TWSNMPのログ表示(NetFlow/IPFIX)
TWSNMPで受信したNetFlow/IPFIXの情報を確認する方法について説明します。
NetFlow/IPFIXの表示方法
まず、ログ表示Windowを表示します。方法はイベントログと同じように、ツールバーかノードを選択しない状態の右クリックメニューから起動します。ログ表示WindowのNetFlow TABまたは、IPFIX TABをクリックすることで表示します。
NetFlow TAB
グラフ:
画面上にあるグラフには単位時間のNetFlowデータの件数を表示します。
1ページ表示件数:
リストの1ページに表示するログの件数を指定します。
<Copy>ボタン:
リストに表示しているログをクリップボードにコピーします。
<CSV>/<Excel>ボタン:
リストに表示しているログをCSV形式、またはExcel形式で保存します。
フィルター(表示フィルター):
検索結果のログを入力した文字列でフィルター表示します。
検索期間:
表示するログの検索期間を指定します。
検索フィルター:
データベースから検索するNetFlowデータに含まれる文字列を指定します。
検索フィルターには、通常の文字列か正規表現を指定できます。文字列に*を含めると*の部分は任意の文字として検索します。
正規表現を利用するためには、正規表現の検索文を`(バッククオート)で囲みます。
<検索>ボタン:
指定した条件でデータベースからログの検索を実行します。
<詳細>ボタン:
検索条件を指定するダイアログを表示します。
<閉じる>ボタン:
ログ表示Windowを閉じます。
リストには、以下のような項目が表示されます。
記録日時:
NetFlowデータを受信した日時です。
srcAddr:
送信元IPアドレスです。
srcPort:
送信元ポート番号です。
dstAddr:
宛先IPアドレスです。
dstPort:
宛先ポート番号です。
Prot:
TCP/UDPなどのプロトコルです。
TCP Flag:
フローの中のパケットに設定されたTCPのフラグの値です。
Packets:
フローのパケット数です。
Bytes:
フローのバイト数です。
Time:
フローの継続時間です。
NetFlow詳細検索ダイアログ
送信元IP:
検索する送信元のIPアドレスを指定します。
送信元Port:
検索する送信元のポート番号を指定します。
宛先IP:
検索する宛先のIPアドレスを指定します。
宛先Port:
検索する宛先のポート番号を指定します。
プロトコル:
検索するプロトコルを指定します。
IPFIX TAB
グラフやボタン及びリストの表示項目は、NetFlow TABの説明と同じですので省略します。
IPFIX詳細検索ダイアログ
詳細検索のダイアログもNetFlowと同じですので説明は省略します。
まとめ動画
猫が登場しますが解説ではなく「寝ているのにうるさい」と抗議している鳴き声です。
NetFlowによる分析について思うこと
NetFlowはネットワークの利用状況やセキュリティーの面でとても有益な情報を提供してくれます。しかし、受信した生のデータから分析するには検索、集計、表示に関して工夫が必要でかなり大変です。セキュリティー面でのNetFlowの利用については、
の本を私は、NetFlow分析のバイブルだと思っています。
TWSNMPでは、この記事で説明した生のNeFlowデータの分析画面ではなく、レポート画面で分析することを考えています。そのレポートにこの本の手法を組み込んでいければと思っています。
開発のための諸経費(機材、Appleの開発者、サーバー運用)に利用します。 ソフトウェアのマニュアルをnoteの記事で提供しています。 サポートによりnoteの運営にも貢献できるのでよろしくお願います。