見出し画像

TWSNMP FCのポーリング辞典:NetFlow(IPFIX)のログをモニタする

twsnmp

ネットワーク管理のためにはネットワーク上の通信内容をモニタすることは有益です。暗号化していないHTTPやTELENETの通信が使われていることを検知して管理者に知らせることができればネットワークの安全性を向上できます。TWSNMP FCはNetFlow(IPFIX)のデータを受信してログに記録することができます。このログを定期的に検索して特定の条件の通信の回数や通信量をモニタするポーリングについて説明します。

NetFlow(IPFIX) とは

いつものように、NetFlowについては、

とかを見てください。IPFIXはNetFlowを標準仕様に進化させたものです。

NetFlow/IPFIXをモニタする設定

「システム設定」ー「マップ」のメニューで表示されるマップ設定画面

でNetFlowのスイッチをオンにしてください。IPFIXも同じポートで受信するので設定は一つです。スイッチをオンにしても受信できない場合は、

が参考になると思います。NetFlowの受信は「ログ」ー「NetFlow/IPFIX」のメニューで表示できる画面で確認できます。

ポーリング設定

NetFlow(IPFIX)のポーリングは、

です。

種別

NetFlowかIPFIXを指定します。受信しているデータに応じて設定してください。

モード

空欄の場合は、カウントモードです。trafficを指定すると通信量を集計するモードです。

フィルター

カウンターモードの場合は、ちょっとやっかいです。
ログのデータは
NetFlowの場合

srcAddr 192.168.1.1
srcPort 5128
dstAddr 192.168.1.2
dstPort 22
protocol 6

のような感じです。IPFIXの場合は

destinationIPv6Address	240d:2:6306:6700:225:36ff:feab:7753
destinationTransportPort	53
egressInterface	0
flowDirection	1
flowEndReason	1
flowEndSysUpTime	1.427196372e+09
flowStartSysUpTime	1.427196359e+09
ingressInterface	0
ipClassOfService	0
ipVersion	6
octetDeltaCount	92
packetDeltaCount	1
protocolIdentifier	17
protocolStr	udp
sourceIPv6Address	240d:2:6306:6700:d4c3:f385:7c78:ed20
sourceTransportPort	55736
tcpControlBits	0

のようなテキストデータです。フィルターをかける場合は、

protocolStr\s+udp\s*

のように設定すればUDPのNetFlowのデータを識別できます。

trafficモードの場合は、もう少し楽です。

src=正規表現の送信元IP,dst=正規表現の宛先IP,ip=正規表現のIP,port=ポート番号,prot=プロトコル番号

のようにカンマ区切りで指定できます。必要なものだけ指定します。
ipとportは送信元、宛先のどちらかにあればよいです。

判定スクリプト

カウンターモードで利用できる変数は

count
ログの件数

のみです。

count < 1

のように指定します。
trafficモードの場合は、

bps
毎秒バイト数
pps
毎秒パケット数
bytes
総バイト数
packets
総パケット数

pps < 10000

のような指定ができます。

trafficモードの測定結果をマップに表示

trafficモードで測定するとマップのラインに通信量を表示するために利用できます。

ポーリングの設定を

のようにして、ラインの情報のためのポーリング

に、先程設定したポーリングを設定すればよいです。

ポーリングテンプレート

この記事で説明したポーリングのテンプレートは、

  {
    "Name": "NetFlowで通信監視",
    "Type": "netflow",
    "Filter": "フィルター条件",
    "Script": "count < 1",
    "Level": "off",
    "Descr": "NetFlowで通信監視",
    "AutoMode": "disable"
  },
  {
    "Name": "NetFlow通信量測定",
    "Type": "netflow",
    "Mode": "traffic",
    "Params": "",
    "Level": "off",
    "Descr": "NetFlowの情報から通信量を集計",
    "AutoMode": "disable"
  },
  {
    "Name": "IPFIX通信量測定",
    "Type": "ipfix",
    "Mode": "traffic",
    "Params": "",
    "Level": "off",
    "Descr": "IPFIXの情報から通信量を集計",
    "AutoMode": "disable"
  }

です。

いいなと思ったら応援しよう!

twsnmp
開発のための諸経費(機材、Appleの開発者、サーバー運用)に利用します。 ソフトウェアのマニュアルをnoteの記事で提供しています。 サポートによりnoteの運営にも貢献できるのでよろしくお願います。