OSS統合監視ツール Pandora FMS 日本語コミュニティ - (Pandora:Documentation ja:Netflow)

提供: Pandora FMS jp
移動: 案内検索

Pandora FMS ドキュメント一覧に戻る

目次

Netflow

概要

From version 5.0, Pandora FMS is able to monitor the IP traffic using the NetFlow protocol. It allows to show patterns and general data of the traffic that are very useful.

バージョン 5.0 の Pandora FMS から、NetFlow プロトコルを使って IP 通信をモニターできます。通信のパターンおよび全体のデータを見ることができ、とても便利です。

Netflow is a network protocol developed by Cisco Systems to collect IP traffic information. Netflow has become an industry standard for network traffic monitoring, and is currently supported by several platforms besides Ciso IOS and NXOS, like Juniper devices, Enterasys Switches and operating systems like Linux, FreeBSD, NetBSD and OpenBSD.

Netflow は、Cisco Systems により開発された IP 通信の情報を収集するためのネットワークプロトコルです。Netflow はネットワークトラフィックモニタリングの業界標準になっており、現在では Cisco IOS および NXOS、Juniper デバイス、Enterasys Switches、そして Linux, FreeBSD, NetBSD, OpenBSD といった OS など複数のプラットフォームでサポートされています。


Netflow architecture.png

Net flow

Netflow capable devices (netflow probes) generate netflow records consisting of small chunks of information that are sent to a central device or netflow server (netflow collector), which stores and processes that information.

Netflow に対応したデバイス(netflowプローブ)は、情報の小さなかたまりで構成される netflow レコードを生成します。それは中央デバイスまたは netflow サーバ(netflowコレクタ)へ送信され、情報が保存、処理されます。

Data is transmitted using the Netflow protocol via UDP o SCTP. A netflow record is a small packet that only contains statistical information about a connection, not the whole raw data or the payload.

データは、UDP または SCTP にて Netflow プロトコルにより送信されます。netflow レコードは小さなパケットで、流れている全通信内容ではなく、接続に関する統計情報のみを含んでいます。

There are several Netflow implementations that may differ from the original specification and include additional information, but most of them provide at least the following:

オリジナルの仕様から異なり追加情報を含んだいくつかの Netflow 実装がありますが、ほとんどの場合少なくとも次の情報を含んでいます。

  • Source IP address.
  • 発信元 IP アドレス
  • Target IP address.
  • 宛先 IP アドレス
  • Source UDP or TCP port.
  • 発信元 UDP または TCP ポート
  • Target UDP or TCP port.
  • 宛先 UDP または TCP ポート
  • IP protocol.
  • IP プロトコル
  • Interface (SNMP ifIndex)
  • インタフェース (SNMP ifIndex)
  • Type of service.
  • サービスのタイプ

With time, some manufacturers have designed similar protocols with different names but the same purpose:

いくつかのベンダでは、異なる名前で似たようなプロトコルを定義していますが、目的は同じです。

  • Jflow o cflowd de Juniper Networks
  • Juniper Networks の Jflow または cflowd
  • NetStream de 3Com/H3C|HP
  • 3Com/H3C|HP の NetStream
  • NetStream de Huawei
  • Huawei の NetStream
  • Cflowd de Alcatel Lucent
  • Alcatel Lucent の Cflowd
  • Rflow de Ericsson
  • Ericsson の Rflow
  • AppFlow
  • AppFlow
  • sFlow
  • sFlow

Netflow コレクタ

A Netflow collector is a device (PC or server) placed in a network to gather all the Netflow information sent by routers and switches.

Netflow コレクタは、ルータやスイッチから送られた全ての Netflow 情報を収集するためにネットワーク上に置かれたデバイス(PCやサーバ)です。

A Netflow server is needed to receive and store that information. Pandora FMS uses nfcapd for this purpose, and it must be installed before Pandora FMS can process Netflow data. Pandora FMS starts and stop this server automatically as needed.

Netflow サーバは、データを受け取り保存するために必要です。Pandora FMS は、この目的に nfcapd を利用しています。Pandora FMS が Netflow データを処理できるようにするには、これをインストールする必要があります。Pandora FMS は、必要なときに自動的にこのサーバを起動・停止します。

Netflow プローブ

Probes are usually Netflow capable routers configured to send Netflow data to the Netflow collector (in our case, a Pandora FMS server with nfcapd running).

プローブは、通常 Netflow に対応したルータで、Netflow データを Netflow コレクタ (我々の場合、nfcapd が動いている Pandora FMS サーバです) に送信するように設定されたものです。


NewNetFlowApproach.png

インストールと必要要件

Pandora FMS uses an OpenSource tool callednfcapd to process all the netflow traffic. This daemon is automatically started by Pandora FMS Server. This system stores the data in binary files, in an specific location. You should install nfcapd in your system before working with Netflow, nfcapd by default listen in the port 9995/UDP. Please, consider this if you have firewalls to open this port.

Pandora FMS は、全ての netflow 通信を処理するためにオープンソースのツールである nfcapd を利用します。このデーモンは、Pandora FMS サーバにより自動的に起動されます。このシステムは、データを特定の場所のバイナリファイルに保存します。Netflow を使うには、nfcapd をインストールする必要があります。nfcapd のデフォルトの待ち受けポートは 9995/UDP です。ファイアーウォールがある場合は、このポートを開ける必要があることに注意してください。

nfcapd のインストール

nfcapd must be manually installed. Pandora FMS will not install nfcapd. For more information on how to install it go to the nfcapd project official page.

nfcapd は、手動でインストールする必要があります。Pandora FMS 自身は nfcapd をインストールしません。インストール方法の詳細は、nfcapd プロジェクトの公式ページを参照してください。

Pandora FMS by default uses the directory /var/spool/pandora/data_in/netflow to store Netflow data. nfcapd will point to this directory when started by the Pandora FMS Server. Do not change it unless you know what you are doing.

Pandora FMS はデフォルトで、Netflow データを保存するのに /var/spool/pandora/data_in/netflow ディレクトリを利用します。Pandora FMS サーバによって起動されるときに、nfcapd にこのディレクトリが指定されます。何を行っているかがわからない場合は、変更しないでください。

Pandora FMS needs nfdump version 1.6 to process Netflow data.

Pandora FMS では、Netflow データを処理するのに nfdump バージョン 1.6 が必要です。

To manually test your nfcapd installation run:

nfcapd の手動での動作確認には次のようにします。

nfcapd -l /var/spool/pandora/data_in/netflow -D

Bear in mind that the Pandora FMS Console, and more specifically the Web server that hosts it, needs access to /var/spool/pandora/data_in/netflow to read Netflow data files.

Pandora FMS コンソールが動いているウェブサーバプロセスから Netflow データファイルを読むために、/var/spool/data_in/netflow へアクセスできる必要があることに注意してくだい。

Netflow プローブのインストール

If a Netflow capable router is not available, but you use a Linux server to route your traffic, you can install a software Netflow probe that sends netflow information to the Netflow server.

Netflow に対応したルータが無く、Linux サーバをルータとして利用している場合は、netflow 情報を Netflow サーバへ送信するソフトウエアの Netflow プローブをインストールできます。

In Linux there is available a program called fprobe that gets the traffic and send it to a NetFlow server.With this program you can generate Netflow traffic that goes through its interfaces,i.e:

Linux では、fprobe というプログラムがあり、トラフィックを取得し Netflow サーバへ送信します。このプログラムで、次のようにインタフェースを通る Netflow トラフィックを生成することができます。

/usr/sbin/fprobe -ieth0 -fip 192.168.70.185:9995

Once the traffic has been generated, you could see stadistics of this traffic in the command:

トラフィックが生成されたら、次のコマンドでトラフィックの状態を見る事ができます。

nfdump -S -R /home/netflow_data/

That should show you information similar to the following one:

次のような情報が表示されます。

Aggregated flows 1286
Top 10 flows ordered by packets:
Date flow start          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
2011-12-22 20:41:35.697   901.035 TCP     192.168.60.181:50935 ->     192.168.50.2:22        2105   167388     4
2011-12-22 20:41:35.702   900.874 TCP       192.168.50.2:22    ->   192.168.60.181:50935     1275   202984     4
2011-12-22 20:48:15.057     1.347 TCP       157.88.36.34:80    ->    192.168.50.15:40044      496   737160     1
2011-12-22 20:48:14.742     1.790 TCP     91.121.124.139:80    ->    192.168.50.15:60101      409   607356     1
2011-12-22 20:46:02.791    76.616 TCP      192.168.50.15:80    ->   192.168.60.181:40500      370   477945     1
2011-12-22 20:48:15.015     1.389 TCP      192.168.50.15:40044 ->     157.88.36.34:80         363    22496     1
2011-12-22 20:46:02.791    76.616 TCP     192.168.60.181:40500 ->    192.168.50.15:80         303    24309     1
2011-12-22 20:48:14.689     1.843 TCP      192.168.50.15:60101 ->   91.121.124.139:80         255    13083     1
2011-12-22 20:48:14.665     1.249 TCP     178.32.239.141:80    ->    192.168.50.15:38476      227   335812     1
2011-12-22 20:48:21.350     0.713 TCP     137.205.124.72:80    ->    192.168.50.15:47551      224   330191     1

Top 10 flows ordered by bytes:
Date flow start          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
2011-12-22 20:48:15.057     1.347 TCP       157.88.36.34:80    ->    192.168.50.15:40044      496   737160     1
2011-12-22 20:48:14.742     1.790 TCP     91.121.124.139:80    ->    192.168.50.15:60101      409   607356     1
2011-12-22 20:46:02.791    76.616 TCP      192.168.50.15:80    ->   192.168.60.181:40500      370   477945     1
2011-12-22 20:48:14.665     1.249 TCP     178.32.239.141:80    ->    192.168.50.15:38476      227   335812     1
2011-12-22 20:48:21.350     0.713 TCP     137.205.124.72:80    ->    192.168.50.15:47551      224   330191     1
2011-12-22 20:48:15.313     1.603 TCP       89.102.0.150:80    ->    192.168.50.15:52019      212   313432     1
2011-12-22 20:48:14.996     1.433 TCP     212.219.56.138:80    ->    192.168.50.15:36940      191   281104     1
2011-12-22 20:51:12.325    46.928 TCP      192.168.50.15:80    ->   192.168.60.181:40512      201   245118     1
2011-12-22 20:52:05.935    34.781 TCP      192.168.50.15:80    ->   192.168.60.181:40524      167   211608     1
2011-12-22 20:41:35.702   900.874 TCP       192.168.50.2:22    ->   192.168.60.181:50935     1275   202984     4

Summary: total flows: 1458, total bytes: 5.9 M, total packets: 15421, avg bps: 49574, avg pps: 15, avg bpp: 399
Time window: 2011-12-22 20:40:46 - 2011-12-22 20:57:21
Total flows processed: 1458, Records skipped: 0, Bytes read: 75864
Sys: 0.006s flows/second: 208345.2   Wall: 0.006s flows/second: 221177.2  


If you have this system working, the following thing will be to configure Pandora FMS to it could use this configuration.

ここまでの動作確認ができたら、次はそれを利用できるようにするための Pandora FMS の設定です。

Pandora FMS における Netflow の動作

Pandora FMS does not store Netflow data in its database, information is processed on demand to render reports.

Pandora FMS は、Netflow データをデータベースには保存しません。情報は、レポートを表示する時にオンデマンドで処理されます。

Pandora FMS works with Netflow data using filters, which are sets of rules that match certain traffic patterns. A rule can be as simple as 'all the traffic from the 192.168.70.0/24 subnet', or it can be a complex pcap expression.

Pandora FMS は、フィルタ を使って Netflow データを処理します。フィルタは、通信パターンにマッチするルールのセットです。ルールは、'サブネット 192.168.70.0/24 からの通信すべて' といったように簡単です。また、pcap の書式も利用できます。

Once filters are created, we have to define reports that determine how the information matched by those filters is going to be displayed (charts, tables...) and the time frame. Netflow reports can be accessed on demand like any other Pandora FMS reports.

フィルタを作成したら、フィルタにマッチした情報をどのように表示するか(グラフや表)および時間範囲をレポートで定義する必要があります。Netflow レポートは、他の Pandora FMS レポートと同様にオンデマンドでのアクセスです。

Una vez definidos los filtros, definiremos los informes, que son, como queremos ver los datos (graficos, listas...) y en que intervalo de tiempo. Al definir filtros e informes, dejamos definida esa información, de forma similar a como se opera con los informes de Pandora, para utilizarla -bajo demanda- cuando queramos.

Los informes Netflow aparecerán también como "tipo de informe" en la seccion de Informes generales de Pandora, para poderlos "incorporar" también a los informes "normales" de Pandora.

Netflow のレポートは、Pandora の一般的なレポートのメニューからレポートとして表示されます。そのため通常のレポートに組み込むこともできます。

There is also a live Netflow viewer to analyze traffic, modify and create rules on the spot. It can be very useful to investigate problems or temporarily display a chart that we don't want to save for later usage.

また、通信の分析や素ぽーっとでルールを作成したり修正するためのライブ Netflow ビューワがあります。これは、問題を調査したり、保存しない一時的なグラフを表示するのにするのにとても便利です。

Enterprise 版: Pandora での分析

The Enterprise version allows you to store average traffic values for any filters as Pandora FMS modules. This allows you to configure alerts, generate combined charts or work with it as with any other Pandora FMS module. For more information see section:

Enterprise版では、Pandora FMS のモジュールとして、フィルタリングした平均トラフィックを保存することができます。これにより、アラートを設定したり、重ね合わせグラフを生成したり、他の Pandora FMS モジュールと共に利用することができます。より詳細は、以下を参照してください。

Netflow monitoring with Prediction server

予測サーバによる Netflow モニタリング

設定

First of all, we have to authorize Netflow to it would be accessible from the Operation and Administration menus.

まず最初に、Netflow を操作(Operation)およびシステム管理(Administration)メニューからアクセスできるようにする必要があります。


900px

In the Administration menu, in the Configuration chapter, we find the Netflow option in which we specify the path in which are the files captured of the Netflow traffic. For example:/tmp/netflow. It is also important to verify that the path to the nfcapd daemon is correct.

システム管理(Administration)メニューの、設定(Configuration)の中に、Netflow オプションがあります。そこで、Netflow 通信で取得したファイルを置くパスを指定します。例えば、/tmp/netflow です。また、nfcapd デーモンのパスも正しく設定されている必要があります。



700px



The following configuration options are available:

  • Data storage path: Directory where netflow data files will be stored. IMPORTANT: The access speed of the disk where Netflow data resides is usually the limiting performance factor.
  • Daemon interval: Time interval in seconds after which data files are rotated. A value of 3600 is recommended. A bigger interval means potentially bigger files, which means less I/O overhead. But it also makes finding data for a specific time interval slower.
  • Daemon binary path: Path to the nfcapd binary.
  • Nfdump binary path: Path to the nfdump binary.
  • Maximum chart resolution: Maximum number of points that a netflow area chart will display. The higher the resolution the lower the performance. Values between 50 and 100 are recommended.
  • Disable live view custom filters: If enabled, only Netflow filters previously created by an administrator can be used in the Netflow live view.
  • Netflow max lifetime: Netflow data older than the specified number of days will be deleted.

次の設定オプションがあります。

  • データ保存パス(Data storage path): Netflow データが保存されるディレクトリです。重要: Netflow データを保存するディスクのアクセス速度はパフォーマンスに影響します。
  • デーモン間隔(Daemon interval): データファイルをローテートする時間間隔(秒)です。3600を推奨します。間隔を大きくすると大きなファイルとなり、I/O のオーバーヘッドは小さくなりますが、特定の時間間隔におけるデータの検索は遅くなります。
  • デーモンバイナリパス(Daemon binary path): nfcapd バイナリのパスです。
  • Nfdump バイナリパス(Nfdump binary path): nfdump バイナリのパスです。
  • 最大グラフ解像度(Maximum chart resolution): Netflow グラフを表示するエリアの最大サイズです。解像度を高くするとパフォーマンスが下がります。50 と 100 の間の値をお勧めします。
  • ライブビューカスタムフィルタの無効化(Disable live view custom filters): 有効にすると、管理者によってあらかじめ作成された Netflow フィルタのみが Netflow ライブビューで利用できます。
  • Netflow 最大保存期間(Netflow max lifetime): 指定した日数よりも古い Netflow データが削除されます。

Once netflow configuration is enabled, Pandora FMS server must be restarted to start nfcapd server. This server must be accesible on system path and properly installed. Check server logs on any doubt. This server will not appear in Pandora FMS server view because it is not a Pandora server.

netflow 設定を有効にした場合、nfcapd サーバを起動するために Pandora FMS サーバを再起動する必要があります。このサーバは、システムからアクセスできるパスにインストールされている必要があります。動作に関して疑問点があればサーバログを確認してください。このサーバは、Pandora FMS サーバではないため、サーバ表示には現れません。

フィルタ

The creation and edition of filters is at "Administración / Netflow / Filters".In this snapshot there is a list of the filters already created and that can be changed and deleted.

フィルタの作成と編集は、"システム管理 -> Netflow -> フィルタ" で行います。ここでは、すでに作成済みのフィルタ一覧があり、変更や削除ができます。

The Netflow filters allows to define some features that we are going to explain now.

Netflow フィルタは、ここで説明するいくつかの機能を定義することができます。

  • Name: It's advisable that the name of the filter would be descriptive.
  • 名前(Name): フィルタの名前です。解りやすいものを定義してください。
  • Group:An user could only create one filter or edit one filter of one group to it has access to.
  • グループ(Group): 1ユーザは、アクセス可能なグループの一つのフィルタのみ作成または編集できます。
  • Filters: There are two types of filters, basic and advanced. Advanced filters allow using advanced expressions in the same format as nfdump. Basic filters can filter traffic by source Ip, destination Ip, source port or destination port. Lists of comma separated Ips or ports are accepted.
  • フィルタ(Filters): フィルタには、基本と拡張の 2つのタイプがあります。拡張フィルタは、nfdump と同じフォーマットの拡張表現が利用できます。基本フィルタは、発信元IP、宛先IP、発信元ポート、宛先ポートで通信をフィルタできます。カンマで区切った IP またはポートリストが利用できます。
  • Added: The traffic will be grouped following some of these points:
IP Origin: shows the traffic for each IP of different origin
IP Destination: shows the traffic for each IP of different destination
Origin Port: shows the traffic for each port of different origin
Destiny Port: shows the traffic for each port of different destination
Protocol: shows the traffic for each different protocol.
Any: (the data will be total).
  • 集約: 通信が次の基準で集約されます:
発信元 IP(IP Origin): 異なる発信元 IP ごとに通信を表示します。
宛先 IP(IP Destination): 異なる宛先 IP ごとに通信を表示します。
発信元ポート(Origin Port): 異なる発信元ポートごとに通信を表示します。
宛先ポート(Destiny Port): 異なる宛先ポートごとに通信を表示します。
プロトコル(Protocol): 異なるプロトコルごとに通信を表示します。
全て(Any): (全データ)
  • Exit format: The result could be shown at:
Packages.
Bytes.
Bits by second.
Bytes by package.
  • 出力フォーマット: 次の出力が表示されます:
パケット数
バイト数
通信速度(bps)
バイト数/パケット数

Basic web traffic filter example:

基本ウェブ通信フィルタの例:


Netflow filter normal.png

Advanced intranet traffic filter example:

拡張イントラネット通信フィルタの例:


Netflow filter advanced.png

Here are other examples of advanced filters:

以下に、他のフィルタ例を示します。

  • Capture traffic to or from 192.168.0.1:
host 192.168.0.1
  • Capture traffic to 192.168.0.1:
dst host 192.168.0.1
  • Capture traffic from 192.168.0.0/24:
src net 192.168.0.0/24
  • Capture HTTP and HTTPS traffic:
(port 80) or (port 443)
  • Capture all traffic except DNS:
port not 53
  • Capture SSH traffic to 192.168.0.1:
(port 22) and (dst host 192.168.0.1)
  • 192.168.0.1 発または宛のトラフィックをキャプチャ:
host 192.168.0.1
  • 192.168.0.1 宛のトラフィックをキャプチャ:
dst host 192.168.0.1
  • 192.168.0.0./24 発のトラフィックをキャプチャ:
src net 192.168.0.0/24
  • HTTP および HTTPS のトラフィックをキャプチャ:
(port 80) or (port 443)
  • DNS 以外の全トラフィックをキャプチャ:
port not 53
  • 192.168.0.1 宛の SSH トラフィックをキャプチャ:
(port 22) and (dst host 192.168.0.1)

レポート

Netflow reports are integrated with Pandora FMS reports (see Reports for more information).

Netflow レポートは、Pandora FMS のレポート機能に統合されています。(詳細は、 レポート を参照してください)

To create a report item, choose one of the available netflow report items.

新たにレポートアイテムを作成するには、netflow レポートアイテムの一つを選択します。

900px



And configure it. The following options are available:

そして、設定します。次のオプションがあります。



900px



  • Type: Item types will be explained below.
  • タイプ(Type): 以下に説明するアイテムのタイプです。
  • Filter: Netflow filter to use.
  • フィルター(Filter): 利用する Netflow フィルタです。
  • Description: Item description.
  • 説明(Description): アイテムの説明です。
  • Period: Length of the interval of data to display.
  • 間隔(Period): データを表示する期間です。
  • Resolution: Data will be retrieved in blocks of size equal to the resolution. If Period / Resolution is bigger than the configure maximum chart resolution the resolution will be dynamically readjusted. For example, for a period of 1 day and a resolution of 1 hour 24 points will be drawn in the chart.
  • 解像度(Resolution): データは、解像度に指定したサイズで取得されます。もし、間隔/解像度を最大グラフ解像度より大きく設定すると、動的に再調整されます。例えば、間隔が 1日で、解像度が 1時間の場合、24ポイントがグラフに表示されます。
  • Max. values: Maximum number of elements for aggregates. For example, if a chart of HTTP traffic is drawn aggregated by source IP address and Max. values is set to 5, only 5 IP addresses will be shown.
  • 最大値(Max. values): 集約する要素の最大値です。例えば、HTTP トラフィックのグラフを書く場合、ソースIPアドレスで集約し、最大値が 5 であれば、5つの IP アドレスのみが表示されます。

There are five types of netflow report items:

netflow レポートのアイテムは、5種類あります。

  • Area chart: An area chart, either aggregated or unaggregated.
  • 塗りつぶしグラフ(Area chart): 集約または未集約の塗りつぶしグラフです。



600px



  • Pie chart: An aggregated pie chart.
  • 円グラフ(Pie chart): 集約した円グラフです。



300px



  • Data table: A text representation of the area chart.
  • データ一覧(Data table): 塗りつぶしグラフをテキストで表したものです。



600px



  • Statistics table: A text representation of the pie chart.
  • 状態一覧(Statistics table): 円グラフをテキストで表したものです。



ファイル:Netflow table statistics.png



  • Summary table: Traffic summary for the given period.
  • サマリ一覧(Summary table): 指定した間隔のトラフィックサマリです。



ファイル:Netflow summary.png



Netflow ライブビュー

Filters can be visualized live from "Operation / Netflow / Live view". This tool allows you to preview changes made to a filter and save it when the desired result is achieved. It is also possible to load and modify already existing filters.

フィルタした情報は、"操作 -> Netflow -> ライブビュー" から表示できます。このツールで、フィルタの変更のプレビューおよび、好みの出力結果を保存できます。設定したフィルタをロードし編集することもできます。

See Reports and Filters to learn how to configure live view options.

ライブビューオプションの設定方法については、レポートフィルタ を参照してください。


Netflow live view.png

To modify an existing filter load if from the Load filter selector, make the desired changes and click on Update current filter.

フィルタの選択から既存のフィルタを編集するには、変更したい部分を修正し、既存のフィルタの更新(Update current filter)をクリックします。



600px



To create a new filter, configure it, click on Save as new filter, enter a name and optionally select a group and click on Save as new filter again.

新たなフィルタを作成するには、設定後、新たなフィルタとして保存(Save as new filter)をクリックします。名前とオプションでグループを選択し、新たなフィルタとして保存(Save as new filter)を再度クリックします。



600px



Go back to Pandora FMS documentation index

Pandora FMS ドキュメント一覧に戻る

商用サービス&サポート(日本)
個人用ツール