Flow-Tabellenberichte

Flow-Tabellenberichte enthalten verschiedene Informationen über die Datenströme, die Threat Defender passieren. Mit Threat Defender können Sie offene und anonymisierte Flow-Tabellenberichte, die keine IP-Adressen enthalten, erstellen (siehe Flow Table Reporting).

Die folgende Tabelle führt den Inhalt der Flow-Tabellenberichte in der korrekten Reihenfolge auf.

Spaltenkopf	Beschreibung
`thread_id`	ID des Processing Thread. Beginnt bei `0` und wird für jeden neuen Processing Thread inkrementiert.
`vlan_tag`	Dem Datenstrom zugeordnetes VLAN-Tag. Wenn der Datenstrom kein VLAN-Tag hat, ist der Eintrag `0`.
`src_ip`	Quell-IP-Adresse des Datenstroms. In anonymisierten Berichten werden diese Einträge gehasht.
`src_port`	Quellport des Datenstroms.
`dst_ip`	Ziel-IP-Adresse des Datenstroms. In anonymisierten Berichten werden diese Einträge gehasht.
`dst_port`	Zielport des Datenstroms.
`l4_protocol`	Schicht-4-Protokoll-ID wie im IP-Header angegeben.
`client_ttl`	Vom Client verwendete TTL-Werte.
`server_ttl`	Vom Server verwendete TTL-Werte.
`src_asset`	Quell-Asset des Datenstroms.
`dst_asset`	Ziel-Asset des Datenstroms.
`src_asset_tags`	Dem Quell-Asset des Datenstroms zugewiesene Tags.
`dst_asset_tags`	Dem Ziel-Asset des Datenstroms zugewiesene Tags.
`user_id`	ID des Benutzers, der den Datenstrom initiiert hat.
`flow_id`	ID des Datenstroms.
`dpi_protocol`	Das vom Datenstrom verwendete DPI-Protokoll.
`dpi_application`	Die vom Datenstrom verwendete DPI-Anwendung.
`packets_src_to_dst`	Anzahl der Pakete, die von der Quelle zum Ziel des Datenstroms gesendet wurden.
`packets_dst_to_src`	Anzahl der Pakete, die vom Ziel zur Quelle des Datenstroms gesendet wurden.
`bytes_src_to_dst`	Anzahl der Bytes, die von der Quelle zum Ziel des Datenstroms gesendet wurden.
`bytes_dst_to_src`	Anzahl der Bytes, die vom Ziel zur Quelle des Datenstroms gesendet wurden.
`flow_start_ts`	Der Zeitstempel des Datenstrombeginns in Mikrosekundenauflösung.
`flow_last_packet_ts`	Der Zeitstempel des letzten Pakets, das zum Datenstrom gehört, in Mikrosekundenauflösung.
`hash_element_last_lazy_ts`	Zeitstempel, als der Datenstrom zum letzten Mal auf Entfernung durch Timeout geprüft wurde.
`hash_table_last_update_ts`	Der Zeitstempel des letzten Updates der Flow-Tabelle in Mikrosekundenauflösung.
`hash_element_lifetime`	Restzeit in Mikrosekunden bis dieser Eintrag entfernt wird.
`hash_element_timeout`	Gesamtzeit in Mikrosekunden, die dieser Eintrag bestehen bleiben darf.
`hash_element_timeout_queue`	Queue-Nummer, in der dieser Eintrag gespeichert ist. `0` zeigt einen kurzen Timeout an (5s); `1` zeigt einen mittleren Timeout an (60s); `2` zeigt einen langen Timeout an (1hr).