配置镜像

如果您使用CloudFormation模板部署传感器,那么您已经有了一个镜像目标和一个接受所有流量的镜像过滤器样本。接下来,你需要创建镜像会话

如果使用传感器安装程序或AMI部署传感器,则必须创建镜子的目标镜像滤波器

创建镜像目标

镜像流量被定向到镜像目标。创建镜像目标,引用传感器镜像接口作为镜像流量的目的地。

要做到这一点,请遵循以下AWS指南创建交通镜像目标:https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-getting-started.html#step-create-traffic-mirroring-target

创建镜像过滤器

通过“VPC流量镜像”,对需要镜像的流量进行微调。创建镜像过滤器并添加规则,选择要镜像的流量。过滤器根据IP和端口定义要镜像的流量的属性。它不标识要监视的实例。

要配置镜像过滤器,请遵循以下AWS指南:https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-getting-started.html#step-create-traffic-mirroring-filters

创建镜像会话

最后一步是为要监视的每个实例创建镜像会话。在创建镜像会话时,需要确定镜像源、镜像目标和镜像过滤器。

创建镜像会话的步骤:

  1. 打开AWS控制台并打开VPC >流量镜像>镜像会话
  2. 选择创建流量镜像会话

流量镜像会话

  1. 会话名称。

会议名称

  1. 选择镜像源。这是要监视的实例上的接口。对接口的准确描述将帮助您识别它们。

选择源

  1. 选择镜像目标。这是由CloudFormation模板自动创建的,或者是手动创建的。

选择目标

  1. 选择会话编号。可以创建多个会话,并按照会话编号的顺序进行评估。一个包只被镜像一次,所以如果您使用多个会话,那么会话的顺序就很重要。

会话数量

  1. 选择镜像过滤器。这是由CloudFormation模板自动创建的,或者是手动创建的。

选择过滤器

  1. 点击创建,完成镜像会话的创建。

网络最大传输单元

AWS提供了关于MTU、流量镜像和封装的重要说明。由于Traffic Mirror使用VXLAN头封装报文,因此需要减少被监控实例的缺省MTU值。看到https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-considerations.html

带通滤波器过滤

当使用AWS镜像流量时,BPF过滤器不能应用于网络传感器配置。如果镜像流量需要过滤,请使用AWS流量镜像过滤器。