El NetFlow clásico y el análisis de flujos típicamente se apoyan en campos L3/L4 — IP fuente, IP destino, puerto, protocolo y recuento de bytes. Esos datos son valiosos para la capacidad de red y la dirección del tráfico, pero en el tráfico moderno de HTTP y APIs no pueden responder por sí solos a la pregunta «¿qué ocurrió?». Cientos de hosts, paths, métodos y comportamientos de aplicación diferentes pueden compartir la misma IP y puerto.
Los equipos de operaciones y seguridad pueden ver altos volúmenes de tráfico en la pantalla del recopilador de flujos, pero si no pueden ver qué URL, método, código de estado o contexto de cliente generó ese tráfico, el análisis queda incompleto. El contexto L7 es necesario para la planificación de capacidad, el análisis de DDoS, los informes de alcance PCI y la auditoría a nivel de solicitud.
Cerrar esta brecha con una sonda de flujo separada o una capa de recopilador externo es posible, pero añade trabajo de instalación, mantenimiento separado, un modelo de alta disponibilidad separado y sobrecarga de monitoreo separada. Cuando el tráfico de aplicaciones ya está atravesando la capa ADC/WAAP, reproducir el mismo contexto en un punto diferente es operacionalmente ineficiente.
El enfoque correcto es producir exportaciones de flujo en el punto de tránsito del tráfico y entregarlas a los sistemas externos en formato IPFIX / NetFlow estándar. Los campos estándar preservan la visibilidad de la red mientras que los campos Enterprise IE agregan el contexto HTTP. Los sistemas de análisis de flujos pueden entonces responder no solo a «¿qué IP habló cuánto?» sino también a «¿qué path, qué respuesta y qué contexto de cliente estuvieron involucrados?»
La Exportación Nativa IPFIX / NetFlow de TR7 combina los campos IPFIX estándar con los campos Enterprise IE de TR7, produciendo registros de flujo enriquecidos en L7 tanto de las fases de solicitud como de respuesta.
TR7 elimina la exportación de flujos del rol de una sonda externa y la implementa como una capa de observabilidad integrada dentro del camino de datos ADC/WAAP.
Los elementos de información estándar y enterprise son preparados por la biblioteca integrada. El wrapper Lua recopila los valores necesarios de las fases de solicitud y respuesta y los convierte en registros IPFIX.
En el lado de la solicitud, se recopilan host, path, consulta, método, cabeceras y datos de bytes subidos. En el lado de la respuesta, el código de estado, el tipo de contenido de respuesta, los bytes descargados y el estado de terminación completan el registro de flujo.
El formato IPFIX v10 utiliza conjuntos de templates e IDs de template para definir los campos de flujo para los sistemas externos. Este modelo permite a los recopiladores analizar los campos correctamente y mantiene la compatibilidad con las herramientas de análisis de flujos estándar.
Bajo el Enterprise Number 57011 de TR7, se definen campos personalizados para recuentos de bytes de subida/bajada, consulta de solicitud, X-Forwarded-For, Referer, Cookie, tipo de contenido de respuesta y estado de terminación. Los datos de flujo clásicos se enriquecen con contexto L7 a través de este mecanismo.
La exportación IPFIX / NetFlow combina los campos de red estándar con el detalle de solicitud/respuesta HTTP, enviando registros de flujo enriquecidos a los sistemas recopiladores.
TR7 puede exportar sourceIPv4Address, destinationIPv4Address, sourceIPv6Address y destinationIPv6Address usando los elementos de información IPFIX estándar. Tanto el tráfico IPv4 como IPv6 son visibles dentro del alcance del análisis de flujos. Los entornos dual-stack no están limitados al análisis solo de IPv4. La visibilidad de red de origen y destino se preserva en el lado del recopilador a través de campos estándar.
Los campos sourceTransportPort y destinationTransportPort se incluyen en el registro de flujo. Estos campos son importantes en el análisis a nivel de red para conexiones de clientes, puertos VIP y acceso a servicios. Combinados con el contexto HTTP, se hace posible ver qué path de aplicación se ejecuta sobre qué puerto. El análisis de capacidad y anomalías se vuelve más significativo.
Los campos HTTP estándar como httpRequestHost, httpRequestPath, httpRequestMethod y httpMessageVersion elevan el registro de flujo al nivel L7. Se pueden distinguir diferentes hosts o paths que llegan en la misma IP y puerto. Esto proporciona visibilidad crítica en entornos de servicios virtuales y multi-aplicación. El análisis de flujos ya no solo ve la conexión — ve el contexto de la solicitud de aplicación.
El campo httpStatusCode indica si la respuesta fue un éxito, redirección, error del cliente o error del servidor. Los campos de tipo de contenido de solicitud y respuesta ayudan a analizar el tipo de datos que se transfieren. Esta información es especialmente valiosa para el análisis de tasa de errores, la inspección del comportamiento de API y la investigación de tráfico basada en tipo de datos. Las tendencias de errores L7 pueden leerse con mayor claridad en el recopilador de flujos.
Los campos httpUserAgent, httpReferrer y httpCookie permiten un análisis más detallado del comportamiento del cliente. Estos campos pueden usarse para análisis de bots, inspección de flujo de usuarios y diferenciación de tipo de cliente. El campo Cookie puede contener datos sensibles, por lo que la política de exportación debe diseñarse con cuidado. Debe habilitarse solo para entornos seguros y destinos de recopilador limitados cuando sea necesario.
El Enterprise IE de TR7 incluye los campos uploadedBytes y downloadedBytes. Estos campos permiten medir el volumen del cuerpo de solicitud y respuesta a nivel de flujo. No solo el recuento total de bytes de conexión sino también el flujo de datos de la aplicación por dirección puede analizarse. Esta visibilidad es valiosa en casos como subidas grandes, descargas anormales o sospecha de exfiltración de datos.
El campo httpRequestQuery agrega los parámetros de consulta más allá del path al registro de flujo. El campo httpXForwardedFor ayuda a analizar la IP real del cliente detrás de una cadena de proxies. Ambos campos son especialmente útiles al correlacionar los logs de la aplicación con los registros de flujo. El contexto de la solicitud se vuelve más completo en las investigaciones de seguridad y cumplimiento.
El campo httpTerminationStateCode proporciona una señal adicional sobre cómo terminó la conexión. El cierre normal, el error, la interrupción o la terminación inesperada pueden diferenciarse en el análisis de flujos. Esta información ayuda a evaluar conjuntamente los problemas de la capa de red y aplicación. Es un campo valioso para los equipos SRE durante el análisis de causa raíz de errores.
Los campos Enterprise IE se definen bajo el Enterprise Number 57011 de TR7. Esta estructura no rompe la compatibilidad IPFIX estándar; lleva los campos personalizados de forma claramente analizable. Cuando el lado del recopilador está configurado para reconocer estos campos, los detalles L7 quedan disponibles en los dashboards de flujos. Los campos estándar y personalizados se combinan en el mismo registro de exportación.
El enfoque de exportación de TR7 está construido sobre IPFIX v10 y soporta una ruta retrocompatible con NetFlow v9. Esto hace que la integración con las inversiones en recopiladores de flujos y visibilidad de red existentes de las organizaciones sea sencilla. En lugar de aprender un nuevo formato de log personalizado, se puede usar el ecosistema de flujos estándar. El enriquecimiento L7 llega como la capa de valor adicional de TR7.
La exportación IPFIX / NetFlow opera junto con la estructura de templates, los campos enterprise, el comportamiento del transporte, el orden de bytes y las dependencias de compilación.
El valor de versión IPFIX es 10. El ID del Template Set es 2 y el Template ID es 256. Este template informa al recopilador qué campos llegarán y en qué orden.
El header IPFIX consta de los campos version, length, exportTime, sequenceNumber y observationDomainId. La longitud total del header es de 16 bytes. Esta estructura proporciona el marco base para la compatibilidad con recopiladores IPFIX estándar.
Los elementos de información personalizados de TR7 se llevan bajo el Enterprise Number 57011. Los campos uploadedBytes, downloadedBytes, httpRequestQuery, httpXForwardedFor, httpReferrer, httpCookie, httpResponseContentType y httpTerminationStateCode se definen en este ámbito. Los campos L7 no estándar se diferencian explícitamente a través de este mecanismo.
El transporte predeterminado para la exportación es UDP. El puerto del recopilador es configurable a valores como 4779 o 2055 según los requisitos del entorno. UDP es un modelo de transporte de flujos de bajo overhead y ampliamente usado; para entornos que requieren garantías de entrega, la arquitectura del recopilador debe planificarse en consecuencia.
Los campos de múltiples bytes se transmiten usando el orden de bytes de red. Este comportamiento es crítico para el análisis correcto de los campos de puerto, longitud, template y contador. La compatibilidad del recopilador depende en gran medida de esta codificación estándar.
La biblioteca C integrada se compila como biblioteca compartida para la integración Lua. El entorno de compilación requiere paquetes de desarrollo Lua, pkg-config y herramientas de compilación. La biblioteca resultante es llamada por el wrapper Lua para producir registros de flujo.
Un proveedor de servicios que recibe exportación IPFIX de TR7 puede ver detalles de host HTTP, path y código de estado en su sistema de análisis de flujos existente. El análisis clásico de IP/puerto se extiende con contexto L7. La investigación de capacidad y anomalías se vuelve más significativa.
Las instituciones financieras pueden exportar cada solicitud HTTP como registro de flujo a sistemas externos. Los campos de host, path, método, código de estado y bytes pueden correlacionarse con un SIEM o recopilador de flujos. Las preguntas de auditoría sobre qué tráfico fluyó a través de qué path de aplicación se responden con mayor claridad.
Los equipos de seguridad pueden usar los valores de bytes subidos/descargados y la distribución de códigos de estado HTTP de los registros de flujo para la detección de anomalías. Subidas altas repentinas, descargas anormales o patrones densos de 4xx/5xx pueden monitorearse en el recopilador. TR7 lleva las señales L7 a la capa de flujos para el análisis de ataques.
Los paths de aplicación dentro del alcance de datos de titulares de tarjetas pueden rastrearse con contexto de host y URL dentro de la exportación de flujos. Los equipos de auditoría reciben evidencia de tráfico basada en el path HTTP relevante en lugar de solo IP/puerto. Esto fortalece los procesos de determinación de alcance y creación de pistas de auditoría.
Los equipos de operaciones pueden ver el volumen de tráfico por path HTTP en lugar de solo IP/puerto en su sistema de análisis de flujos existente. Qué endpoint lleva qué carga puede analizarse con mayor detalle. Esta visibilidad apoya la planificación de recursos y las decisiones de crecimiento.
Exportación nativa compatible con IPFIX v10 y NetFlow v9 — registros de flujo enriquecidos con contexto HTTP sin sonda separada. Hagamos una demostración en vivo en su propia infraestructura de recopiladores.