Klasik NetFlow ve flow analitiği çoğu zaman kaynak IP, hedef IP, port, protokol ve byte sayısı gibi L3/L4 alanlarına dayanır. Bu bilgiler ağ kapasitesi ve trafik yönü için değerlidir; ancak modern HTTP ve API trafiğinde "ne oldu?" sorusunu tek başına cevaplamaz. Aynı IP ve port üzerinden yüzlerce farklı host, path, metod ve uygulama davranışı taşınabilir.
Operasyon ve güvenlik ekipleri flow collector ekranında yüksek trafik hacmini görebilir; fakat bu trafiğin hangi URL'ye, hangi metodla, hangi durum koduyla ve hangi istemci bağlamıyla oluştuğunu göremezse analiz yarım kalır. Kapasite planlama, DDoS analizi, PCI kapsam raporlaması ve request-level audit için L7 bağlamı gereklidir.
Bu boşluğu kapatmak için ayrı flow probe veya harici collector katmanı eklemek mümkündür; ancak bu ek kurulum, ayrı bakım, ayrı yüksek erişilebilirlik modeli ve ayrı izleme yükü getirir. Ayrıca uygulama trafiği zaten ADC/WAAP katmanından geçerken aynı bağlamı tekrar başka bir noktada üretmek operasyonel olarak verimsizdir.
Doğru yaklaşım, flow export'u trafik geçiş noktasında üretmek ve standart IPFIX / NetFlow formatıyla dış sistemlere aktarmaktır. Standart alanlar ağ görünürlüğünü korurken, Enterprise IE alanlarıyla HTTP bağlamı eklenmelidir. Böylece flow analitiği sistemleri yalnızca "hangi IP ne kadar konuştu?" değil, "hangi path, hangi response ve hangi istemci bağlamıyla konuştu?" sorusunu da cevaplar.
TR7 IPFIX / NetFlow Yerleşik Dışa Aktarım, standart IPFIX alanlarını TR7 Enterprise IE alanlarıyla birleştirir; request ve response aşamasından L7-zenginleştirilmiş flow kaydı üretir.
TR7, flow export'u harici probe işi olmaktan çıkarıp ADC/WAAP veri yoluna yerleşik bir gözlemlenebilirlik katmanı olarak uygular.
Standart ve enterprise bilgi elemanları yerleşik kütüphane ile hazırlanır. Lua wrapper request ve response aşamasından gerekli değerleri alarak IPFIX kaydına dönüştürür.
İstek tarafında host, path, query, metod, header ve upload byte bilgisi toplanır. Yanıt tarafında status code, response content-type, downloaded bytes ve termination state gibi alanlar flow kaydını tamamlar.
IPFIX v10 formatı, template set ve template ID yapısıyla flow alanlarını dış sistemlere tanımlar. Bu model collector tarafında alanların doğru ayrıştırılmasını ve standart flow analitiğiyle uyumu kolaylaştırır.
TR7 Enterprise Number 57011 altında upload/download byte sayısı, request query, X-Forwarded-For, Referer, Cookie, response content-type ve termination state gibi özel alanlar tanımlanır. Böylece klasik flow verisi L7 bağlamıyla zenginleşir.
IPFIX / NetFlow dışa aktarımı, standart ağ alanlarını HTTP request/response detaylarıyla birleştirerek collector sistemlerine zengin flow kaydı gönderir.
TR7, sourceIPv4Address, destinationIPv4Address, sourceIPv6Address ve destinationIPv6Address alanlarını standart IPFIX bilgi elemanlarıyla aktarabilir. Bu sayede hem IPv4 hem IPv6 trafik flow analitiği kapsamında görünür olur. Çift-stack ortamlarda yalnızca IPv4'e dayalı eksik analiz yapılmaz. Collector tarafında kaynak ve hedef ağ görünürlüğü standart alanlarla korunur.
sourceTransportPort ve destinationTransportPort alanları flow kaydına eklenir. Bu alanlar istemci bağlantısı, VIP portu ve servis erişimi gibi ağ seviyesindeki analizlerde önemlidir. HTTP bağlamı ile birleştiğinde hangi port üzerinden hangi uygulama path'inin çalıştığı görülebilir. Kapasite ve anomali analizleri daha anlamlı hale gelir.
httpRequestHost, httpRequestPath, httpRequestMethod ve httpMessageVersion gibi standart HTTP alanları flow kaydını L7 seviyesine taşır. Aynı IP ve port üzerinden gelen farklı host veya path'ler ayrıştırılabilir. Bu, sanal servislerde ve çoklu uygulama yapılarında kritik görünürlük sağlar. Flow analitiği artık yalnızca bağlantıyı değil, uygulama isteğinin bağlamını da gösterir.
httpStatusCode alanı yanıtın başarı, yönlendirme, istemci hatası veya kurum servisi hatası olup olmadığını gösterir. Request content-type ve response content-type alanları ise taşınan verinin türünü analiz etmeye yardımcı olur. Bu bilgiler özellikle hata oranı, API davranışı ve veri tipi bazlı trafik incelemesinde değerlidir. Flow collector üzerinde L7 hata trendleri daha net okunabilir.
httpUserAgent, httpReferrer ve httpCookie alanları istemci davranışının daha ayrıntılı analiz edilmesine yardımcı olur. Bu alanlar bot analizi, kullanıcı akışı incelemesi ve istemci tipi ayrımı için kullanılabilir. Cookie alanı hassas veri içerebileceği için export politikası dikkatli tasarlanmalıdır. Gerektiğinde yalnızca güvenli ortamlar ve sınırlı collector hedefleri için etkinleştirilmelidir.
TR7 Enterprise IE içinde uploadedBytes ve downloadedBytes alanları yer alır. Bu alanlar request body ve response body hacmini flow seviyesinde ölçmeyi sağlar. Sadece toplam bağlantı byte sayısı değil, uygulama yönündeki veri akışı da analiz edilebilir. Büyük upload, anormal download veya veri sızıntısı şüphesi gibi durumlarda bu görünürlük değerlidir.
httpRequestQuery alanı path dışında kalan query parametrelerini flow kaydına ekler. httpXForwardedFor alanı ise proxy zinciri arkasındaki gerçek istemci IP bilgisini analiz etmeye yardımcı olur. Bu iki alan özellikle uygulama logları ile flow kayıtlarını eşleştirmede değerlidir. Güvenlik ve uyumluluk incelemelerinde request bağlamı daha tamamlanmış olur.
httpTerminationStateCode alanı, bağlantının nasıl sonlandığına dair ek sinyal sağlar. Normal kapanış, hata, kesinti veya beklenmeyen sonlanma durumları flow analitiğinde ayrıştırılabilir. Bu bilgi ağ ve uygulama katmanı sorunlarının birlikte değerlendirilmesine yardımcı olur. SRE ekipleri için hata kök neden analizinde değerli bir alan oluşturur.
Enterprise IE alanları TR7 Enterprise Number 57011 altında tanımlanır. Bu yapı standart IPFIX uyumunu bozmaz; özel alanları açık ve ayrıştırılabilir biçimde taşır. Collector tarafı bu alanları tanıyacak şekilde ayarlandığında L7 detaylar flow ekranlarında kullanılabilir. Standart ve özel alanlar aynı export kaydında birleşir.
TR7'nin export yaklaşımı IPFIX v10 temelinde çalışır ve NetFlow v9 backward compat hattını destekler. Bu sayede kurumların mevcut flow collector ve ağ görünürlük yatırımlarıyla entegrasyon kolaylaşır. Yeni bir özel log formatı öğrenmek yerine standart flow ekosistemi kullanılabilir. L7 zenginleştirme ise TR7'nin ek değer katmanı olarak gelir.
IPFIX / NetFlow export; template yapısı, enterprise alanları, transport davranışı, byte order ve build bağımlılıklarıyla birlikte işletilir.
IPFIX version değeri 10'dur. Template Set ID 2, Template ID ise 256 olarak kullanılır. Bu template collector tarafına hangi alanların hangi sırayla geleceğini bildirir.
IPFIX header; version, length, exportTime, sequenceNumber ve observationDomainId alanlarından oluşur. Toplam header uzunluğu 16 byte'tır. Bu yapı standart IPFIX collector uyumu için temel çerçeveyi sağlar.
TR7 özel bilgi elemanları Enterprise Number 57011 altında taşınır. uploadedBytes, downloadedBytes, httpRequestQuery, httpXForwardedFor, httpReferrer, httpCookie, httpResponseContentType ve httpTerminationStateCode alanları bu kapsamda tanımlanır. Standart olmayan L7 alanları bu yöntemle açıkça ayrıştırılır.
Export için varsayılan taşıma UDP olarak konumlandırılır. Collector portu ortam ihtiyacına göre 4779 veya 2055 gibi değerlerle yapılandırılabilir. UDP düşük maliyetli ve yaygın bir flow taşıma modelidir; teslim garantisi gerektiren ortamlarda collector mimarisi dikkatli planlanmalıdır.
Çok byte'lı alanlar network byte order kullanılarak aktarılır. Port, uzunluk, template ve sayaç alanlarının doğru ayrıştırılması için bu davranış kritiktir. Collector uyumluluğu büyük ölçüde bu standart kodlamaya bağlıdır.
Yerleşik C kütüphanesi Lua entegrasyonu için paylaşımlı kütüphane olarak derlenir. Build ortamında Lua geliştirme paketleri, pkg-config ve derleme araçları gerekir. Ortaya çıkan kütüphane Lua wrapper tarafından çağrılarak flow kaydı üretir.
Servis sağlayıcı TR7'den IPFIX export alarak mevcut flow analitiği sisteminde HTTP host, path ve status code detaylarını görebilir. Klasik IP/port analizi L7 bağlamıyla genişler. Kapasite ve anomali incelemesi daha anlamlı hale gelir.
Finans kurumları her HTTP isteğini flow kaydı olarak dış sistemlere aktarabilir. Host, path, metod, durum kodu ve byte alanları SIEM veya flow collector ile korele edilebilir. Denetimlerde hangi uygulama yolundan hangi trafik aktı sorusu daha net cevaplanır.
Güvenlik ekipleri flow kayıtlarındaki uploaded/downloaded byte değerlerini ve HTTP status code dağılımını anomali tespitinde kullanabilir. Ani yüksek upload, olağandışı download veya yoğun 4xx/5xx paterni collector tarafında izlenebilir. TR7, saldırı analizi için L7 sinyalleri flow katmanına taşır.
Kart verisi kapsamındaki uygulama path'leri flow export içinde host ve URL bağlamıyla izlenebilir. Denetim ekipleri yalnızca IP/port değil, ilgili HTTP path üzerinden trafik kanıtı alır. Bu, kapsam belirleme ve audit trail oluşturma süreçlerini güçlendirir.
Operasyon ekipleri mevcut flow analitiği sisteminde yalnızca IP/port yerine HTTP path bazında trafik hacmi görebilir. Hangi endpoint ne kadar yük taşıdığı daha ayrıntılı analiz edilir. Bu görünürlük kaynak planlaması ve büyüme kararlarını destekler.
IPFIX v10 ve NetFlow v9 uyumlu yerleşik export — ayrı probe gerekmeden HTTP bağlamıyla zenginleştirilmiş flow kayıtları. Kendi collector altyapınızda canlı gösterim yapalım.