TWSNMPポーリング辞典:NetFlow(IPFIX)のログをモニタする
ネットワーク管理のためにはネットワーク上の通信内容をモニタすることは有益です。暗号化していないHTTPやTELENETの通信が使われていることを検知して管理者に知らせることができればネットワークの安全性を向上できます。TWSNMPはNetFlow(IPFIX)のデータを受信してログに記録することができます。このログを定期的に検索して特定の条件の通信の回数や通信量をモニタするポーリングについて説明します。
NetFlow(IPFIX) とは
いつものように、NetFlowについては、
とかを見てください。IPFIXはNetFlowを標準仕様に進化させたものです。
ポーリング設定
NetFlow(IPFIX)のポーリングは、
のように種別を受信しているデータに応じてNetFlowまたはIPFIXに設定します。定義の書式は、syslogのモニタと同様に
検索フィルター|抽出フィルター|判定条件のように設定します。例えば、
`\\"protocol\\":6,.*\\"srcPort\\":22,`||count < 1のように設定すればSSHの通信を検知できます。
検索フィルター
検索フィルターは正規表現で設定します。ログ表示Windowの詳細検索で作成するのが簡単です。
その他の設定
抽出フィルターや判定条件の設定は、基本的にsyslogやSNMP TRAPと同じですので、
を見てください。
ポーリング結果
ポーリングの結果も他のログをモニタするポーリングと同様です。
のように記録できます。AI分析もできます。
ポーリングテンプレート
この記事で説明したポーリングのテンプレートは、
からダウンロードできます。
いいなと思ったら応援しよう!
