO
	statusCode
	senderIsExternal
	serverIsExternal
	serverZeroWnd
	txId

reqBytes: Numéro

Le nombre de L4 octets de demande, à l'exception des en-têtes L4.

reqL2Bytes: Numéro

Le nombre de L2 octets de demande, y compris les en-têtes L2.

reqPkts: Numéro

Le nombre de paquets de demandes.

reqRTO: Numéro

Le numéro de demande délais de retransmission (RTO).

Accès uniquement sur AAA_REQUEST événements ; dans le cas contraire, une erreur se produira.

reqZeroWnd: Numéro

Le nombre de fenêtres nulles dans la demande.

roundTripTime: Numéro

Le temps moyen aller-retour (RTT), exprimé en millisecondes. La valeur est NaN s'il n'y a pas d'échantillons RTT.

rspBytes: Numéro

Le nombre de L4 octets de réponse, à l'exclusion de la surcharge du protocole L4, telle que les ACK, les en-têtes et les retransmissions.

rspL2Bytes: Numéro

Le nombre de L2 octets de réponse, y compris la surcharge du protocole, comme les en-têtes.

rspPkts: Numéro

Le nombre de paquets de réponse.

rspRTO: Numéro

Le nombre de réponses délais de retransmission (RTO).

Accès uniquement sur AAA_RESPONSE événements ; dans le cas contraire, une erreur se produira.

rspZeroWnd: Numéro

Le nombre de fenêtres nulles dans la réponse.

statusCode: Corde

Une représentation sous forme de chaîne de l'identifiant AVP 268 (code de résultat).

Accès uniquement sur AAA_RESPONSE événements ; dans le cas contraire, une erreur se produira.

txId: Numéro

Une valeur qui correspond à l'identifiant saut par saut dans Diameter et à l'identifiant msg-id dans RADIUS.