TWSNMP FCのポーリング辞典：レポートをモニターする

TWSNMP FCで作成している各種のレポート（デバイス、サーバー、フロー、ユーザー）の信用スコアを集計して判断するポーリングについての説明です。

しくみの解説

このポーリングはLANデバイスのレポート

の信用スコアを周期的に集計して最大、最小、平均、中央、標準偏差などの値を計算するものです。同じ環境なら、そんなに変化はないと思いますが、
新しいデバイスが見つかるとか、ウイルスに感染したPCが突然おかしな通信を始めるとかがおこると値が変わると思います。この変化をAI分析してみつけようと思って作ったポーリングです。

ポーリング設定

のように設定します。

種別

Reportを選択します。

モード

集計するレポートの種類を指定します。
以下の設定があります。

device
LANデバイスレポートの集計です。
server
サーバーレポートの集計です。
flow
フローレポートの集計です。
user
ユーザーレポートの集計です。

判定スクリプト

ポーリングの結果を判断するためのスクリプトを設定します。空欄の場合には、常に正常と判断します。集計だけ行うものです。
スクリプトで使用できる変数は

count
レポートの件数です。
max
信用スコアの最大値です。
min
信用スコアの最小値です。
mean
信用スコアの平均値です。
median
信用スコアの中央値です。(v1.22.0から対応）
mode
信用スコアの最頻値です。
stddev
信用スコアの標準偏差です。

です。

ポーリング結果

のような感じです。
集計した値をグラフに描くことができます。

ポーリングのテンプレート

このポーリングのテンプレートは、種別をReportでフィルターすれば表示されます。

定義は、

  {
    "Name": "デバイスレポート信用スコア監視",
    "Type": "report",
    "Mode": "device",
    "Level": "low",
    "Script": "",
    "Descr": "デバイスレポートの信用スコアを定期的に集計して監視",
    "AutoMode": "disable"
  },
  {
    "Name": "ユーザーレポート信用スコア監視",
    "Type": "report",
    "Mode": "user",
    "Level": "low",
    "Script": "",
    "Descr": "ユーザーレポートの信用スコアを定期的に集計して監視",
    "AutoMode": "disable"
  },
  {
    "Name": "サーバーレポート信用スコア監視",
    "Type": "report",
    "Mode": "server",
    "Level": "low",
    "Script": "",
    "Descr": "サーバーレポートの信用スコアを定期的に集計して監視",
    "AutoMode": "disable"
  },
  {
    "Name": "通信フローレポート信用スコア監視",
    "Type": "report",
    "Mode": "flow",
    "Level": "low",
    "Script": "",
    "Descr": "通信レポートの信用スコアを定期的に集計して監視",
    "AutoMode": "disable"
  },

です。

v1.21.0までは中央値の計算がぬけていたので修正しました。