セキュリティ情報
記事公開日:2020.05.14
最終更新日:2021.03.29
FlowmonへのGUIアクセスで、TLS 1.0 を使用しているようです。TLS 1.2 を有効化 し、TLS 1.0 , TLS 1.1 を無効化することは可能ですか?
Flowmon側でTLSの有効化や無効化を行うことはできません。
TLS1.2に移行するためにはTLS1.2対応ブラウザよりFlowmonにアクセスしてください。
LDAPサーバへの接続試験を行うと成功しましたと表示されますが、LDAPユーザでログインを行うと「invalid username or password.」と表示され、ログインできません。
LDAPのユーザは、必ずFlowmonのロール名(役割)を含むグループに所属している必要があります。
グループ名は以下の命名規則で作成してください。
[接頭辞] +(ハイフンまたはアンダーバー)+ [Flowmonのロール名]
【例】グループ名を "flowmon-user"と設定する場合
"flowmon"を接頭辞としてFlowmonのLDAP設定の「ユーザー定義のグループプレフィックス」に設定
"user"という役割を事前にFlowmonに作成
グループの入れ子状態(グループ内にグループがあり、その中にユーザが所属)では正常に動作しませんのでご注意ください。
Flowmonの脆弱性について教えてください。
Flowmonは製品の脆弱性に関する情報が公開されておりません。
しかしながら、Flowmonはマイナーリリース毎に脆弱性診断を実施し、Flowmonに脆弱性が無いことを確認したうえで開発元から出荷されております。
また、Flowmonはパブリッククラウドサービス向けの仮想環境も提供しており、これらのプロパイダーから要求される厳しい基準を遵守するため、Qualys社が脆弱性診断を行っております。
脆弱性に対応するため、なるべく最新の国内サポートバージョンをご利用ください。
sudoの脆弱性(CVE-2021-3156)の影響をうけますか?
Flowmon(Ver10.02.07現在)の sudoバージョンは1.8.20p2ですが、
Flowmonではsudoで利用できるコマンドを制限しているため、
(CVE-2021-3156)で報告されている脆弱性の影響を受けません。
ご参考までにFlowmonで上記の脆弱性の影響を受けないことを確認する方法をご紹介します。
1.FlowmonコンソールにSSHで接続します。
「Tera term」などのssh端末ソフトで、Flowmon管理コンソールのIPにアクセスします。
ホスト:<FlowmonのIPアドレス>
ユーザ : flowmon
パスワード : inv3a-t3ch(初期パスワード)
※実際のパスワードの設定値は、パラメータシートにてご確認ください。
2.下記コマンドを入力します。
sudoedit -s /
3. [sudo] password for flowmon:
※パスワードはFlowmonコンソールにSSHをログインするパスワードになります。
パスワードを入力後、以下のメッセージが表示され、/ を使用したコマンドの実行権限が無いことが確認できます。
Sorry, user flowmon is not allowed to execute 'sudoedit /' as root on localhost.
よってFlowmonは脆弱性(CVE-2021-3156)の影響はございません。
ssh の鍵認証設定を flowmon に実施する手順を教えてください。
sshの鍵認証設定につきましては以下手順にて実施可能です。
なお以下はWindowsでTera Termを使用して鍵を作る場合の手順です。
鍵の生成方法はお客様がご利用の環境に従って生成してください。
1.RSAの秘密鍵と公開鍵を作成する。
Tera Termを起動し、設定>SSH鍵生成 をクリックします。
次に生成をクリックすると鍵の生成が始まります。
この状態で鍵はまだ保存されていません。
生成後、パスフレーズ(Key passphrase)とパスフレーズの確認(Confirm passphrase)に同じパスフレーズを入力します。
その後、「公開鍵の保存」及び「秘密鍵の保存」をクリックし、鍵を保存します。
2.公開鍵を保存しておく場所を作成し、公開鍵を保存する。
Tera Termを起動し、該当のFlowmonに以下にて接続します。
アカウント (固定)ログインID : flowmon パスワード : inv3a-t3ch(デフォルト)
その後、公開鍵を保存しておく場所となる、以下pathの.sshディレクトリに移動します。
/home/flowmon/.ssh
.sshディレクトリが存在しない場合は、「mkdir ssh」コマンドで作成します。
次に.sshディレクトリ配下に、authorized_keysというテキストファイルを作成します。
作成したauthorized_keysに公開鍵のファイル(id_rsa.pub)の中身を設置します。
公開鍵のファイルの設置には複数の方法がありますのでその一例としてechoコマンドを使用する方法をご参考までに記載いたします。
・公開鍵の設定方法の例
echo '公開鍵のファイル(id_rsa.pub)の中身' >> /home/flowmon/.ssh/authorized_keys
また、.ssh/authorized_keysのパーミッションは600または644である必要がありますので、「ls -la」コマンドでパーミッションを確認し、
600または644でない場合は「chmod 600 .ssh/authorized_keys」とします(ここでは手順を簡略化するためにパーミッションを600に変更する手順としています)
3.鍵を使用し、SSHに接続します。
Tera Termを起動し、該当のFlowmonに以下にて接続します。
アカウント (固定)ログインID : flowmon パスワード : 設定したパスフレーズ
その際、method(認証方法)の枠内の「RSA/DSA/ECDSA/EDD25519鍵を使う」のラジオボタンを選択し、秘密鍵の一番右の「...」ボタンをクリックして秘密鍵のファイル(id_rsa)を選んでください。
OK ボタンをクリックするとFlowmonへ接続されます。
なおパスワードを周知していた人の権限を削除する場合は、
authorized_keysを削除いただければ、キー認証での接続はできなくなります。
Apaceの脆弱性(CVE-2021-41773)の影響を受けますか?
CVE-2021-41773はApache 2.4.49のみ影響があります。
Flowmon (Ver.11.01.09現在)ではApache 2.4.6を使用しているので、(CVE-2021-41773)の影響はありません。
Apaceの脆弱性(CVE-2021-40438)の影響を受けますか?
CVE-2021-40438はmod_proxyを使用している場合にのみ影響があります。
Flowmonではmod_proxyを使用していないので、(CVE-2021-40438)の影響はありません。
以下のSpring4shellの脆弱性の影響を受けますか?
・CVE-2022-22963:Spring Framework(Spring Cloud Function)
・CVE-2022-22965:Spring Framework(Spring Core)
FlowmonはSpring Frameworkを使用していないため、Spring4shell(CVE-2022-22963、CVE-2022-22965)の影響はありません。
PolKitメモリ破損の脆弱性(CVE-2021-4034)の影響を受けますか?
Apache Struts 2 の脆弱性(CVE-2021-31805)の影響を受けますか?
FlowmonはApache Strustsを使用していないため、(CVE-2021-31805)の影響はありません。
Oracle Javaの脆弱性(CVE-2022-21449)の影響を受けますか?
FlowmonはJava 1.8.0 OpenJDKのパッケージを使用していますが、本パッケージは脆弱性の対象ではないため、影響はありません。
Open SSLの脆弱性(CVE-2022-1292)の影響を受けますか?
Flowmonは(CVE-2022-1292)の影響はありません。
本脆弱性(CVE-2022-1292)はOpenSSL の rpm openssl-perlに含まれている c_rehash スクリプトにあります。
Flowmonは Open SSL ver1.0.2kを利用していますが、rpm openssl-perlに含まれている c_rehash スクリプトのパッケージは、Flowmonにインストールされていないため、本脆弱性の影響は受けません。
FlowmonはOpenSSLの脆弱性(CVE-2022-2274/CVE-2022-2097)の影響を受けますか?
Flowmonが使用しているOpenSSLのバージョンは1.0.2kなのでCVE-2022-2274とCVE-2022-2097の脆弱性の影響は受けません。
記事公開日:2023.04.11
最終更新日:2023.04.13
①もしCentOS Linuxセキュリティパッチで適用が必要なものが発表された場合はどのような対応となるのですか。
Flowmon OSのバージョンアップで対応が可能なのか、別途個別に対応を検討する必要がありますか。
②ウイルスソフトを導入することが可能かどうか、できない場合どういった理由で導入しなくてもセキュリティ的に問題ないかを教えてください。
①Flowmonでは新しいOSがリリースされた際にセキュリティの強化が含まれます。
Flowmonに関連する脆弱性情報は、以下のProgress社のサイトで確認することができます。
※本サイトではFlowmonの情報だけではなく、Progress社が販売している製品の脆弱性情報について記載がされています。
https://www.progress.com/security
本サイトの「Industry Security Updates」表にある脆弱性のリンク内(例:Spring4Shell Vulnerabilityの中)の「PRODUCTS NOT DIRECTLY IMPACTED」節にてFlowmonの記載がある場合、Flowmonはその脆弱性の影響は受けません。
仮に脆弱性が発表され、Flowmonにセキュリティパッチを適用する必要となった場合は、上記のサイトに発表されます。
また、セキュリティパッチを適用する必要となった場合は、開発元がセキュリティパッチを提供します。
※セキュリティパッチはConfiguration Center>バージョン>パッケージのインストールにて適用できます。
②Flowmonはアプライアンス製品となるため、セキュリティソフトのインストールは不可となります。
ベースOSとしてLinux、その他アプリケーションに必要なソフトはインストールされていますが、
影響を受ける可能性がある脆弱性については上記URLよりご確認いただけます。
記事公開日:2023.04.11
最終更新日:2023.04.13
CVE-2023-22809はFlowmonに影響がありますか。
関連するsudoeditルールはFlowmon OSでは使用されていないので
FlowmonはCVE-2023-22809に対する脆弱性ございません。
記事公開日:2023.04.11
最終更新日:2023.04.13
CVE-2006-20001、CVE-2022-36760、CVE-2022-37436の脆弱性はFlowmonに影響ありますか。
脆弱性(CVE-2006-20001、CVE-2022-36760、CVE-2022-37436)に関連するApacheモジュールはFlowmonOSでは使用されておりませんので、Flowmonはこれらの脆弱性の影響は受けません。
記事公開日:2023.04.11
最終更新日:2023.04.13
OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)はFlowmonに影響しますか。
当脆弱性の対象のバージョンは「OpenSSL 3.0.7より前の3.0系のバージョン」です。
Flowmonが使用しているOpenSSLのバージョンは1.0.2kですので当脆弱性の影響は受けません。
また、以下のサイトの「OpenSSL Vulnerability」にFlowmonは当脆弱性の影響を受けないことが記載されております。
https://www.progress.com/security
記事公開日:2023.04.11
最終更新日:2023.04.13
脆弱性診断にて脆弱性(CVE-2004-0230)が発見されました。
対応方法について教えてください。
FlowmonはLinuxディストリビューションとしてRedHatを使用しております。
RedHat社は以下のサイトにて当脆弱性(CVE-2004-0230)は重大な脅威でなく、当脆弱性に対しての対処を実施する予定はないと発表しております。
その為、Flowmonに関しましても当脆弱性(CVE-2004-0230)に対してご対応いただく必要はございません。
https://access.redhat.com/security/cve/cve-2004-0230
記事公開日:2023.04.11
最終更新日:2023.04.13
Open SSLの脆弱性(CVE-2023-0286、CVE-2022-4304、CVE-2023-0215)はFlowmonに影響がありますか。
Flowmonが使用しているOpen SSLのバージョンは1.0.2kでございます。
1.0.2系のバージョンが対象となる脆弱性とのことですが、CentOSの開発元であるRed Hat社は上記3つの脆弱性を悪用することは困難であるため、当脆弱性の対処は実施しないと発表しております。
その為、Flowmonに関しましても当脆弱性に対してご対応いただく必要はございません。
以下の開発元のサイトに上記3つについての情報が記載されております。
CVE-2023-0286
https://support.kemptechnologies.com/hc/en-us/articles/13321802306061
CVE-2022-4304
https://support.kemptechnologies.com/hc/en-us/articles/13321900264333
CVE-2023-0215
https://support.kemptechnologies.com/hc/en-us/articles/13321941490189
記事公開日:2024.01.05
最終更新日:2024.01.10
Flowmonは脆弱性の (CVE-2023-28322)影響を受けますか。
いいえ、影響は受けません。
以下のURLにこの脆弱性は、Red Hat Enterprise Linux6,7,8に同梱されているCurlパッケージには影響しないと記載されています。
https://access.redhat.com/security/cve/CVE-2023-28322
FlowmonはRed Hat Enterprise Linux7を使用しておりますので、
flowmonは本CVE脆弱性は該当しません。
記事公開日:2024.01.10
最終更新日:2024.01.11
FlowmonはCVE-2022-48560の脆弱性の影響を受けますか。
以下の記事によると、当脆弱性はPython 3.7 ~ 3.9が影響を受けるようです。
Flowmonの最新版が使用しているバージョンはPython 3.6.8ですので、Flowmonは当脆弱性の影響を受けません。
https://nvd.nist.gov/vuln/detail/CVE-2022-48560#range-9587267
https://bugs.python.org/issue39421
記事公開日:2024.01.10
最終更新日:2024.01.11
Flowmonは脆弱性CVE-2023-44487の影響を受けますか。
FlowmonはRed Hat Enterprise Linux 7を使用しておりますので、この脆弱性の影響は受けません。
以下のRed hatのサイトをご参照ください。
https://access.redhat.com/security/cve/cve-2023-44487
記事公開日:2024.01.10
最終更新日:2024.01.11
Flowmonは脆弱性(CVE-2023-31122、CVE-2023-43622、CVE-2023-45802)の影響を受けますか。
・CVE-2023-31122
Flowmonはmod_macroモジュールを使用しておりません(無効になっている)ので、
この脆弱性の影響は受けません。
・CVE-2023-43622
HTTP/2 プロトコルをサポートしていないので、この脆弱性の影響は受けません。
・CVE-2023-45802
HTTP/2 プロトコルをサポートしていないので、この脆弱性の影響は受けません。
FlowmonはCVE-2020-15778の脆弱性の影響を受けますか。
影響はありますが、本脆弱性は開発元のroot権限でログインをしていなければ悪用不可と定義しており、対処は実施しない方針です。root権限のパスワードは開発元のみが使用でき、弊社にもそのパスワードが公開されておりませんので、当脆弱性に対してご対応いただく必要はございません。
CVE-2024-0553、CVE-2024-0567はFlowmonに影響しますか。
FlowmonはCentOS Linux 7を使用しております。CentOSの開発元であるRed Hat社は上記2つの脆弱性を悪用することは困難であると判断しており、当脆弱性の対処は実施しないと発表しております。その為、Flowmonに関しましても当脆弱性に対してご対応いただく必要はありません。
CVE-2024-3094はFlowmonに影響がありますか。
Flowmonが使用しているXZ Utilsのバージョンは 5.2.2です。CVE-2024-3094の脆弱性の影響のあるバージョンは5.6.0、5.6.1ですのでFlowmonは当脆弱性の影響は受けません。
また、FlowmonはLinuxディストリビューションとしてRedHatを使用していますが、RedHat社は以下のサイトにて当脆弱性(CVE-2024-3094)は影響がないと発表しております。
https://access.redhat.com/security/cve/cve-2024-3094
Polyfill.ioに関するFlowmonへの影響はありますか。
Polyfill.ioに関するFlowmonへの影響はありません。
CVE-2024-40898によるFlowmonへの影響はありますか。
ApacheHTTPServerの脆弱性(CVE-2024-40898)によるFlowmonへの影響はありません。
FlowmonはLinuxディストリビューションとしてRed Hat Enterprise Linux 7を使用しており、
以下のサイトにて、Red Hat社が当該脆弱性によるRed Hat Enterprise Linux 7への影響はない旨を発表しています。
https://access.redhat.com/security/cve/cve-2024-40898
CVE-2024-6387によるFlowmonへの影響はありますか。
CVE-2024-6387によるFlowmonへの影響はありません。
FlowmonはLinuxディストリビューションとして、Red Hat Enterprise Linux 7を使用しており、
以下のサイトにて、Red Hat社が当該脆弱性によるRed Hat Enterprise Linux 7への影響はない旨を発表しています。
https://access.redhat.com/security/cve/cve-2024-6387
▲ topへ戻る
フロー
記事公開日:2020.05.14
最終更新日:2021.06.28
Flowmonコレクタで対応しているフローは何ですか?
対応しているフローは以下のフローとなります。
sFlow
NetFlowV5
NetFlowV7
NetFlowV9
IPFIX
NSOL
jFlow
NetStream
cFlowd
ホスト名を含んだFlowをFlowmonコレクタで生成することはできますか?
ホスト名を含んだFlowを生成するためにはFlowmonプローブが必要です。
但し、仮想版のFlowmonコレクタに限り、モニタリングポートが2ポート備わっており、Flowmonプローブと同様に[Configuration Center] > [モニタリングポート] の設定を行うことでFlowを生成することが可能です。
仮想化基盤上でFlowmonのモニタリングポートを利用してフローを生成する設定をしていますが、フローが作成されません。
Flowmon宛て以外の通信をFlowmonが受信できるように仮想化基盤(Vmware/Hyper-V)を設定している必要が有ります。
仮想化基盤上の仮想スイッチがプロミスキャス・モード(promiscuous mode)に設定されているかを確認してください。
sFlowとNetFlowではFlowmonの処理の仕方は異なりますか?
sFlowとNetFlowの処理の仕方は異なります。
sFlowの場合は受信したフロー内のバイトカウントがサンプリング値倍されます。
例えばバイトカウント100のsFlowを受信し、サンプリング値1000とすると、実バイト数は100×1000=100000 としてトラフィック量が計算されます。
一方のNetflowでは実データのバイトカウントが入っていますので、その値をそのまま使用してトラフィック量が計算されます。
flowmon monitoring centerの解析における、"フロー"はどのように算出された値ですか?
フローとは、ネットワーク上を流れる共通の属性をもったパケットグループに類するものであり、送信元/送信先IPアドレス、送信元/送信先ポート番号、プロトコル番号などの属性に従って同属性の組み合わせであれば同一のフローとみなして集約します。
例えば、ユーザーがサーバにファイルをアップロードした場合の処理は1フローと見なされます。
なお、厳密には以下のような例外がありますので、必ずしも同一属性の通信が1つに集約されるとは限りません。
アクティブタイムアウトに指定した時間以上継続して通信されている場合は途中でフローを分割します。
パケットを貯めてフローとして集約するバッファの容量が超える場合は一旦、それまでの情報でフローを生成するため、フローは分割されることがあります。
NetFlow v5で受信したフローを別製品のコレクタに転送した場合、どのように処理されますか?
Flowmonコレクタの転送機能を使用してNetFlow v9のプロトコルで転送することを想定しています。
NetFlow v5に設定されている情報が、NetFlow v9で利用されるテンプレートに組み替えられ、NetFlow v9として転送されます。
元々無い情報が追加されるといった事はありません。
sFlowに対応した機器を追加する際に、Flowmon側で設定変更は必要ですか。
いいえ、Flowmon側で設定を変更する必要はありません。
sFlowはパケットをサンプリングして、Flowが生成されますが、
Flowmonでは通常、受信したフローからサンプリングを検出し、それらを自動的に認識します。
tcpdumpコマンドで指定するネットワークインターフェースは、flowmonの管理インターフェース1を指定する認識で合っていますでしょうか?
ちなみに「Configuration Center > 概要」のネットワークインターフェースの表中は以下のようになっています。
インターフェース タイプ IPアドレス
Eth0 管理インターフェース1 xxx.xxx.xxx.xxx
Eth1 管理インターフェース2 なし
Eth2 モニタリングインターフェース なし
Eth3 モニタリングインターフェース なし
上記の表ではご利用のFlowmonコレクタ(IPアドレスxxx.xxx.xxx.xxx)が「eth0」インターフェースより
Flowを受信していることが分かりますためお客様のご認識の通り、tcpdumpコマンドで指定するネットワークインターフェースは「eth0」となります。
FlowはFlowソースのFlow送信先に書かれたIPアドレスを持つインターフェースに届きます。
そのIPアドレスを持ったインターフェースでキャプチャをする必要があるため、tcpdumpコマンドにそのインターフェース(今回の場合は「eth0」)を指定する必要があります。
記事公開日:2023.04.11
最終更新日:2023.04.13
NW機器でFlowmonにフローを送信するように設定を追加しましたが、Flowmonのソース画面ではデータが表示されません。
NW機器からFlowmonへの通信がブロックされている場合、ソースタブにフローデータが流れてこないとなることが考えられます。
そのため、例えば、以下のような経路となっている場合、
ファイアウォールがNW機器からFlowmonへの通信がブロックされていないかご確認ください。
NW機器 ⇒ ファイアウォール ⇒ Flowmon
ファイアウォールでブロックされるケースは以下のケースが考えられます。
1.フローソースのIPアドレス単位でブロックされた
2.フローソースのポート番号単位でブロックされた(SNMPのみ、ソース転送用の3000/UDPのみなど)
記事公開日:2023.04.11
最終更新日:2023.04.13
FlowmonはIPIPトンネリング間でパケットをフロー処理するか(パケット⇒フローへ変換できるか)
FlowmonプローブはIPIPトラフィックを標準のL3トラフィックとしてサポートしているためパケットをフロー処理することが可能です。
カプセル化を解除せずにトラフィックからフローがエクスポートされますが、
Configuration Center>モニタリングポート>高度な解析>トンネルプロトコルのカプセル化解除 にて、「4in6」を選択することでトラフィックのカプセル化を解除することも可能です。
記事公開日:2023.04.11
最終更新日:2023.04.13
「ONUとFW間」などのONUとNW機器の間にアグリケーションタップを挟んで測定した場合、上手く測定できないなどの制約は生じますか?
FlowmonではONUとNW機器の間にアグリゲーションタップを挟んでデータを取得する場合の制限はなく、タップがプローブにIPトラフィックを送ることが出来ていれば、フローを監視することが可能です。
記事公開日:2023.09.01
最終更新日:2023.09.15
フローを出力するCisco機器のサンプルコンフィグなどをファームウェアごとに提供していただくことは可能でしょうか?
弊社検証環境において検証を行っております。
c3850のサンプルコンフィグであればご提供可能ですが、それ以外の情報につきましてはNW機器ベンダーにお問い合わせください。
記事公開日:2023.09.01
最終更新日:2023.09.15
Cisco flexibleネットフローでもL7情報での収集可能ですか?
一部ハイエンドのCisco製品にてL7情報の取得は可能です。
ただし、Cisco製品でFlow生成が可能でも、Flowmon側でそのフィールドに対応していないと解析はできないため、確認が必要です。
記事公開日:2023.09.05
最終更新日:2023.09.15
複数のルータやスイッチでnetflowを取得した場合、通信経路(どのルータ・スイッチを経由したか)を確認することは可能でしょうか?
Flow情報には経路情報は含まれないため、詳細に解析を行うことは難しいです。
記事公開日:2023.09.05
最終更新日:2023.09.15
NetFlowとIPFIXであればどちらが良いのですか?
NetFlowVer9/IPFIXをご利用ください。
sFlowはサンプリングが必須の規格となりますので、情報精度がノンサンプリングのFlowに比べ劣る傾向があります。
ネットワーク機器にてFlow生成を行う場合、NetFlowVer9/IPFIXは結果的に可視化できる項目にそれほど差はございませんが、Probeをご利用の場合は、Flowmon独自拡張領域の可視化が可能になるため、可視化可能項目がより増加します。
記事公開日:2023.09.05
最終更新日:2023.09.15
Flexible NetFlowを用いたフロー採取だと思いますが、対応しているmatch条件、collect条件は何があるか、制約事項はあるかといった情報は貴社サイトのどこを見れば分かりますか?
または貴社の構築マニュアルには記載がありますか?
Flow生成の手順を記載しているドキュメントに、検証環境にあるスイッチ(C3850)のコマンドであれば記載をしておりますが、条件については、ネットワーク機器の仕様によって異なります。
ルータやスイッチでも設定可能な項目が異なりますので、弊社では詳細な情報まで把握をできておりません。
詳細情報につきましてはネットワーク機器ベンダーへお問い合わせください。
記事公開日:2023.09.05
最終更新日:2023.09.15
AVC (Application Visibility and Control) には対応していますか?
対応しております。
AVCによってSRTやRTT、遅延値などのネットワーク遅延情報を可視化することが可能になります。
記事公開日:2023.09.05
最終更新日:2023.09.15
フロー情報を採取する箇所(flow monitorを設定する箇所)ですが、インターフェースでもVLANでも構いませんか?
また、Access(Untag),Trunk(tag),PortChannel(LAG)やそのメンバポートであってもフロー情報を採取出来ますか?
コレクタはどのインターフェースでFlow生成をいただいてもFlowデータの受信は可能ですが、ネットワーク機器によってはFlowモニターの設定を適用できない可能性がございます。
詳細情報につきましてはネットワーク機器ベンダーへお問い合わせください。
記事公開日:2023.09.05
最終更新日:2023.09.15
フロー情報を採取する装置はどれにしたら良いですか?
Flow収集ポイントを通過したトラフィックをFlow生成しますので、コアスイッチと末端スイッチで同じトラフィックが通る場合は、トラフィックが重複し収集されます。
そのため、コアスイッチのみでFlowを収集することが一般的です。
ただしこの場合、末端スイッチで折り返すような通信が発生した場合にはトラフィックが取得できなくなりますのでご留意ください。
Cisco NBARを使用したフロー詳細情報に対応しているか
統計基準からNBAR2を選択することでアプリケーションタグ、アプリケーションID、アプリケーションエンジンIDを解析可能です。
Flowmon内でアプリケーションID等のリストを保持しているため、解析結果にはアプリケーション名等をリネームして表示します。
▲ topへ戻る
メッセージ
SyslogやエラーメッセージなどFlowmonが出力するメッセージについての対応方法・仕様・機能
下記のようなメッセージが出力されました。どのような対応をとればよいですか?
Your hard disk needs a consistency check, please go to Configuration Center -> System -> Maintenance and press Reboot & Check disk button.
又は
ハードディスクの一貫性のチェックが必要です
本システムメッセージは、FlowmonのベースOSであるLinuxが起動後180日を過ぎると自動的に表示するファイルチェックを要請するメッセージです。
※起動後というのは、開発元にてお客様の機器を初めて起動した日を起算日としています。
(電源OFF/通電停止後に時間カウントがリセットされるわけではございません。)
チェックディスクを行うか、メッセージを削除するまでは表示されて参りますので、Flowmonの状況に問題がなければ、お手数ですが都度「システムメッセージ」の一覧にて削除してください。
ディスクチェックを行う場合は、「Configuration Center」 >「システム」 >「メンテナンス」タブの「システム電源の管理」にて「再起動とチェックディスク」をクリックしていただければ実行することが可能です。
再起動及びチェックディスク中はFlowの生成及び収集は行われず、その期間のグラフも途切れて表示されますので、定期的に行うのではなく、ディスク上にご心配な点があった場合に行っていただく運用で問題ありません。
再起動の所要時間はディスクサイズやデータ量に応じて異なりますが、おおよそ10分~数時間程度となります。
なお、ほとんどの場合「ディスクの再起動とチェック」を実施する必要はないため、ver.12.01.00以降は本メッセージは表示されないように改善されております。
Flowmonから以下のメッセージが表示されます。
このメッセージの意味を教えてください。
「Cannot validate ”services” server certificate: Failed connect to services. Flowmon.com:443; Connection timed out. New update packages will not be downloaded and other remote services will not work.」
本メッセージは、Flowmonがインターネットに接続していないなど
Flowmon社のサーバと通信することができず、アップデートパッケージが入手できないことを意味しています。
継続して発生していない限り、問題ありません。
ソースプロファイルの解析中にリソース不足で解析を中止した旨のメッセージが表示されます。
ソースプロファイルはシャドープロファイルとして作成されています。
シャドープロファイルの検索には以下の理由により、大量のメモリを使用する場合がありますので、リソース不足が発生した場合は検索対象を限定したリアルプロファイルの作成を検討してください。
シャドープロファイルは実体がなく、AllSources全体を検索することになります。ディスクに保存しているデータは圧縮されていますのでメモリに展開時には3倍程度に膨れ上がります。
下記のようなメッセージが出力されました。
Unable to copy 1file(s) to remote directory. Flie list:xxxxx.pdf
本メッセージはレポートを外部データストレージに送信するように設定されていたものの、Flowmonの外部データストレージ設定を解除するなどして外部データストレージにアクセスできないために発生しています。
レポート設定から外部データストレージへの送信設定を解除するか、外部データストレージを再設定してください。また、送信されていない古いレポートのキューを以下のコマンドで削除することでもエラーメッセージを止めることができます。
rm -f /var/www/backend/reports/remote/*
下記、エラーがログで出力されているのですが
何か対応が必要でしょうか。
services.flowmon.com: Package Flowmon OS version xx.xx.xx was not deleted due to error.
バージョンアップ後、古いバージョンのパッケージを削除できなかったというメッセージです。
特に問題はなく、対処も必要ありません。
下記、エラーがログで出力されているのですが
何か対応が必要でしょうか。
Process nfdump has been stopped to prevent a memory
overload.
メモリの圧迫の為、強制終了したというメッセージです。
一部のクエリが大量のメモリを消費すると、システムクラッシュやその他の予期しない動作を防ぐために、クエリが強制終了されます。
強制終了しても再処理時に自動的に起動しますので、現在通常通り解析を行えるようでしたら、対処の必要はありません。
なお本メッセージが頻発する場合は、
Configuration Center > 概要 よりメモリの使用量をご確認いただき、
常時高いようであれば、メモリ使用量を下げるため、以下をお試しください。
・定期レポートを削減する。
定期レポートを利用しますと、メモリが使用されます。
定期レポートが多数ある場合、多くのメモリを使用しますので、不要な定期レポートは削除してください。
・同時に複数の解析処理をしない。
同時に複数の解析処理を行いますと、多くのメモリを使用しますので、
同時に複数の解析を行わないようにして下さい。
・シャドープロファイルで長期間の解析をしない。
シャドープロファイルで解析を行う場合、もととなったプロファイルからデータを取得し、メモリ上に展開する為、多くのメモリを使用します。
その為、長期間の解析を行う場合、より多くのメモリを使用する為、シャドープロファイルで長期間の解析を控えるようにして下さい。
以下のエラーメッセージが定期的に表示されます。
Cannot validate "services" server certificate: Could not resolve host:services.flowmon.com; Unknown error. New update packages will not be downloaded and other remote services will not work.
FlowmonにDNSサーバが正しく登録されていない可能性が有ります。
利用可能なDNSサーバが登録されているかどうか、下記の手順より確認してください。
①Flowmon Configuration Center>システム設定>DNSサーバ 「プライマリDNS」に任意のDNSサーバが登録されていることを確認します。
登録されていない場合は、適切なDNSサーバを登録をします。
②FlowmonのCLIに接続後、以下のコマンドを実行してDNSが利用できることを確認します。
nslookup services.flowmon.com
例)172.16.0.1をDNSサーバとして登録した場合
Server: 172.16.0.1
Address: 172.16.0.1#53
Non-authoritative answer:
Name: services.flowmon.com
Address: 89.185.224.79
③上記②でエラーが表示された場合、services.flowmon.comへの接続がファイアウォールでブロックされている、またはDNSサーバが正しく設定されていない可能性があります。
ファイアウォール接続がブロックされていないか、DNSサーバの設定に誤りが無いかを確認してください。
Flowmonにて以下のシステムメッセージが表示されました。
Unable to fetch RRD data of channel チャネル名(profile プロファイル名). RRD error: could not lock RRD.
5分間隔ごとにRRDデータがRRDファイルに書き込まれます。
nfsenプロセスがRRDファイルに書き込む際に競合がある場合は、このようなメッセージが表示されます。
しかし、これは正常な動作であり、Flowmonデバイスの機能に影響はありません。
プロファイルの編集画面に下記の注意メッセージが出力されます。
メッセージの内容を教えてください。
Parent profile cannot be changed because one or more channel have parent channels explicity set
1つ以上のプロファイルのチャネルの親チャネルが選択されている場合、既存の親プロファイルは変更できなくなるため、注意喚起のメッセージとして表示されます。
またチャンネルの定義で選択されたチャンネルのみが使用されている場合にも常に表示される標準的な情報メッセージですので、問題はありません。
Flowmonのクォーターに関するログメッセージを確認することはできますか。
CLIより、sudo cat /var/log/daemon | grep quota | tail コマンドを実行しるすと、クォーターに関する最新のログメッセージが10件、以下のように出力されます。
[flowmon@localhost profiles-data]$ sudo cat /var/log/daemon | grep quota | tail
Feb 18 14:34:57 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 968.2M, quota 967.5M
Feb 18 14:36:04 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 968.2M, quota 967.5M
Feb 18 14:37:10 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 968.2M, quota 967.5M
Feb 18 14:45:47 localhost dsw[3614]: nfexpire process is running - quota management postponed
Feb 18 14:50:58 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
Feb 18 14:52:00 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
Feb 18 14:53:05 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
Feb 18 14:54:09 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
Feb 18 14:55:18 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
Feb 18 14:56:22 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
[flowmon@localhost profiles-data]$
システムメッセージで「Process php-fpm has been stopped to prevent a memory overload.」が通知されます。
この対処法と、今後頻発しないための調整方法はありますか?
表題のメッセージはリソース不足のために発報されるメッセージです。
仮想版Flowmonをご利用の場合は、Configuration Center>概要 のメモリが慢性的に使用率が高い場合には、メモリの追加割り当てをご検討下さい。
またshadowプロファイルで長期間の解析を行いますと、メモリをより多く消費する傾向にある為、
そのような解析を行う場合もメモリをより多く割り当てるようにお願いします。
Flowmonのシステムメッセージ関連のメール通知は誰宛てに送付されますか?
また、その設定はどこから確認することができますか?
Configuration Center > システム > ユーザの役割が「admin」に紐づくユーザのメールアドレスに重要なシステムメッセージがメールで送付されます。
通知されるメッセージについては以下のFAQもご確認ください。
Flowmon FAQ 223
Flowmonが保持するログにはユーザアクティビティログとシステムアクティビティログがありますが、ログの保持期間やローテートのルールを教えてください。
Flowmonのログは5MB単位に4世代で管理されています。
システムアクティビティログおよびユーザアクティビティログは最大でも1種類辺り1ファイルが5MBに設定されています。
よって、ログは4世代まで保存されますが、ログのサイズが5MBに超えた際に、ローテーションされます。
Flowmon側で○○月○○日に設定変更があったかを確認する方法はありますか。
○○月○○日のユーザアクテビティログがまだローテーションされない場合、GUIから設定変更を確認することができます。
Configuration center>ログ>ユーザアクテビティログにて以下を設定してください。
ユーザ:すべてのユーザ、又は確認したいユーザ
モジュール:変更を確認したい画面
アクションタイプ:変更
記事公開日:2023.04.11
最終更新日:2023.04.13
システムメッセージに以下が出力されます。
Cannot validate ”services” server certificate: Could not resolve host:services.flowmon.com; Unknown error. New update packages will not be downloaded and other remote services will not work.
FlowmonにDNSサーバが正しく登録されていない可能性がございます。
利用可能なDNSサーバが登録されているかどうか、下記の手順によりご確認ください。
①Flowmon Configuration Center>システム>システム設定>DNSサーバ
「プライマリDNS」に任意のIPアドレスが登録されているかご確認下さい。
登録されていない場合は、登録をお願いいたします。
②FlowmonコンソールにSSHで接続します。
「Tera term」などのssh端末ソフトで、Flowmon管理コンソールのIPにアクセスします。
ホスト:FlowmonのIPアドレス
ユーザ:flowmon
パスワード:inv3a-t3ch(初期パスワード)
※実際の設定値は、パラメータシートにてご確認ください。
コマンドpwdでログイン後のパスが/home/flowmon/であることを確認してください。
③下記のコマンドを指定下さい。
nslookup services.flowmon.com
④表示されたServer:に①で登録されたIPアドレスが表示されるかご確認下さい。
※例:①でDNSサーバに172.16.0.3と登録した場合、Server:172.16.0.3と出力されます。
⑤次に、Non-authoritative answer:以下に下記が出力されるかどうかご確認下さい。
Name:services.flowmon.com
Address:89.185.224.79
上記⑤でエラー表示になった場合、services.flowmon.comへの接続がファイアウォールでブロックされている、またはDNSサーバが正しく設定されていない可能性がございます。
接続がブロックされていないかおよびDNSサーバの設定をご確認お願いします。
記事公開日:2023.06.26
最終更新日:2023.07.04
Flowmonのユーザアクティビティログにて以下が表示されます。
services.flowmon.com: Package Flowmon OS version 10.01.05 was not deleted due to error.
何か対処は必要ですか?
上記のログはFlowmonのバグです。
このメッセージによる影響はございませんので対処していただく必要はありません。
しかし、もしこのログを今後表示させたくない場合は弊社サポートまでお問い合わせください。
記事公開日:2023.06.28
最終更新日:2023.07.04
ChromeやEdgeでFlowmon OSへアクセスする際に、
「このサイトは安全に接続できません。<IPアドレス> ではサポートされていないプロトコルが使用されています。」
が表示され、Flowmonへのアクセスができません。
Flowmonで使用しているTLSが古い(恐らく TLS 1.0)ため、このようなメッセージが表示されます。
インターネットへアクセスする際に古いTLSの使用が許可される場合は、TLS 1.0, 1.2, 1.2を使用できるように設定し、本事象が改善されるかを試してください。
記事公開日:2023.06.28
最終更新日:2023.07.04
メージャーバージョンアップをする際に「You can not upgrade your Flowmon device without valid Gold Support!」が表示され、バージョンアップをできませんでした。
ライセンスの有効期限が切れているままでメージャーバージョンアップをすると、このようなメッセージが表示されます。
Configuration center>ライセンス画面にて、ライセンスの有効期限を確認してください。
記事公開日:2023.06.28
最終更新日:2023.07.04
probeで、新ライセンスを適用した直後に、下記のアラートメッセージが出力されています。
Unable to accelerate packet processing on some ports.
どのような対応が必要ですか?
ライセンスを適用した後、エクスポーターのサービスが正しく起動しなかったためエラーメッセージが表示されましたが、プローブを再起動することで、この問題を解決できます。
再起動方法:
Configuration center>システム>システム設定>メンテナンス>システム電源の制御の「再起動」
※再起動中はFlowの生成及び収集は行われませんので、その期間のグラフも途切れて表示されます。
※再起動の所要時間はディスクサイズやデータ量に応じて異なりますがおおよそ数分間となります。
記事公開日:2023.06.29
最終更新日:2023.07.04
「高度な解析」を行ったところ、下記のエラーメッセージが出て解析結果画面が出てきません。
「リクエストはデータを返しませんでした。フィルタ設定の変更をお試しください。」
メッセージの内容を教えてください。
本メッセージは条件に該当するデータが無いことを示しています。
フィルタの書き方に誤りがある、もしくはFlowデータにフィルタで絞り込んだ対象の情報がない場合に表示されます。
記事公開日:2023.06.29
最終更新日:2023.07.04
「フローソース<IPアドレス>が応答しません。」というシステムメッセージが表示される原因を教えてください。
このメッセージの主な理由は、フローソースに問題がある場合にユーザーに知らせるためです。
フローソースが正常に動作し、フローを生成しているかどうかを確認してください。
フローが生成されている場合、SNMPのレスポンスがタイムアウトを超えたことが原因である可能性が高いです。
記事公開日:2023.06.29
最終更新日:2023.07.04
システムメッセージで、「SMTP server did not accept RCPT TO:<宛先メールアドレス>」が表示されました。対策を教えてください。
送信サーバが宛先アドレス宛てにメールを送信できなかった旨のメッセージです。
SMTPサーバの設定が誤っている、あるいは宛先に問題があります。
記事公開日:2024.01.05
最終更新日:2024.01.10
以下のシステムメッセージが表示され、レポートのメール送信に失敗します。
原因と対処方法を教えてください。
xxxxxへの電子メールの送信に失敗しました。
SMTP 552 4.3.1 Session size exceeds fixed maximum session size
添付ファイルはbase64にエンコードされると容量が大きくなります。
添付ファイルのサイズと最大セッションの間に少なくとも30%の余裕があるようにする必要があります。
従って、SMTPサーバ−のしきい値を上げるか、
レポートのサイズを小さくするためにレポートを分けて作成してください。
▲ topへ戻る
仕様
Flowmonが正式に対応しているブラウザを教えてください。
Flowmonが正式に対応しているブラウザは下記の3つです。
––––
Google Chrome
Firefox
Microsoft Edge
––––
なお、FlowmonではInternet Explorerのサポートはしておりません。ご了承ください。
宛先に指定できるメールアドレスは、最大何件まで設定可能ですか?
上限はありません。ですが、リソース等を消費するため、大量に宛先メールアドレスを設定しますと機器に負担をかける恐れがあります。
Flowmonの管理インターフェース1と管理インターフェース2に同一セグメントのIPアドレスを割り当てることはできますか?
同一セグメントのIPアドレスを割り当てることはできません。
管理インターフェース1と管理インターフェース2はセグメントを分けてください。
ダッシュボードをタブ単位で削除することはできますか?
「ダッシュボード」>右上の歯車マーク>対象のダッシュボードのごみ箱マーク をクリックすることでタグ単位に削除することが可能です。
レポートの保存領域(クォータ)が一杯になった場合、どのような動作をしますか?
古いデータから削除していきます。削除のルールは以下のとおりです。
1)1時間単位で丸1日分を削除します(少なくとも1時間単位で最後の7日間は残っている必要があります)
2)上記の手順で十分な空き容量が得られない場合、1日単位で月全体を削除します(少なくとも先月は残っている必要があります)。
3)上記の手順で十分な空き容量が得られない場合、1時間単位で残りの日を残り1日になるまで削除します。
FlowmonのHDDは暗号化されていますか。
FlowmonのHDDは暗号化されておりません。
SyslogサーバでFlowmonのSyslogメッセージを受信出来ません。
Flowmonはメッセージの内容に従って異なるファシリティコードで送信しますが、ファシリティコードを変更することが出来ません。
そのため、Syslogサーバ側で受け取るファシリティコードを限定していないかを確認してください。
FlowmonはIPv4inIPv6トンネルをサポートしていますか?
FlowmonはIPv4inIPv6トンネルの解析をサポートしておりません。
IPトンネルを使用されている場合、Flowmon OSで解析できるのは最初のIPv6のL3ヘッダーまでです。
よって、カプセル化されたIPv4の情報およびアプリケーション情報を解析することはできず、IPv4のL3情報、ホスト名などの情報を解析することはできません。
管理インターフェース1はFlowmonコレクタのFlow受信ポートとして利用していますが、管理インターフェース2はどのような用途で利用しますか?
管理インターフェース2の使用例としましては、FlowmonコレクタとFlowmonプローブを直結させたい場合、
管理インターフェイス1はGUI管理用に使用し、管理インターフェイス2はフロー収集用に使用します。
ただし、管理インターフェース2を使用する場合は下記の注意点があります。
管理インターフェイス1と管理インタフェース2を同じセグメントに設定することはできません。
管理インターフェース2の設定はIPアドレスとネットマスクのみですので、ゲートウェイは管理インターフェース1と同じになります。
そのため、管理インターフェース2を使用する際には、管理インタフェース1向けのスタティックルートの設定、ネットワーク機器側へのルーティングの設定などが必要となります。
※基本的には管理インターフェイス1のみのご利用で問題ありません。お客様の運用ポリシーによって管理系通信とデータ系通信を分けたいなどのご要望に柔軟に対応できるように用意されているものです。
プリセット(旧設定テンプレート)の機能と留意点を教えてください。
■プリセットとは
Flowmon Networks社から提供されるプロファイル、チャプター、レポートのテンプレートで、
これまでユーザが作成していたプロファイルやレポートを数クリックで利用可能となる機能です。
現状では十数個のプリセットが利用可能ですが、今後拡張されていく予定です。
■プリセットを利用して作成したプロファイルの更新について
プリセットの定義(フィルタ条件)は不定期に自動更新されます。
しかし、プリセットを利用した作成済みのプロファイルへの反映はされないため、手動で対応する必要が有ります。
なお、プリセットを適用し直すことで、プリセットで作成した既存のプロファイルのチャネル定義(フィルタ条件)を上書き更新することはできます。
■プリセットに更新があった場合の解析動作について
プロファイルを作成する際には、プロファイルタイプ(リアルプロファイル/シャドウプロファイル)によって、プロファイル定義更新前の期間を解析した場合の動作が異なります。
·リアルプロファイル
定義更新前のデータを解析した場合、過去の定義にて解析が可能です。
定義更新後のデータを解析した場合、現在の定義にて解析が可能です。
·シャドウプロファイル
定義更新前のデータを解析した場合、現在の定義にて解析が実行されます。
→現在の定義で過去のトラフィックを解析するため、トラフィックグラフと解析結果で整合性が取れなくなります。
定義更新後のデータを解析した場合、現在の定義にて解析が可能です。
■プリセットを利用する場合の運用方法について
プリセットの定義は定期的に更新される前提のため、
プリセットを利用してプロファイルを作成する際には以下のプロファイルタイプを推奨します。
·Application protocols
·Infrastructure
→基本的には更新がされない定義のため、シャドウプロファイルでの運用を推奨。
·Cloud applications and services
→更新頻度が多いことが想定されるため、リアルプロファイルでの作成を推奨。
Flowmonにウィルス対策ソフトを導入することは可能ですか?
ウィルス対策ソフトを導入することはできません。
導入をした場合、動作を保証することができず、サポートを提供することはできなくなります。
Flowmon以外のCLI操作用のアカウントを追加することはできますか?
CLIの操作用アカウントはFlowmon固定のため、他のアカウントを追加/変更することはできません。
フローデータ(プロファイル)が削除される条件を教えてください。
フローデータ(プロファイル)の削除条件は以下のとおりです。
1)フローデータは5分単位のファイルで管理されているため、十分な空き容量(受信したフローデータを保存できる容量)が得られるまで古いデータを5分ごとに順次削除します。
2)上記の手順で十分な空き容量が得られない場合、すべてのフローデータが削除される可能性があります。
※プロファイルの保存期間を設定されている場合は、保存期間を過ぎると古いデータから順次削除されます。
フローデータ(プロファイル)の削除処理はクォータと保存期間、ディスク使用状況で管理しています。
① クォータ(最大サイズ)
指定した最大サイズの上限値に達すると、古いデータから順次削除されます。
クォータの設定をすることでディスク使用状況が大きくならないように抑えることができます。
② 保存期間
プロファイルに保存期間を設定されている場合、保存期間を過ぎたものから順次削除されます。
③ ディスク使用状況
通常はクォータ設定でデータを使用状況が大きくならないように抑えますが、不測の事態でディスク使用状況が95%を超える場合、強制的にクォータを小さく設定し、Flowmonに保存しておくデータをディスク使用状況が95%になるまで減らします。
ファイアウォールはFlowmonにどのような影響を与えますか?
突然Flowmonが利用できなくなったという問い合わせをいただくことが有ります。
今まで利用できていた機能が以下のような症状によって利用できなくなった場合は、経路上のファイアウォールのポリシー修正によって、Flowmonが通信制限されていないか確認してください。
リスニングポートのポート番号を変更したらFlowソースからデータを受信できなくなった。
ソース画面に「現在のSNMPデータを読み込めません。」 と表示されるようになった。
バージョン画面でFlowonの最新モジュールをダウンロードできなくなった。
特にFlowmonからDNSにアクセスする経路を遮断していないか確認してください。
FlowmonをCRUDで表現する場合、Create(新規作成)、Update(更新)、Delete(削除)の各機能の権限にはどのようなものが有りますか?
Flowmonの権限はFlowmon configuration center>ユーザ設定>役割で管理されています。
役割はプラグイン、プロファイル、ソースデータ、ダッシュボードへのアクセス制限を管理するものです。
設定により、特定のユーザのみプロファイルやダッシュボードなどの作成、編集、削除が可能な権限を付けることができます。
「Configuration Center -> ログ」は、Flowmonが管理している「データディスク」、「システムディスク」のどちらに保存されていますか?
「Configuration Center -> ログ」に表示されるログはデータディスクに保存されています。
設定ファイルを複数回ダウンロードするとファイルサイズや中身が異なることが有るのは何故ですか?
実際にはより複雑ですが、分かりやすくする為に、細部を簡略化して説明します。
ユーザーが設定を変更する場合、
その設定は既存の設定に上書きせず、新しい設定として保存されます。
この際、一次的に新しい設定と古い設定が並行して存在する事になります。
これは、設定を上書きをする事により発生する不整合を防ぐ為の仕様です。
なお古い設定が残り続けると設定ファイルの容量が肥大化してしまうので、
定期的に古い設定を削除する処理が行われます。これは設定ファイルの作成処理とは別に行われます。
これはクリーニング処理と呼ばれます。
クリーニング処理は、毎正時から2分後に行われます。
なおクリーニング処理は、単純な削除ではない為、時間が掛かります。
また所要時間は、設定状況により異なります。
設定ファイル間にサイズの違いがでてしまう理由は、
設定を変更し、クリーニング処理が終了する前に、設定ファイルをダウンロードすると、
新しい設定と古い設定が共存している為、ファイルサイズが大きい状態になります。
この結果、クリーニング処理前後の設定ファイルと比べるとサイズに違いがでることになります。
特定のフローを消してグラフデータに反映させる方法はありますか?
異常に大きな値のフローを受信してしまったため、他の時間のグラフ描写がグラフの下に偏って表示される状態を改善したいです。
特定のフローを消してグラフデータに反映させる方法はありません。
このような場合は対数Y軸を使用することを推奨します。
対数Y軸を使用することで、異常に大きな値がある場合にも、グラフの小さな部分を適切な目盛りで表示することができます。
対数Y軸の表示方法はmonitoring center>解析画面のグラフ右下にマウスオーバーすると表示されるズームボタンの近くに更にマウスオーバーすると表示されるオプションメニューから「対数Y軸」をチェックします。
safariでFlowmonを利用することはできますか?
safariの利用を考慮した開発はされていないことからFlowmonとの信頼性がなく、正常なご利用を保証することはできません。
問題が発生することを避けるためにも推奨ブラウザであるGoogle Chrome、FireFox、Edgeのご利用をご検討ください。
Flowmonでサポートされていないベンダー独自フィールドのフローを解析することはできますか?
Flowmon OS Ver13にてベンダー独自フィールドを自由にFlowmonに登録して解析できるようにする計画が有りますが、現状ではConfiguration Center>FMC設定>フローのデータベースフィールド にてサポートされていないベンダー独自フィールドを利用することはできません。
インターネットにアクセスできない環境で以下のメッセージが定期的に表示されます。
表示を止める方法はありますか?
Cannot reach "services" server. New update packages will not be downloaded and other remote services will not work.
画面右上のベルマークから該当のメッセージを選択し、「メッセージの非表示」をクリックすることで表示を消すことができます。
本メッセージはFlowmonが更新可能なパッケージの有無を確認するためのサーバにアクセスできなかったことを示すものです。
なお、Configuration Center > バージョン より「自動パッケージのダウンロード」をOFFにする設定がありますが、本設定は更新可能なパッケージが見つかった場合には自動ダウンロードを実施しない。という機能です。更新可能なパッケージの有無の確認は無条件に実施されますのでご注意ください。
FlowmonのCommunityストリングの設定仕様でAとBのCommunityストリングを2つ並行して設定をする事は可能ですか。
Configuration Center>システム>システム設定>SNMP>SNMPD.CONFの編集 より、新しいCommunityストリングを追加する事で、Communityストリングを2つ並行して設定をする事は可能です。
その他設定方法の詳細については、一般的なLinuxなどで動作するsnmpd.confと同様です。
Flomownよりメールで通知されるイベントにはどんなものがありますか。
現時点で弊社が確認しているFlowmonからメールで通知されるイベントには以下のようなものがあります。
・Flowソースの異常
・nfdump異常停止
・メモリーオーバーロードによる異常停止
・アーカイブ(バックアップ)失敗
・レポートの外部ディスク失敗
・Flow転送先異常
・新バージョンリリース時
Flowmonのサービスに影響を及ぼすイベントにおける重大度の考え方は、一般的なSyslogの考え方に準拠しています。
メールで通知されるイベントはGUI画面右上のベルアイコン(通知ボタン)に表示される中でも、0~3の4つの重大度(コード)に該当するイベントです。
現在弊社で確認しているイベントの中でも、ディスク、クォータ、メモリに関してメールで送信されるメッセージは以下のとおりです。
・ディスクやクォータに関するメッセージ
"The system is not able to decrease disk usage, the disk is getting full." - 重大度 1
(システムがディスクの使用量を下げることができないため、ディスクがいっぱいになっています。)
"The system is not able to decrease disk usage, and the disk is full. Stopping collector." - 重大度 0
(システムがディスクの使用量を下げることができないため、ディスクがいっぱいです。コレクターを停止中です。)
・メモリに関するメッセージ
"Process %s has been stopped to prevent a memory overload." - 重大度 2
(メモリのオーバーロードを防ぐためプロセスは中止されました。)
物理アプライアンスのデータディスクが不足した場合、データストレージを追加することはできますか。
いいえ。
物理アプライアンスのデータディスクは追加不可能です。
以下脆弱性について、Flowmonに与える影響はありますか。
・CVE-2021-44224
・CVE-2021-44790
該当の脆弱性につきましては、Flowmonは影響を受けません。
該当脆弱性は、mod_proxy が使用されているときのみ、発生する脆弱性ですが、
Flowmonでは、mod_proxyは使用されておりません。
またRED HatのCVEによりますと、CentOS 7はこの脆弱性の影響を受けないとの事ですが、
Flowmonは、CentOS 7をベースに作成されています。
以上から、Flowmonは、該当脆弱性の影響を受けません。
Flowmonアプライアンスのうち、iDRAC専用ポートが搭載されているモデルは何になりますか。
iDRAC専用ポートは、Enterprise版iDRACが搭載されているFlowmon Collector、Flowmon Probeに搭載されています。
なおExpress版のiDRACが搭載された機器は、iDRAC専用ポートは搭載されていませんが、
その場合、デフォルトでは管理ポートの番号が若い方が、iDRACポートと兼用になっています。
Flowmonにて高度な解析で時系列表示した際に、統計基準を「IP通信」にした場合と「ポート」にした場合で、トラフィック量に差異が発生しますが、この動作は仕様ですか?
統計基準「IP通信」と「ポート」を時系列表示させた際にグラフの形は同じように見えますが、通信量が異なっているように見えます。
トラフィック量の差異は、仕様です。
IP通信の場合も、ポートの場合も、パケット/バイト/フロー数は期間中のパケット/バイト/フローの合計値を表示していますので、同じです。
しかしながら、それぞれが異なる基準での解析結果を表示していますので、時間ごとの合計は異なります。
IP通信の場合は、送信元IPアドレスと宛先IPアドレスの組み合わせを、ポートの場合は、ポートごとの通信を単位として集計した物の上位10位が掲載されます。それぞれ集約する基準が異なりますので、通信量の合計も異なります。
似たグラフですが、それぞれが別の解析結果を表示しています。
特定時間帯での全てのトラフィックを確認したいのですが、指定が500位までしか選択できません。
通信データのすべてを一覧として照会する方法を教えてください。
Monitoring Centerの「より高度な解析」中の「統計情報」では、上位500位までのみ指定出来る仕様です。
すべてのデータを一覧として照会するためには、Monitoring Centerの「フローのリスト」を使用します。
「フローのリスト」は、「次に制限」のプルダウンで「制限なし」を選択することですべてのデータの一覧を生成することができます。
「制限なし」を選択された場合、結果は画面に表示されないため、「フローのリスト」の右側にある「以前の結果」からCSV形式のファイルとしてダウンロードしてください。
注意点として、CSV形式のため、グラフ表示には対応していません。
なお、CSVに出力する項目は「出力」の「新しい出力の作成」から項目を選択することで、出力した項目を変更することができます。
Dashboard and Reportsで読み取り専用アカウント権限のユーザーにダッシュボードを参照させることは可能でしょうか。
admin権限のユーザーでDashboard and Reportsに作成したダッシュボードを読み取り専用ユーザーに共有するには、
ダッシュボード作成時に、「ダッシュボードを共有」にチェックを付けていただくと読み取り専用アカウント権限のユーザーでもダッシュボードを共有できます。
しかし、それだけではダッシュボードのウィジェットを全て共有することはできません。
ダッシュボードに追加したウィジェットも共有する場合には、読み取り専用ユーザーにウィジェットで利用しているプロファイルやソースを割り当てる必要があります。
プロファイルやソースの割り当て方法は以下です。
1.Configuration Center>システム>ユーザ設定>役割 にて該当の役割の「編集」ボタンを押す。
2.「FMC」タブの「割り当てられているプロファイル」と「割り当てられているソース」にて共有したいダッシュボードのウィジェットで使用しているプロファイルやソースを選択する。
レポートのチャプターを新規作成後、そのチャプターを設定したレポートを表示すると新規作成したチャプターが「選択された期間に使用できるデータはありません。」と表示され、グラフなどが表示されません。
表示できるようになるまで、どのくらい時間がかかかりますか?
Monitoring Center>レポート>チャプター にて新しいチャプターを作成時に、再計算を1日/10日/30日から選択していただくことでその選択した日にち分の過去のグラフが表示されます。
「再計算しない」を選択すると、チャプターを作成した時点からのデータを取得するので過去のグラフは表示されません。
また、再計算を1日/10日/30日から選択した場合も、バックグラウンドで計算が終わるまではデータが無いためグラフは表示されません。
バックグラウンドで行われている計算状況は Configuration Center>FMC設定>レポート>基本設定 の「ジョブ計算の進捗状況」にて確認できます。
処理するジョブがある場合は、「キュー内のジョブ:xx」のように表示されます。
よって、バックグラウンドで計算が終わり次第、グラフが表示されることになります。
Flowmonに設定しているDNSサーバーのIPアドレスの変更方法を教えてください。
Flowmon設定のDNSサーバーのIPアドレスは「コンフィグレーションセンター」→「システム」→「インターフェースの変更」にある
「プライマリDNS」/「セカンダリDNS」の設定から変更可能です。
Flowmonのアプライアンスログは2種類ありますが、それらの違いを教えてください。
アプライアンスログの「暗号化しないでダウンロード」は、ログの展開が可能であり、アプライアンスログの中身を確認可能です。
アプライアンスログの「暗号化してダウンロード」は、開発元のみアプライアンスログの中身を展開・確認可能です。
Flowmonが使用しているApacheのバージョンは何ですか。
FOS 12.01.01では2.4.6を使用しています。
Apacheのバージョンは以下のコマンドで確認することができます。
[flowmon@localhost ~]$ apachectl -v
Server version: Apache/2.4.6 (CentOS)
Server built: Jan 25 2022 14:08:43
FlowmonのベースOSは何でしょうか?
FlowmonはCentOS Linux 7を使用しています。
詳細はFlowmonのCLIより hostnamectl コマンドを使用することで確認できます。
また、FlowmonOS Ver11以降の場合はcat /etc/redhat-release コマンドでも確認することができます。
使用するDNSサーバの変更作業を計画しています。想定される作業影響は何か有りますか?
また、作業前後で確認した方が良いことは有りますか?
Flowmonは、参照するDNSサーバに登録されているIPアドレスのみをドメイン解決することが出来るため、DNSサーバに登録されている情報がDNS参照先の設定変更前と変更後で異なる場合(例えば、LAN内の機器を登録している内部用DNSから、外部公開用のDNSに変更した場合等)は、Flowmonで名前解決が出来るIPアドレスが変わる可能性があります。
作業前後に、ドメイン名解決を有効にして解析を実行することで、ドメイン解決が正常に行われているかを確認することができます。
ドメイン解決を有効にする方法は以下をご参照ください。
Configuration Center>Flowmon画面右上のアカウント名をクリック>ユーザ設定>「+解決」>「ドメイン名解決」にチェックを入れる上記の手順でドメイン名を有効にした後、Monitoring Center>解析>高度な解析 にて任意の設定で解析を実行し、IPアドレスがドメイン名で表示されていれば、ドメイン解決は正常に動作しています。
なお、FlowmonのDNSは1時間キャッシュされますので、設定変更後、1時間以内に動作確認を実施する場合はDNSキャッシュクリアも必要に応じて実施してください。
DNSキャッシュのクリア方法は以下のFAQを参照してください。
https://flowmonbp.orizon.co.jp/faqlist/flowmon-faq-342
DNSのキャッシュをクリアする方法はありますか?
DNSのキャッシュはGUIもしくはCLIからクリアすることが可能です。
【GUIからDNSのキャッシュクリア】
Configuration Center>システム>システム設定>管理インターフェース1 にて「保存」ボタンの横にある「DNSキャッシュの消去」をクリックしてください
【CLIからDNSのキャッシュクリア】
Flowmonは、nscd.serviceを使用してDNSのキャッシュを行っていますので、nscd.serviceを再起動することでDNSのキャッシュをクリアすることが可能です。
手順は以下を参照してください。
1.FlowmonコンソールにSSHで接続します。
「Teraterm」などのssh端末ソフトで、Flowmon管理コンソールのIPにアクセスします。
ホスト:<FlowmonのIPアドレス>
ユーザ : flowmon
パスワード : inv3a-t3ch(初期パスワード)
※実際の設定値は、パラメータシートにてご確認ください。
コマンド pwdでログイン後のパスが /home/flowmon/ であることを確認してください。
2.以下のコマンドを実行します。
sudo /sbin/service nscd restart
ローカルDNSキャッシュの有効期限は1時間ですので1時間が経過するとキャッシュは更新されますが、すぐにキャッシュを更新されたい場合は上記の手順を実施してください。
記事公開日:2023.04.11
最終更新日:2023.04.13
設定ファイルをアップロードすると同じ状態に変更されますか?
設定ファイルをアップロードする際の条件があれば教えてください。
また、xmlファイルをテキストエディタ等で一部情報のみ変更し、その変更後のxmlファイルをアップロードした場合、Flowmonの設定もxmlファイルの情報が反映されますか?
設定ファイルアップロード時のモードによって設定ファイルアップロード後のFlowmonの状態が変わります。
Configuration Center>システム>メンテナンス>設定ファイル>アップロード にて、
設定ファイルを選択し、「アップロード」をクリックすると
アップロードする項目を選択する画面が表示され、任意の項目のみをアップロードすることが出来ます。
最下部の「追加設定」にて、「追加して変更」もしくは「削除して作成」が選択できます。
「追加して変更」では対象の機器に元々存在してるソースやプロファイルに加え、設定ファイルに存在するソースやプロファイルが追加されます。
また、対象の機器に既に存在するソースやプロファイルは設定ファイルに従って変更されます。
「削除して作成」では対象機器に元々存在しているソースやプロファイルは一旦全て削除され、設定ファイルに存在するソースやプロファイルが作成されます。
ソースやプロファイルが削除されますと今まで受信したフローデータも削除されますのでご注意ください。
バージョンが異なるFlowmonに設定ファイルをアップロードする場合、保証されているのは前のバージョンの最後の安定版となります。
例えば、バージョン11.0.xからダウンロードされた設定ファイルは、バージョン11.1.yと互換性があります。
xmlファイルを修正し、それをアップロードするとその変更内容が適用されます。
記事公開日:2023.04.11
最終更新日:2023.04.13
SMTP認証のパスワードを入力して保存した際に、パスワード欄が空白となりますが、
この状態でパスワードの設定は反映されていますか?
Flowmonのメール通信は、Flowmonへログインするインターフェースと同様の管理用インターフェースから送信されますか?
メールの設定にてSMTP認証のパスワードを入力し保存するとパスワード欄は空欄となる仕様です。
管理インターフェース1のみを使用している場合は管理インターフェース1から送信されます。
もし、管理インターフェース2も使用している場合は、メールサーバへのルーティング設定に従ってインタフェースが選択されます。
従って、Configuration Center>システム>システム設定>管理インターフェース2 にて「IP設定の有効化」を有効にした際に表示される「スタティックルート」にてメールサーバ向けのスタティックルートが設定されていれば、管理インタフェース2から送信され、何もスタティックルートが設定されていなければ、デフォルトゲートウェイに従うため、管理インタフェース1から送信されます。
記事公開日:2023.04.11
最終更新日:2023.04.13
監視対象機器からのNetFlow送付を「サンプリング200」で計画していましたが「サンプリング無し」で送付する事になりました。
Flowmon側のリソース(秒間あたりのFlow数とDISK)枯渇を防止するため、
対策として、何か有効な手段はありますか。
例) Flowmon側でFLowデータを受信する際にサンプリングする、など
FlowmonコレクタではすべてのFlowを受信する仕様の為、Flowを間引きすることはできません。
Disk枯渇への処置として、すべてのトラフィックが保持されているAll sources領域を少し削減し、長期保持したい対象トラフィックで個別にプロファイルを作成することで、特定のトラフィックをある程度長期保存することはできます。
※全体トラフィックの保持期間は減ります。
プロファイルの作成はmonitoring center>プロファイル>プロファイル編集>新しいプロファイルにて作成することができます。
プロファイルを作成する際に「実プロファイル」「最大サイズ」、「保存期限」を設定すると、
1つのプロファイルで保存できる最大データや保存期間を設定できます。
なお、サンプリングでFlow受信した場合には、サンプリングレートでパケットを間引くため、すべてのトラフィックがまんべんなく保持できます。
プロファイルの場合にはフィルタを指定し、あらかじめ特定のトラフィックで絞る必要がございますのでご留意ください。
記事公開日:2023.04.11
最終更新日:2023.04.13
LDAPについて、ユーザ追加の流れとして新規ユーザをローカルで作成し、役割等を割り当て、
ダッシュボードの設定をしたのちにLDAPの設定をしてAD連携する流れと理解しています。
この際追加するユーザが他のフロー可視化装置でLDAP設定してあった場合でも
新たに追加したフロー収集可視化装置のユーザはLDAP設定をするまでは
ローカルユーザとして設定したパスワードでログインできるでしょうか。
LDAPの設定(AD連携)前にローカルでFlowmonユーザを作成した場合、ローカルユーザとして設定したパスワードでログインできます。
しかしながら、仕様上、ローカルで作成したユーザをADサーバ上で編集することができません。
よって、LDAP設定(AD連携)後には別途ADサーバのユーザを作成していただき、Flowmonにログインする必要があります。
ADサーバーと連携してユーザー作成を行う流れは以下になります。
1) ADサーバーにFlowmonで使用するユーザ及び、グループを作成します。
2) Configuration center>システム>システム設定>LDAP設定(AD連携)を行います。
3) Configuration center>システム>ユーザー設定>役割にてADサーバに作成したグループを役割として登録します。
ADサーバーで作成したユーザ(グループに所属している必要あり)でFlowmonにログインをした際に、ユーザが自動作成されます。
記事公開日:2023.04.11
最終更新日:2023.04.13
Configration Centerのリスニングポートの画面で
「欠落しているタイムスタンプの生成」→「アクティブタイムアウト」項目がありますが、こちらはどういう機能ですか。
リスニングポートの画面で「欠落しているタイムスタンプの生成」>「アクティブタイムアウト」機能は、フローソースがタイムスタンプを生成できない場合、Flowmonコレクタ自体がタイムスタンプを生成する設定です。
※タイムスタンプなしのフローを正しく受信するには、アクティブタイムアウト値を手動で設定する必要があります。
記事公開日:2023.04.11
最終更新日:2023.04.13
設定ファイルをアップロードする時の影響を教えてください。
アップロード中には設定ファイルをアップロードしたことによって(プロファイル数、ソース数)、システム負荷が上昇する場合がございますが、こちらはら一時的な現象です。
また、弊社の環境で確認したところ、アップロード中にはnfsenサービスが再起動されます。
※nfsenとはプロファイルの作成及びビルトインコレクタのプロセスを監視するものです。
nfsenの再起動により、一時的にトラフィックグラフが欠ける可能性があります。
記事公開日:2023.04.11
最終更新日:2023.04.13
Flowmonで受信したフローデータを他の製品(Flowmon以外)に転送することは可能ですか。
可能です。設定手順は以下をご参照ください。
【プローブの場合】
Configuration Center>モニタリングポート>使用したいポートの「ターゲット」タブの「新しいターゲット」にてフローデータの転送先IPアドレスを登録します。
Flowmon画面右上のはてなマークから展開できるユーザーガイドの
4.Configuration Center>4.3モニタリングポート の「ターゲット」にて詳細をご確認いただけます。
【コレクタの場合】
Configuration Center>FMC設定>ビルトインコレクタ>ターゲットの転送>新しい転送 にて転送先のIPアドレスと使用するリスニングポートを入力します。
Flowmon画面右上のはてなマークから展開できるユーザーガイドの
5.Flowmon Monitoritng Center>5.1 FMC設定 の「ビルトインコレクタ - 転送ターゲット」にて詳細をご確認いただけます。
記事公開日:2023.04.11
最終更新日:2023.04.13
①データベース機能を内包しているか
②ログを生成する機能があるか
※主にアクセスログとSQLログ。
③データベース内のデータは暗号化されているか
④機器の各種設定情報は、暗号化されているか
①Flowmonでは PostgreSQLを使用しています。
②Flowmon GUI及びCLIからではデータベースのログを生成することができませんが、データベースのログはアプライアンスログに含まれます。
※データベースへのアクセスログは記録していません。
データベースのログを確認したい場合、暗号化しないアプライアンスログをダウンロードしていただき、ログファイルを展開しますと、postgresフォルダの中にデータベースのログを確認いただけます。
③FlowmonのデータベースはFlowmonの設定、レポート、アクティブデバイス、ユーザ管理等を保存するために使用されます。
※フロー データはデータベースではなく、nfcapdファイルに保存されます。
そのため、データベースに保存されているパスワードのみが暗号化されます。
その他は暗号化されていません。
④パスワードのみが暗号化されますが、その他の設定情報は暗号化されません。
記事公開日:2023.06.26
最終更新日:2023.07.04
スクリプトファイルを/tmp/配下に置きたいのですが
①/tmp/配下に置いたファイルは再起動または一定の時間等、何らかのイベント発生で消えますか?
②スクリプトファイルを置きたい場合、/tmp/配下以外に読み書き等が可能なディレクトリはありますか?
①/tmp/配下、/var/tmp/配下にあるファイルは定期的に削除されます。
②スクリプトを置きたい場合は、/home/flowmonの配下に新しいディレクトリを作成し、そちらにスクリプトファイルを置いてください。
記事公開日:2023.06.26
最終更新日:2023.07.04
「プロファイル名」「グループ名」「チャネル名」で使用できる文字、また最大文字数を教えてください。
弊社で確認をしたところ、「プロファイル名」と「チャネル名」は英数字、日本語、空白、また以下の記号が使用可能です。
※全ての記号が網羅されているわけではありませんので使用されたい記号があれば弊社サポートまでお問い合わせください。
!”#$%&'()=~|<>?_{}[]-^\,./;:@「」
また、最大文字数は100文字です。
※プロファイル作成時は100文字以上入力可能ですが、保存すると100文字に省略されます。
「グループ(名)」に使用できる文字はa~z、A~Z、0~9のみです。
また、最大文字数は31文字です。※31文字以上は入力できません。
記事公開日:2023.06.27
最終更新日:2023.07.04
Flowmonにて、cronや/etc/rc.d/rc.localのチューニングを行っても問題ないでしょうか?
一般ユーザには/etc/rc.d/rc.localの書き込み権限がないので編集は出来かねます。
※rootパスワードは公開されておりません。
cronを編集することは可能です。
シェルを使用して、cronで定期的に実行するように登録することは問題ありませんが、
tcpdumpやシェル、cronについてはサポート対象外となります。
記事公開日:2023.06.27
最終更新日:2023.07.04
tcpdumpでパケットを取得する場合、どのディレクトリにファイルを保存すればよいですか。
弊社ではtcpdumpでパケットを取得する際に/home/flowmonにファイルを保存していただくように案内をしています。
( tcpdump -s0 -i <ネットワークインタフェース 例:eth0> host <ソースのIP address> -w <ファイル名>.pcap )
しかし、/home/flowmonの容量を消費しないように、tcpdumpファイルをローカルに保存した後、pcapファイルを削除するように推奨します。
記事公開日:2023.06.27
最終更新日:2023.07.04
nfcapdファイルの中身を確認する方法はありますか?
1.Flowmonコンソール(CLI)にログインしてください。
2.1.nfcapdファイルが/mnt/external/下にある場合、以下のコマンドを実行します。
/usr/local/bin/nfdump -R /mnt/external/<プロファイル名>/<チャネル名>/<年>/<月>/<日>/nfcapd.202104152350 -c ’20’
※ -c ’20’ はデータを20個まで出力されるオプション
2.2.nfcapdファイルがローカルにある場合
WinSCP等のssh コピー(SCP)機能を持ったソフトウェアで管理コンソールにアクセスして、nfcapdファイルを /home/flowmon/下に保存し、以下のコマンドを実行します。
/usr/local/bin/nfdump -R /home/flowmon/nfcapd.202101290005 -c ’20’
記事公開日:2023.06.27
最終更新日:2023.07.04
「アプライアンスログ」は「ログ」>「システムアクティビティログ」と同様のものですか。
「アプライアンスログ」、「システムアクティビティログ」それぞれのログの中身を教えてください。
アプライアンスログとシステムアクティビティログは別のものです。
システムアクティビティログは、アプライアンスログの中に含まれます。
◆システムアクティビティログ
上記はシステムログが表示され、Flowmonシステム内で発生するイベントが記録されます。
/var/log/daemon、/var/log/messages、/data/components/flowmonexp/log/flowmonexp.log、/var/log/li.log等が表示されます。
◆アプライアンスログ
上記はシステムイベントログ、Flowmonの設定ファイル、その他の重要な情報が含まれます。
アプライアンスログは基本的には開発元がトラブルシュートを行うために利用するログとなっており、含まれる情報については開示されていません。
しかし、アプライアンスログを暗号化しないでダウンロードすることによって、ログの中身を参照いただくことは可能です。
記事公開日:2023.06.28
最終更新日:2023.07.04
Flowmonが使用している内部のメールサーバを教えてください。
FlowmonにはPostfixがインストールされていますが、その機能は使用しておらず、
メール送信にはPHPの機能を使用しております。
記事公開日:2023.06.28
最終更新日:2023.07.04
フローデータのライブチェックは閾値を超えた場合、どのように通知されますか。
フローデータのライブチェックの通知はベルマークから確認できるシステムメッセージに表示され、
admin権限を持ったユーザーに設定されているメールアドレス宛にも通知されます。
また、Configuration Center>システム>システム設定にてSNMP TrapやSyslogが
有効になっている場合はフローデータのライブチェックのTrapやsyslog通知が可能です。
ただし、FOS12.02まではSNMP Trapが有効になっていてもフローデータのライブチェックのTrap通知されない不具合が発生しています。
この不具合はFlowmon OSバージョン12.03で修正される予定です。
回避策として、/var/www/libs/flowmon/にある「reporting.conf」を開き、
trap_server = ”localhost”と記載されている箇所を
trap_server = ”お客様の送信先サーバのIPアドレス”に変更することで
SNMP Trapが送信されるようになります。
※必要に応じてtrap_port、trap_ver、trap_cstringも変更してください。
記事公開日:2023.06.28
最終更新日:2023.07.04
証明書情報の削除方法を教えてください。
GUIで証明書情報を削除する方法はありませんが、Flowmonコンソールでの削除は可能です。
手順は以下の通りです。
1.FlowmonコンソールにSSHで接続します。
「Tera term」などのssh端末ソフトで、Flowmon管理コンソールのIPにアクセスします。
2.下記コマンドを入力してください。
sh restore_factory_settings.sh
※本コマンドは設定及びデータの初期化を行うため、以下の質問以外は「n」を入力してください。
「y」を入力すると設定及びデータが初期化されるため、ご注意ください。
Do you want to restore default HTTP and PostgreSQL SSL certificates? [Y/n]: y
(上記の質問を「y」に記載すると、HTTPとFlowmonで利用しているデータベースPostgreSQLの認証が初期化されます)
記事公開日:2023.06.29
最終更新日:2023.07.04
FCC>モニタリングポート>新しいターゲットにて、「このターゲットにフィルタを使用する」を有効にした際に表示される「サンプルフィルタの使用・変更」にフィルタを追加することは可能ですか。
いいえ、当箇所にフィルタを追加することは出来ません。
記事公開日:2023.09.01
最終更新日:2023.09.15
SWでの提供ですか?
SW、HWでの提供がございます。
SW版はVMwareやHyper-V、クラウド版をご用意しているので、環境を選ばずご利用いただけます。
Flowmonではスペックの高いHWを採用しているため、物理版の方がパフォーマンスも安定しおすすめですが、すでに仮想環境を利用している場合や、オンプレ環境を利用したくないといった場合に仮想版もご好評いただいております。
記事公開日:2023.09.01
最終更新日:2023.09.15
長期保存や大規模な場合、コレクタを推奨している理由を教えてください。
Collectorを推奨する理由として、処理性能がCollectorの方が優れているという点もございますが、Probeの機能制限によるところが大きいです。
ProbeはFlow生成専用機となりますが、1TBのストレージも同梱しており、単独でのFlow解析も可能です。
ただし、Probeは1TB以上のストレージはご用意がなく、自身が生成したFlow情報のみしか受信できないため、複数のFlow生成機のトラフィックを集約することができません。
これら制限を考慮すると、長期保存、大規模環境では不向きといえます。
記事公開日:2023.09.01
最終更新日:2023.09.15
Flowmonが正式に対応しているブラウザを教えてください。
Flowmonが正式に対応しているブラウザは3つです。
○Google Chrome
○Firefox
○Microsoft Edge
なお、FlowmonではInternet Explorerのサポートはしておりません。
記事公開日:2023.09.01
最終更新日:2023.09.15
スイッチからフロー統計データを出力させるとスイッチの負荷が上昇してしまうのではないでしょうか?
お客様環境のNW機器のスペックにもよりますが、10%~20%程度が一般的のようです。
フロー生成機のプローブを入れるとNW環境に負荷をかけずにフロー解析を始めることができるので、コレクタ+プローブでの導入がおすすめです。
記事公開日:2023.09.01
最終更新日:2023.09.15
プローブでプロファイルを作成し、容量を大きくとると、All Sourcesの領域が小さくなるのでしょうか。
プロファイルにはAll Sourceからデータをコピーして格納するリアルプロファイルと、フィルタだけを登録するシャドウプロファイル(データ自体はAll Sourceを参照)がございます。
前者の場合はストレージを消費しますので、All Source等に割り当てられるストレージ容量は少なくなります。
記事公開日:2023.09.05
最終更新日:2023.09.15
Flowmonと他製品との優位性は?
FlowmonProbeがあることが一つです。
これにより、一部L7情報を解析可能(HTTPホスト名や遅延値)となります。
また、SNMPやパケットキャプチャと比較すると、詳細データを長期保存して過去に遡って解析可能です。
記事公開日:2023.09.05
最終更新日:2023.09.15
物理版と仮想版の違いは?
プローブにつきましてはパフォーマンスとの兼ね合いから非常に高い割合で物理アプライアンスにてご検討・採用いただいております。
また、コレクタにつきましても監視対象のFlow(トラフィック)量次第とはなりますが、プローブ同様にパフォーマンスの観点、手離れの良さから物理アプライアンスにてご提案いただくケースが多いのが実情と言えます。(物理70%:仮想30%程度)
障害発生時の切り分けに関しても、物理版に分があるといえるかと存じます。
記事公開日:2023.09.05
最終更新日:2023.09.15
フロー受信ポートは?
Flowmonではデフォルトですと下記のポートが使える状態となっております。
一般的にNetFlowやsFlowは下記のポートでやり取りされるますので、別のポートを使われる場合はご注意ください。
Probeからのフロー →3000
NetFlow →2055もしくは9996
sFlow →6343
※全てUDPです
記事公開日:2023.09.05
最終更新日:2023.09.15
アラート機能における条件の〇は、条件を満たす場合、一回のみに設定した時、〇回しきい値を超えたら発行するという認識であってますか?
例えば閾値を100Mbpsとし、条件を2回とすると、2回閾値を超えた場合にアラートが発行されます。
記事公開日:2023.09.05
最終更新日:2023.09.15
アラート機能におけるサイクルの〇は、1であれば、5分間で〇回しきい値を超えたら発行、
2であれば、10分間で〇回しきい値を超えたら発行であってますか?
サイクルはアラートを抑制する間隔になります。
条件2回(2回閾値を超える)を1セットとし、サイクルが0(ゼロ)であれば条件を満たすごとに発行され、サイクルが1であれば、発行→抑制→発行というサイクルになります。
記事公開日:2023.09.05
最終更新日:2023.09.15
オンプレ版アプライアンスと仮想アプライアンス版では特に機能差異はないとの認識ですが、相違はありませんでしょうか?
処理能力がオンプレ版の方が高く、より快適な操作が可能となっております。
一方、仮想版には2ポート分のモニタリングポート機能があり、パケットを受信して自身でフローに変換することが可能です。
記事公開日:2023.09.05
最終更新日:2023.09.15
アラートのしきい値を超えているかの判定は、リアルタイム(1分毎)か一定周期のタイ ミングのどちらですか?
その際のトラフィックは、1分平均のデータ又は5分平均のデータで、しきい値を超えているか判断しているのでしょうか?
プロファイルの粒度によって異なります。
30秒/1分プロファイルの場合は1分毎での閾値判定、5分プロファイルは5分単位で閾値判定となります。
記事公開日:2023.09.05
最終更新日:2023.09.15
A系のフローとB系のフローを分けて情報を管理したい場合に、Flowmonコレクタはどういう構成を取れますか。
1台のコレクタで管理1、管理2のインターフェースを使ってフローを収集する方法があります。
A系とB系のフローを統合して見ることも出来ますし、別々に見ることも出来ます。
また、権限の設定で、AのアカウントはA系のデータのみ、BのアカウントはB系のデータのみを閲覧させるといったこともできます。
記事公開日:2023.09.05
最終更新日:2023.09.15
A系、B系別々にコレクタが必要だとした場合に、A系、B系まとめて情報を見ることができますか。
別に管理装置のようなものが必要でしょうか。
コレクタの分散時に、一元管理するためのマスターユニットというアプライアンスがございます。
2台のコレクタに加え、マスターユニットを入れていただくことでA系、B系のフローをまとめて見ることができます。
実際のフローデータは各コレクタに保存され、そこからマネージメントデータをマスターユニットに送ることで統合管理するというものです。
記事公開日:2023.09.05
最終更新日:2023.09.15
Flowmonのライセンスにおいて、監視ノード数などの制約事項はありますでしょうか。
Flowmonのライセンス形態はストレージ容量となりますので、監視ノード数の制限等はございません。
記事公開日:2023.09.05
最終更新日:2023.09.15
通信先IPアドレスの所属するAS番号は表示可能でしょうか。
表示可能な場合、利用のための条件(whoisを引くためにインターネット接続必須など)があれば教えてください。
Flowmonでは4つのAS番号を識別可能です。
・IPアドレスを基にASを判断
送信元/宛先AS:送信元/宛先IPアドレスの情報を基に、データベース内に保持しているASリストと突合し、AS番号を出力します。
AS番号はIANAでグローバルIPとともに管理されている為、グローバルIPに紐づいたグローバルAS番号が定義されています。
Flowmon内部ではリストを持っている為、すべてのグローバルIPに応じた一意のAS番号が割り当てられている認識です。リストの更新間隔はバージョンアップ毎になります。
・Flow情報内のAS番号基に判断
プリビアス/NextAS:ルータが生成するFlow情報にAS番号を付与します。Flow生成ルータの前後のAS情報を出力可能です。
ネットワーク機器がFlowを生成する際、IPアドレスやポート番号と同様に、AS番号も生成可能です。
その際、ルータの前後(プリビアス/Next)のAS番号をFlow情報に付与します。
Flowmonでは生成されたフローにおける前後のAS番号を表示可能です。
なお、AS番号についてはFlowmon内部で企業名とのリストを持っており名前解決を行い出力することが可能です。
記事公開日:2023.09.05
最終更新日:2023.09.15
SNMPサーバ+Syslogサーバの運用から、Flowmonのみの運用へ変更されている実例もあるという事でしょうか?
SNMP監視サーバとSyslogサーバ、Flowmonは用途が異なるため、置き換えではなく併用となります。
Syslog監視機能はFlowmonにはございません。
SNMP監視ツールはトラフィックの流量の監視、具体的にどんなトラフィック多く流れたのかを可視化するのがFlowによるトラフィック監視となります。
記事公開日:2023.09.05
最終更新日:2023.09.15
マルチテナント機能について説明してください。
マルチテナント機能は、FlowmonOSv11.00で実装された新機能となります。
マルチテナント機能により、テナント単位で分離されたユーザアクセス環境を構築できます。
テナント毎に管理者を作成し、テナント内でユーザと役割を管理します。
テナント管理者は、テナントの定義に従って、使用するフローソースやプロファイルをユーザーにを割り当てることができます。
デフォルトでは、現在の権限がすべてベーステナントで定義されています。
従来のユーザ、および役割(権限)は、デフォルトの単一テナントモード(ベーステナント)を使用することでそのまま引き継ぐことができます。
記事公開日:2023.09.05
最終更新日:2023.09.15
回線帯域に制限はありますか。
プローブのモニタリングポートの回線帯域であれば、1/10/40/100Gbpsに対応しております。
コレクタの管理ポート(Webアクセス/Flow受信用)はデフォルトでは1Gですが、10Gオプションがございます。
記事公開日:2023.09.06
最終更新日:2023.09.15
ネットワーク機器のリプレースが頻繁にある会社で合った場合、Flowmonでも何か設定変更しないといけないでしょうか?
Flowmonでは特に設定変更をする必要はございませんが、ネットワーク機器を用いてFlowを生成している場合は、リプレース後にネットワーク機器のFlow生成の設定を再度入れて頂く必要がございます。
記事公開日:2023.09.15
最終更新日:2023.09.29
解析結果をTXT、CSV、PDF、にダウンロードできるのはコレクタだけでも可能ですか?
解析結果のエクスポート機能はコレクタの機能となりますので可能です。
また、プローブにもミニコレクタの機能があるので、プローブにおいても可能です。
記事公開日:2023.09.15
最終更新日:2023.09.29
拠点別トラフィックを取得する場合、拠点毎にFlowmonが必要ですか。
拠点のトラフィックがDCに集約されている場合には、DCのトラフィックを取得いただくことで拠点単位での可視化が可能です。
ローカルブレイクアウトを行っている場合には、拠点単位でFlow生成を行う必要があります。
コレクタで受信できるFlow生成機の数に制限はありますか?
明確な制限はございませんが、弊社実績といたしましては800台ほどの実績がございます。
例えば、5拠点の詳細なトラフィック調査をする場合は、各拠点にプローブを導入する必要があるのでしょうか?
コレクターのみで対応出来るのでしょうか?
拠点のトラフィックがDCに集約されている場合には、DCでトラフィックを取得いただくことで拠点単位での可視化が可能です。
集約ポイントがない場合には、各拠点のNW機器でFlow生成を行か、Probeを設置いただく必要がございます。
Flowmonは解析したい機器のミラーポートを使用するという認識ですが、2つのインターネットに繋がる各A、Bという機器を解析したい場合、Flowmonは2台必要となりますか。
Probeはモニタリングポートの数に応じていくつかのモデルがありますので1台で問題ありません。
また、ミラーポート毎のトラフィックは区別してFlow化されますので、それぞれの回線を区別して解析可能です。
Flowを取得する本番環境から収集したデータを移送(USBメモリ等で)して、OA環境上に構築したFlowmonで解析するような使い方はできますか?
出来ません。
Flowmonのグラフ描画はFlowを受信したタイミングで描画される仕様の為、実際にトラフィックが流れた時刻とグラフ描画の時刻が異なることが想定されます。
Flowmonでループ発生、LANケーブル断、スイッチ故障の検出は可能でしょうか?
トラフィック量の減少、フローが飛んでこないなどの要素であれば判断可能です。
しかしコレクタにFlowを送っているか、トラフィックをProbeに送っている機器の検出のみとなります。
コレクタ或いはプローブのみでも運用は可能でしょうか?
可能です。
コレクタのみの場合、フロー生成を行う必要があるため、NW機器がFlow生成可である必要となります。
プローブのみ場合、物理版プローブのビルトインコレクタを使用することで、Flow生成およびFlow分析が可能です。
ビルトインコレクタは通常コレクタと同じことができるのか?
機能に差異はございません。
ただしビルドインコレクタは1TBのみでのご提供、他のNW機器が生成したFlow情報を取得できない制限があります。
プリセットのURLアップデートは自動的に更新されますか。
自動的にではございません。
アップデートされたら通知が届き、その後手動で更新する必要があります。
HTTPホスト名が取得・表示されません。
下記設定内容のご確認をお願いします。
全ての設定内容に問題がないにもかかわらず取得及び表示ができない場合、弊社サポートへお問い合わせください。
#クラウドプロキシを使用されている場合はプロキシサーバより先のHTTPホスト名情報を取得することが出来ません。
■リクエストは取得できるが、戻りの通信で取得できない場合
・単一のモニタリングポートで両方向(IN/OUT)のミラートラフィックを受信しているか
・Configuration Center>モニタリングポート>グローバル設定>高度な設定において「有効化されたL2フィールドをNetFlow IDに追加する」を無効にする
ホスト名はリクエスト通信にのみ含まれる為、戻りの通信のホスト名はFlowmonでFlowをペアリングし表示しています。
その為、両方向のトラフィックをセットでFlowmonが処理する必要があります。
■生成/取得がされていない場合
・Configuration Center>モニタリングポート>グローバル設定>高度な設定において「IPFIXレコードのオプションのL7値」の「HTTP」項目にチェックを入れる
・Configuration Center>FMC設定>フローのデータフィールド画面にある「Flowmon独自フィールド(IPFIX)」の「HTTPフィールド」にチェックを入れる
NPM情報が取得・表示されません。
下記設定内容のご確認をお願いします。
全ての設定内容に問題がないにもかかわらず取得及び表示ができない場合、弊社サポートへお問い合わせください。
#「COAP」、「SMB」、「VOIP」、「DHCP」、「MYSQL」、「PGSQL」、「MSSQL」のトラフィックでは取得不可となります。
■リクエストは取得できるが、戻りの通信で取得できない場合
・単一のモニタリングポートで両方向(IN/OUT)のミラートラフィックを受信しているか
・Configuration Center>モニタリングポート>グローバル設定>高度な設定において「有効化されたL2フィールドをNetFlow IDに追加する」を無効にする
■生成/取得がされていない場合
・Configuration Center>モニタリングポート>グローバル設定>高度な設定において「NETFLOWレコードのオプションのL3/L4値」の「NPM」及び「拡張NPM」項目にチェックを入れる
・Configuration Center>FMC設定>フローのデータフィールド画面にある「Flowmon独自フィールド(IPFIX)」の「ネットワークパフォーマンスメトリックフィールド」にチェックを入れる
記事公開日:2024.01.05
最終更新日:2024.01.10
Flowデータと統計や履歴の保存期間を別々に設定することは可能ですか。
Flowmonでは、Flowデータのサマリは行いませんが、統計や履歴としてレポートを作成可能です。
レポートはトラフィック量グラフや統計基準に応じたTOPNを出力できます。
Flowデータとレポートデータのストレージ割り当ては別々に行うことが可能です。
記事公開日:2024.01.05
最終更新日:2024.01.10
レポート設定を行うことにより、コレクタのディスク消費量を削減可能ですか。
ストレージ割り当ては別々に可能ですが、レポートデータはあくまで統計情報となり、詳細解析はできません。
レポートはDB処理となり、Flowデータに比べディスク使用量は少ない傾向にあるため、
コレクタのディスク消費量削減にはつながりません。
記事公開日:2024.01.05
最終更新日:2024.01.10
解析グラフと時系列グラフのタイプスタンプの違いはなぜですか。
解析グラフ:フローを受信した時間でグラフ描画します。
時系列グラフ:パケットに含まれる時間で描画します。
記事公開日:2024.01.05
最終更新日:2024.01.10
L7分析できるのはプローブだけで、コレクタでは出来ないでしょうか。
L7情報を可視化するためには、FlowmonプローブでFlow生成する必要があります。
コレクタはFlow収集機の為、プローブで生成したFlowを受信している場合には解析可、その他NW機器でFlow生成した場合には解析不可となります。
記事公開日:2024.01.05
最終更新日:2024.01.10
FCC>リソースマネージャ>クォータの管理の「ディスクの使用状況」のFreeが0になっても良いでしょうか。
Configuration Center>リソースマネージャー>クォーターの管理にて「ディスクの使用状況」が90%を超えないようにご調整をお願いしております。
※空き容量(Free)の10%はFlowmonの各種作業領域に使用します。
「ディスクの使用状況」が100%になった場合、Flowmonの作業領域不足のため以下のような不具合が発生する可能性がございます。
・Flowmonの動作が不安定になる
・Flowmonにアクセスできなくなる
ディスクがいっぱいなることを防ぐため、
ver11以降では、自動クォータのチェック・調整の機能が実装されております。
自動クォータ調整機能により使用量が最も多いプロファイルのクォータが小さくなり、
保存できる容量を下げることによって古いデータから削除されます。
また、空き容量(Free)が10%以下になるとFlowmon画面右上のベルマークに以下のようなシステムメッセージが表示されます。
・システムがディスクの使用状況を削減することができません。ディスクが間もなくいっぱいになります。
・ディスククォータが超過しています(超過:xxG)。ディスクスペースを節約するために現在のクォータが削減されました。[クォータの管理]を確認してください。
記事公開日:2024.01.05
最終更新日:2024.01.10
設定ファイルでエクスポートされない項目を教えてください。
次の項目はFlowmonの設定ファイルにエクスポートされませんので、復旧することができません。
設定ファイルから復元する際には手動での対応を行う必要があります。
・カスタムsnmpd
Configuration center>システム>システム設定>SNMP>SNMPD.CONFの編集
・ヘッダー内のロゴ
Configuration Center>FMC設定>レポート>ブランディング
・カスタムASlist
Flowmonコレクタ:Configuration Center>FMC設定>AS>カスタム AS
Flowmonプローブ:Configuration Center>モニタリングポート>グローバル設定/各ポート設定>高度な設定>カスタムAS
記事公開日:2024.01.05
最終更新日:2024.01.10
レポートで使用できるスクリプトの種類を教えてください。
コンソール (SSH) で実行できるスクリプトはすべて、FMC(レポート)でも使用できます。(PHPやC言語など)
特定の言語が使用可能かどうかは、SSHで確認してください。
記事公開日:2024.01.05
最終更新日:2024.01.10
ログインする際のパスワードの設定規則はありますか。
パスワードは4文字以上54文字以内です。禁止文字はありません。
54文字より多く入れると、54文字に省略されます。
記事公開日:2024.01.10
最終更新日:2024.01.11
プロファイルの編集画面からグループ変更ができません。
プルダウンがグレーアウトします。
Monitoring Center>アラートにて、特定のプロファイルにアラートを設定している場合、
グループ変更のプルダウンがグレーアウトします。
記事公開日:2024.01.10
最終更新日:2024.01.11
追加したリスニングポートが、リモートアクセスに自動的に追加表示されなくなりました。
FMC設定>リスニングポートに登録がされていれば、問題ございません。
以前のバージョンでは、追加されたリスニングポートがリモートアクセス>アクティブなファイアウォールルールの許可設定にて自動的に追加されておりましたが、現在は仕様が変更されています。
記事公開日:2024.01.11
最終更新日:2024.01.18
リスニングポートを削除/追加した際の影響はありますか。
リスニングポートを削除/追加した際はnfsenが再起動されます。
nfsenとはプロファイルの作成及びビルトインコレクタのプロセスを監視するものです。
nfsenの再起動により、一時的にフロー収集が停止する可能性がございます。
なお、リスニングポートにフローが流れ始めたタイミングではnfsenは再起動されません。
パケット損失が原因でリスニングポートの表示が黄色の警告マークになっています。どのくらいパケット損失がある場合に黄色の警告マークになるのですか。
損失したパケットが受信しているパケットの5%以上になると、リスニングポートの状態が黄色い警告マークで表示されます。
フローソースのライブチェックと、フローデータのライブチェックの仕様について、syslogメッセージはどのようなものですか。また、メールの送信頻度はどのくらいですか。
SNMPライブチェックは5分ごとに実行されます。
チェックに失敗した場合、通知、メール、syslog、SNMPトラップ(設定されている場合)で通知されます。通知は一度だけ行われ、フローソースが再び応答し始めるまで待機します。フローソースのライブチェック(SNMP経由)では、以下のようなsyslogメッセージを送信します。
CEF:0|Flowmon|Flowmon Collector 500 VA|12.03.05|System
Error|System Error|3|rt=1712127605453 cs1=FMC cs1Label=Module msg=Flow source
10.10.10.10 is not responding!Please check whether it is working properly.ファシリティ20(local4)、重大度3(エラー)
フローデータのライブチェックも5分ごとに実行されます。
チェックに失敗した場合、通知、メール、syslog、SNMPトラップ(設定されている場合)で通知されます。
通知は一度だけ行われ、再び失敗した際はGUIの警告のタイムスタンプが更新されます。メール(syslog、SNMPトラップ)は最初の検出に対して送信され、最後のエラーが24時間以上前の場合にのみ送信されます。フローデータのライブチェックでは、以下のようなsyslogメッセージを送信します。
CEF:0|Flowmon|Flowmon Collector 500 VA|12.03.05|System
Error|System Error|3|rt=1712132943286 msg=Flow source 10.10.10.10 (10.10.10.10
(localhost.localdomain, NetFlow-port3000)) sent less flows than required in
the last 5-minute window. Please check whether it is working properly.
ファシリティ20(local4)、重大度3(エラー)
Flowmonでトンネルプロトコル(GRE)のデータは扱えますか。
Probeでは可能です。ProbeはモニタリングポートでGREトラフィックを受信し、カプセル化解除を行い、トンネル内のトラフィックからフローデータを生成することができます。
Collectorはトンネルプロトコル(GRE)のカプセル化解除ができず、カプセル化なしのフローデータのみを受信するため、該当のデータが出力されません。
サンプリング設定している機器とサンプリング設定がされていない機器が混在している場合、サンプリング設定している機器のトラフィックのみサンプリングレート倍にすることは可能ですか。
可能です。
サンプリングを行う場合、ノンサンプリングのFlowとは異なるポートにFlow転送を行うのが一般的です。その為、サンプリングレートの計算がノンサンプリングのトラフィックに影響を与えることはありません。
SMTPサーバの設定は1つのみですか。
SMTPサーバの設定は1つのみ可能であり、カンマ区切り等で2つ以上設定をいただくことはできません。
アクティブタイマーを30分から300秒(5分)等、短い値に変更した際の影響について教えてください。
・Netflowの保管期間への影響
Flow数が増加するため、その分保持期間が短くなる可能性があります。
30分で1Flowが生成されていたものが5分毎になるため、6Flowとなります。
しかし、すべてのFlowが6倍になるわけではなく、元々アクティブタイマーで生成されていたものだけが影響を受けますので、
一般的にはFlow数が膨大に増加するということはございません。
・トラフィックグラフへの影響
アクティブタイマ―30分では正しいグラフ生成ができない為、Flowmonでは5分以下としています。これにより、正しいトラフィックグラフが生成可能となります。
ユーザ設定にて[フロー開始時間でソート(デフォルト)]を有効にした場合、どのような影響がありますか。
FMC(Monitaring Center)>解析>高度な解析>フローリストでの解析時の並び替え基準にデフォルトでチェックが入ります。
特定ポートのミラーデータのみを抽出することはできますか。
Probeはミラーポートで1つに束ねられたトラフィックを識別することができないため、特定のポートのミラーデータのみを抽出することはできません。
しかし、プロファイルを作成することで、疑似的にインターフェース単位のトラフィックグラフを生成できます。プロファイルは拠点単位のトラフィックをグルーピングする際に利用することが多い機能で、インターフェース単位に異なる要素(ネットワークレンジ等)を利用している場合には、インターフェース単位のプロファイルを作成することが可能です。
【プロファイル作成例】
1.Flowmon GUI>Monitoring Center>プロファイルの編集>新しいプロファイルにて任意の設定をご設定ください。
2.下にスクロールし、右下の[新しいチャネル]を押下します。
インターフェース単位に異なる要素(ネットワークレンジ等)を利用している場合には、チャネルを設定する際に各インターフェース単位で定義します。
フィルタ:(例)net 172.xx.xxx.xx/24
IN/OUTを分ける場合は、以下のようにご設定ください。
チャネル①:(例)src net 172.xx.xxx.xx/24
チャネル②:(例)dst net 172.xx.xxx.xx/24
3.[保存]ボタンを押下し、完了します。
モニタリングポートの標準フィルタとファストフィルタを比較した場合、ファストフィルタはどのようにして高速処理を実現しているのでしょうか。標準フィルタとの違いを教えてください。
ファストフィルタはIPアドレスだけを扱うので、対象パケットに対して数ステップで適切なフィルタを見つけることができます。標準フィルタはポートやVLANでもフィルタすることができますが、リストの最後まで処理する必要があるため、ファストフィルタより時間を要します。
Syslog転送できるログの種類の中で、SIEM監視に使えるログはありますか。
Other LogsにFlowmon ADSのログが含まれておりますので、SIEM監視にはOther Logsをご利用ください。
Flowmon ADSで検知したイベントの内容を、ログとして検出することが可能です。
Flowmonにデフォルトで登録されている4つのリスニングポートのうち、3000,2055,9996の違いは何ですか。
・3000:NetFlow/IPFIX(udp)
・2055:NetFlow/IPFIX(udp)
・9996:NetFlow/IPFIX(udp)
・6343:sFlow(udp)
NetFlowにおける通例ですが、以下のような違いがあります。
・3000:NetFlow/IPFIX(udp)⇒ProbeからCollectorへの転送用
・2055:NetFlow/IPFIX(udp)⇒NetFlow Ver5で利用することが多い
・9996:NetFlow/IPFIX(udp)⇒NetFlow Ver9で利用することが多い
adminアカウントのログイン名、姓名は変更できますか。
adminアカウントのログイン名は変更できません。adminから別の名前に変更し、保存ボタンの押下は可能ですが、変更内容は保存されません。
名前、姓の変更は可能です。
統計基準をHTTPホスト名で解析した際、URLの頭の部分が欠けています。全て表示させる方法はありますか。
全てを表示する方法はありません。ホスト名のフローフィールドの長さは32バイトであり、Null文字で終端させる必要があるため、実際に格納できるサイズは後ろから31バイトです。溢れた文字は先頭の文字列から切り捨てられ、後ろから32バイトまでのみがFlowデータに含まれます。
▲ topへ戻る
解析
「Flowmon Monitoring Center」の「解析」についての使い方・仕様・機能
解析結果の一部がIPアドレスではなく、ドメイン名表示となっているものがあります。
これはFlowmon本体に設定しているDNSに対して、Flowmonが問合せを行った結果なのでしょうか?
FlowmonがDNSに問い合わせして名前解決をした結果です。
ドメイン名解決を止めたい場合は、以下の対応をお願いします。
「Configuration Center」>「ユーザ設定」>ドメイン名解決を止めたいユーザを「編集」>「ドメイン名解決」のチェックを外す。
解析画面のフィルタを保存した場合、異なるユーザにも共有されますか?
ユーザに割り当てられている役割によって異なります。
フィルタの共有自体は、FMCの権限を持っていれば可能です。
全てのプロファイル・ソースに対して、保存したフィルタを利用したい場合には、「フルアクセス」権限が必要です。
権限が「フルアクセス」でない場合は、割り当てられたプロファイル及び割り当てられたソースのみ、保存したフィルタを利用可能です。
特定のトラフィックが多く発生しています。
送信元の端末のIPアドレスを確認する方法を教えてください。
送信元の端末のIPアドレスは、「Flowmon Monitoring Center」の「解析」で確認できます。
「解析」よりそれぞれの該当ソースプロファイルを選び、「高度な解析」から下記条件で解析してください。
解析期間
「任意の期間」
統計基準
「送信元のIPアドレス」
フィルタ
src port <送信元ポート番号>又は dst port <宛先ポート番号>
※「ポート番号」を複数選択する場合は、「and」又は「or」で連結できます。
5分間隔のフローの収集を実施している場合に、特定期間(例えば1日)のトラフィックにおいて、最大値のレートなどを見る方法はありますか?
特定期間内の最大値を確認するには、レポート機能をご利用ください。
表内の最大ビット数がレートの最大値となります。解析機能で最大値を確認する場合には期間を設定いただき、表示されたグラフにマウスオーバーしていただくと詳細なレートが確認できます。一番突出しているグラフのレートが最大値となります。
記事公開日:2020.05.14
最終更新日:2021.03.29
Flowmonで解析したトラフィックグラフが他システムで作成したグラフと異なります。何を確認すればよいか教えてください。
Flowmonのトラフィックグラフは送られてきたFlowを基に生成しています。
ネットワーク機器側のFlow生成の設定が他のシステムと同等のトラフィックの情報を生成する設定となっているかご確認ください。
また、サンプリングを行っている場合は、機器側のサンプリングの設定が正しいかご確認ください。Flowmon側でサンプリング値を固定で設定している場合は、機器のサンプリング値と同じ値を設定がされているかご確認ください。
記事公開日:2020.05.14
最終更新日:2021.03.29
収集したフロー情報からFQDNを確認するためには、Flowmon プローブが必要ですか?
はい。FQDNを確認するためにはFlowmonプローブを用いてL7レベルのフローを生成する必要があります。
なお、Cisco社の製品を使用している場合は、AVC機能を有効にすることにより、FQDNを取得することが可能です。設定方法の詳細についてはネットワーク機器ベンダーにご確認ください。
解析結果に表示されるポート番号はウエルノウンポートの場合、ポート番号ではなくDNSやhttpなどの言葉に置き替わりますが、これを数字のまま表示することはできますか?
ポート番号やIPアドレス等はユーザ毎に名前解決をする項目を指定することができます。
(1) Flowmonの右上に表示されているログインユーザ名をクリックして表示されるメニューから「ユーザ設定」を選択し、該当ユーザの編集画面を開きます。
(2)「+解決」をクリックします。
(3)「ポート名解決」のチェックを外して「保存」します。
フロー数が多い場合、セッション数が多かったと考えることはできますか?
フロー数とセッション数は同じではありませんが、似た傾向にありますので、フロー数が多い場合はセッション数が多いと考えられます。
フローは送信元ポート番号、送信先ポート番号、送信元IPアドレス、送信先IPアドレス等の属性が同じ場合に1つのフローとして生成されます。
TCPの場合は行きと戻りの通信があるため、1回の通信で2フロー生成されます。但し、フローはアクティブタイムアウトとして設定された時間を超えると強制的にフローとして生成されますので、大きなファイルのダウンロードなど時間の掛かる通信ではフロー数は実際のセッション数よりも多くなる傾向があります。
記事公開日:2020.08.26
最終更新日:2029.08.26
フィルタを多数記載すると検索に時間が掛かります。検索が早くなる記載方法はありませんか?
フィルタに「or」を使って同じ構文を繋げると検索等の処理に負荷が掛かり、時間が掛かります。
以下のように「in」を使用した書き方をすると検索時の負荷が軽減されるため、検索時間/CPU負荷の改善が見込まれます。
なお、本書き方はFlowmonOS v10.01以降よりご利用できます。
【検索効率の悪い書き方の例】
src net 192.168.1.0/24 or src net 192.168.10.0/24 or src net 192.168.15.0/24 or src net 192.168.30.0/24
【検索効率の良い書き方の例】
src net in [ 192.168.1.0/24 192.168.10.0/24 192.168.15.0/24 192.168.30.0/24 ]
NetFlow v9でFlowを送信していますが、解析を行ってもポート番号が0で表示されます。
フローソースが以下のNetFlow v9フィールドを使用してポート番号を送信している場合、現在のFlowmonではそれらのフィールドをサポートしていない為、ポート番号を表示できません。
182 tcpSourcePort
183 tcpDestinationPort
Flowmonは、以下の標準フィールドをサポートしていますので、恐れ入りますがフローソース側の設定変更をご検討ください。
7 NF9_L4_SRC_PORT
11 NF9_L4_DST_PORT
解析画面のグラフ上でグレーに表示されている期間の解析ができません。
グラフ上でグレーに表示されている部分はストレージの空き容量又はクォータで設定された上限に達したためにFlowデータが削除されていることを示しています。そのため、グレーで表示されている期間は解析をすることができません。
Cisco ASAからFlowを送信していますが、Zabbixで作成したトラフィックグラフと乖離があります。
Cisco ASAはNSELを使用してフローを送信しています。
NSELはFWのログを送信することを主目的としているため、通常のフローを送信する仕組みとは以下のような点が異なっており、他の方式と比べて正確にトラフィック量等を表示することが難しい規格です。
1つのフローで入出力バイトとパケットを送信しています。
次のようにFlowmonの設定を変更することで改善が見込めますが、通常のフローと同じようには表示できません。
「Configuration Center」>「FMC設定」>「フローのデータベースフィールド」
NETFLOW V9フィールドより以下の4つをチェックします。
・出力バイトのカウンタ
・集約フローのカウンタ
・NEL共通ブロック
・NEL変換IPv4/IPv6アドレス
フローの送信タイミングはFWのログを送る時です。通常のフローは通信が終了した時、アクティブタイムアウト(5分などFlowmonの線画間隔に設定されます)を経過した時などに送られてきます。この違いにより、グラフに偏りが発生します。
解析画面の上部のグラフと高度な解析の時系列グラフの縦軸に大きな差が出ます。
解析画面の上部のグラフと高度な解析の時系列グラフは表記に利用するタイムスタンプが異なるため、縦軸が異なる場合が有ります。
解析画面の上部のグラフはフローを受信したFlowmonの受信時間で表記しています。
高度な解析の時系列グラフは受信したフロー内のタイムスタンプ(ネットワーク機器等のフロー作成装置がフローデータを受信した時間)に基づいて表記しています。
同様条件でプロファイルに対してレポートを作成した際に、
レポートで表示した1ヶ月分の合計バイト数と、解析をした時の合計バイト数が同じ数値にならないのですが理由として何が考えられますか?
レポートで使用するタイムスタンプと解析で利用するタイムスタンプが異なるため、バイト数が異なる場合が有ります。
レポートで使用するタイムスタンプはフローを受信したFlowmonの受信時間を利用します。
解析で利用するタイムスタンプは受信したフロー内のタイムスタンプ(ネットワーク機器等のフロー作成装置がフローデータを受信した時間)を利用しています。
SNMPで取得した別サービスの帯域と比べてFlowmonの解析結果がとても少ないのですが原因は何が考えられますか?
IPv6のトラフィックが流れている場合はフローソース側のNetflowでIPv6用の設定がされているかをご確認ください。
IPv6プロトコルはIPv4プトコルとは別に設定する必要がございます。
設定が無い場合、回線に流れているIPv6のトラフィックがNetflowに反映されず、トラフィックが減少してしまいます。
SNMPで取得した別サービスの帯域と比べてFlowmonの解析結果が少ないのですが原因は何が考えられますか?
SNMPとNetFlowでは以下のような差があります。
NetflowはIPおよびIPペイロードをカウントしており、パケットに含まれるMacPreamble 8Byte、MAC address 12Byte、Type 2 Bytes、Frame CheckSequence 4Byte の 合計26Byte がFlowに変換した際に除かれます。
従って 1パケットにつき26バイトの差が発生します。
ショートパケットが多い環境ではSNMPとNetFlowのグラフは差が開く傾向にあります。
ユニキャスト単位にフィルターをかけて通信状況を確認することはできますか?
ユニキャスト単位にフィルタを掛けることは出来ません。
「高度な解析」にて、統計基準をIP送信とした際に「双方向」のチェックをした場合としなかった場合で表示結果が異なる場合があります。
「双方向」のチェックを行いますと、IPアドレス以外にもポート番号等が行きと帰りで全て一致している場合に、1行に集計して表示されます。
行きと帰りでポート番号等に不一致がある場合、別々に集計されるため、複数行で表示されます。
また行きの通信に一致する帰りの通信が無い場合は、「0」として表示されます。
その為、「双方向」をチェックした場合と、しない場合とで表示が異なります。
解析結果でByteは存在するのに、bpsが0のレコードが有るのは何故ですか?
bpsは 1秒間に流れたビット数を表したものですので、以下の計算式によって求められます。
bps = Byte × 8 ÷ 期間
期間(Duration)が0の場合は0で除算をすることはできませんのでbpsも0として表示されます。
なお、期間は以下の式で計算されます。
期間 = Date last seen - Date first seen
解析結果でByteよりもbpsが大きく表示されるものがあります。異常では有りませんか?
bpsは 1秒間に流れたビット数を表したものですので、以下の計算式によって求められます。
bps = Byte × 8 ÷ 期間
よって、Byte数が小さくても期間(Duration)が0.5秒などのように短時間の通信であった場合にはbpsは大きくなります。
ソースプロファイルでインターフェース単位にトラフィックを取得できるように設定後、解析画面でチャネル統計情報を確認すると、以下のようにAll portsが他のポートの合計よりも少なく見えます。
All portsで出力される値はどのように解釈すればよいですか?
All portsのトラフィック量 < 各ポートのトラフィック量の合計
All portsはフロー送信元の機器全体としてお考えいただくと分かり易いかと思います。
eth1のインターフェース(チャネル)から1MBの通信が入力され、eth2のチャネルから出力されるスイッチの例で説明します。
一つフローにはインプットインターフェース(eth1)およびアウトプットインターフェース(eth2)が含まれています。
Flowmonはインターフェース単位に着信通信と発信通信を解析できるようにするため、以下のようにトラフィックをカウントします。従って、1MBの通信(All ports)はinおよびoutで別々にカウントされ、合計すると2倍となります。
eth1のinに1MBをカウント
eth2のoutに1MBをカウント
機器全体としてのAll portsに1MBをカウント
この結果として All portsのトラフィック量 < 各ポートのトラフィック量の合計 となります。
なお、フロー送信元にてフローをeth1のin方向のみで作成する設定をしていたとしても、フローにはeth2に出力したことが記録されていますので、上記のようなカウントをすることができます。
TCP通信で再送処理が発生するとFlowmonではどのような動作となりますか?
ネットワーク機器で生成されたフローには再送処理が記録されていないため、通常は再送処理が無い通信と同様の動作となります。
Flowmonプローブで生成したフローの場合はAVG RTR(再送の平均)を解析し表示することができます。
再送処理の解析が必要な場合はFlowmonプローブのNPM(ネットワークパフォーマンスモニタ)機能を使用してフローを生成してください。
【参考:フロー生成のルール】
原則として宛先情報(ポート番号、IPアドレス等)と受信情報が変わらないため、
再送処理があった場合でもフローは1つとして生成されます。
アクティブタイムアウトが設定されている場合には、再送処理に関わらず、アクティブタイムアウトのタイミングでフローが分割されます。
ACKが返らず、RSTもFINも無い場合はインアクティブタイムアウトに設定した時間が経過したときフローが生成されます。
戻り通信にHTTPホスト名が表示されず、hhostでフィルタ/検索することができない場合があるのは何故ですか?
hhostを使用する場合は行きと戻りの通信のMACアドレスが一致している必要が有ります。
HSRP等を使用したネットワーク構成では行きと戻りの通信でMACアドレスの不一致が発生します。
このような環境でhhostを使用する場合はMACアドレスの使用を無効にする以下の設定が必要になります。
Flowmon Configuration Center>モニタリングポート>
グローバル設定:高度な設定タブ
「NetFlowレコードに対し有効化されたL2値をキーフィールドに追加」を無効にする。
(注意)
本設定をしますとMACアドレスを使用した解析はできなくなりますので、どちらの情報を優先されたいかを判断の上、設定してください。
行きと戻りのMACアドレスが異なり、且つ上記MACアドレスが有効になっている場合は、片方の通信(クライアント⇒ホストの通信)のみにhhost(HTTPホスト名)が表示されます。
解析結果のHTTPホスト名の前後の文字が削除され途中の31バイトしか表示されません。
HTTPホスト名は以下の条件によって長い文字列は31文字に切り捨てられる仕様です。
SNIフローのフィールドは64バイトです。このフィールドにはNull文字で終端させる必要があるため、実際に格納できるサイズは63バイトになります。
溢れた文字は後ろの文字列から切り捨てられます。(本来はホスト名と同様に先頭の文字列から切り捨てるべきのため、将来修正される予定です。)
ホスト名のフローフィールドの長さは32バイトで、同様にNull文字で終端させる必要があるため、実際に格納できるサイズは31バイトになります。
溢れた文字は先頭の文字列から切り捨てられます。
以下の69バイトのホスト名を例に実際に切り捨てられる流れを説明します。
internal-abcdefgh-ijklmnop-123456789.ap-southeast-1.elb.amazonaws.com
ホスト名は最初にSNIフローフィールドに保存されるため、以下のように後ろの文字が切り捨てられ、63バイトになります。
internal-abcdefgh-ijklmnop-123456789.ap-southeast-1.elb.amazona
更にSNIフローフィールドからホスト名のフィールドにコピーされるときに先頭の文字列から切り捨てられて31バイトになるため、最終的には以下のようになります。
6789.ap-southeast-1.elb.amazona
特定のソースプロファイルのみ解析を行うと左側に数時間分の空白ができます。
Flowを送ってくるネットワーク機器とFlowmonの時刻が有っていない可能性が考えられます。
NTPサーバを使用してネットワーク機器とFlowmonが同じ時刻を共有しているか確認してください。
古いデータ(グラフがグレーで表示されている期間)を解析するとadminユーザでは解析できますが、一部のユーザでは解析結果が表示されないプロファイルが有ります。
親プロファイルの参照権限を持っていないユーザで解析対象のプロファイルがクォータの上限に達し、既にデータが削除されている期間(グラフがグレーで表示されている期間)を解析すると解析結果を表示することができません。
プロファイルのデータが削除されている場合、親プロファイル(一般的にはALL Sources)がデータを持っている場合は親プロファイルのデータを参照して古いデータの解析結果を表示しています。
よって、対処法としましては、解析結果が表示されないユーザに親プロファイルを参照する権限を付与するか、
古いデータを保存できる期間分のクォータを確保し、解析したい日付からプロファイルを作り直してください。
Monitoring Center>解析>高度な解析にて解析した結果の期間の項目が0秒のものがあります。
通信が0秒なのは何故ですか?
期間は選択された範囲で最初に該当する通信が確認された時間から最後に該当する通信が確認された時間の差を示します。
※期間はFlow送信機器から送られてくるLast SwitchからFirst Switchの時間を引き算した値です。
よって、通信量が少ないなどの理由により、通信時間が短い場合、単一のパケットまたは最初の通信と最後の通信は同じ時間となり、期間が0秒になることが有ります。
5分のプロファイルで解析した時系列表示が5分間隔ではなく、1分間隔で表示されています。
何故1分間隔で表示されたのですか?
高度な解析の時系列グラフは1分単位に計算をし直す機能ですので、
5分のプロファイルを使用する場合も、「時系列で表示」をする場合は1分間隔で表示されます。
※グラフは1分間の平均値で表示されます。
しかし、表示期間が1日や1週間等広くなると画面表示の都合で表示間隔は広くなります。
ネットワーク機器の「入力インターフェース」単位に解析することはできますか?
フィルタを指定することで対応できます。方法は2つあります。
1つは入力インターフェースの情報(GigabitEthernetx/xなど)を使う方法です。
1つはインターフェースのindex番号を使う方法です。
1.入力インターフェースの情報を使う方法。
Flowmonからネットワーク機器に対してSNMPを用いてインターフェースの情報を取得している場合には以下のような構文にてフィルタが可能です。
方向指定がない場合の例
sourceport "xxx.xxx.xxx.xxx (機器名)":" GigabitEthernetx/x"
方向を指定する場合
inの例:in sourceport "xxx.xxx.xxx.xxx (機器名)":"GigabitEthernetx/x"
outの例:out sourceport "xxx.xxx.xxx.xxx (機器名)":"GigabitEthernetx/x"
sourceport を記載後、スペースを入力することでリストよりソースを選択することが可能です。
さらにソースを選択後、スペースを入力することでインターフェースをリストより選択することが可能です。
2.インターフェースのindex番号を使う方法。
方向指定がない場合の例
router ip xxx.xxx.xxx.xxx and if <番号>
方向を指定する場合
inの例:router ip xxx.xxx.xxx.xxx and in if <番号>
outの例:router ip xxx.xxx.xxx.xxx and out if <番号>
xxx.xxx.xxx.xxxはフローを送ってくるネットワーク機器のIPアドレスです。
・index番号を確認する方法について
FlomownでSNMPを利用してインターフェースの情報を取得している場合には以下の手順でindex番号を確認出来ます。
Flowmon Monitoring Center>ソース>任意のソース(IPアドレス、機器名)>▼より展開した一覧の任意のポートに記載される白抜きの番号
Flowmonでインターフェースの情報を取得できない場合にはネットワーク機器側でindex番号を調べることができます。
index番号はネットワーク機器にて以下のコマンドを実行していただくことで確認が可能です。
結果から参照する番号はif index以降に続く番号です。
(Cisco社製品のコマンド例)
show snmp mib ifmib ifindex
結果の例:
GigabitEthernet2/0: Ifindex = 2
この場合のindex番号は2です。
高度な解析画面で時系列表示のグラフが表示されません。
フローソースの時刻とFlowmonの時刻がずれていると時系列のグラフを表示することができません。
解析結果の「開始時間 - 最終確認」列と実行ボタンの右端に表示されている解析範囲の時刻が合っていない場合、フローソースとFlowmonの時刻がずれている疑いが有ります。
高度な解析画面の時系列表示のグラフは、受信したフロー内のタイムスタンプ(ネットワーク機器等のフロー作成装置がフローデータを受信した時間)に基づいて表示しています。
このため、フローソースのタイムスタンプがFlowmonの選択した時間範囲を超えている。または満たない場合にはフローデータが破棄されるため、時系列のフラフが表示されなくなります。
Flowmonで解析を行う場合は必ずフローソースと時刻を合わせてください。
Monitoring Center で、ICMP、ICMP6 のセッション数/秒 の統計情報を表示することはできますか?
ICMPはセッションという概念が有りませんので、厳密にはICMPのセッション数/秒の統計情報を取得することできませんが、
ICMP通信のパケット情報である「Echo reply」と「Echo request」をセッションの開始と終了として扱うと、セッション数/秒に近い結果を取得することができます。
検索方法は以下の通りです。
・Monitoring Center>解析>高度な解析>統計情報タブにて以下を設定してください。
・「高度な解析」の右の期間設定欄にて、解析したい期間を入力する
・トップ:表示させたい数を選択する
・並べ替え基準:「パケット /秒」を選択する
・統計基準:「IP通信」を選択する
・集約:「双方向」にチェックを入れる
・フィルタ:以下のフィルタ文を入力する
icmp-type 0 or icmp-type 8
※「icmp-type 0」が「Echo reply」、「icmp-type 8」が「Echo request」を示します。
・「実行」をクリックする
表示される結果テーブルの「パケット/秒」列にセッション数/秒に近い数値が表示されます。
解析の実行結果に表示されるIPアドレスを右クリックし「名前の変更」を行いましたが、解析を再実行すると変更前の値に戻ってしまいます。
v12.00.02 未満のFlowmonではIP解決キャッシュが無効化されていないため、解析結果からIPアドレスの「名前の変更」を行っても変更後の名前は即座には反映されません。
時間が経過すると変更後の値が反映されますが、使用するブラウザによっても反映時間は異なるため、反映にかかる時間を正確に予測することは出来ません。
変更前の名前が表示された場合は、ブラウザのキャッシュを利用せずに再読み込みを行う「Ctrl+F5」を操作すると変更が反映されますのでお試しください。
解析画面で指定した日の範囲とは異なる日付のデータが表示されることが有ります。
例:2022-08-01 10:00 から 2022-08-01 13:00に解析を行った時に、解析結果は 2022-08-01 17:14などで表示されました。
どのような原因が考えられますか?
フローソースの日付がずれていることが考えられます。受信しているFlowのTCPDUMPを取得し、以下の点を確認してください。
SysUptimeというデバイスのブート/フローエクスポートの初期化からの時間(秒)の値を確認し、フローソースが最近再起動を実施していないか確認してください。
フローソースが最近、再起動されている場合は、再起動が発生する前はフローのタイムスタンプは正しい時間では生成されていなかった可能性が有ります。
・生成されたフローソースがNetflow ver9であり、フローのタイムスタンプにrelative timestampsが使われてる場合は、
フローソースの起動からの相対的な時間を基に時刻を計算をするため、IPFIXで使用されるようになった現在の時刻を絶対値で表すabsolute timestampほど効果的ではない場合があります。
よって、正確な時刻を取得できるabsolute timestampを使用することを推奨しています。
フローソースをリプレースしたらトラフィックの取得ができなくなりました。
リスレース後の新しいフローソースが作成するFlowの内容がリプレース前と同じか、フローソースの仕様及び設定を確認してください。
特にトラフィックはFlowの「バイト」フィールドを使用しますが、Netflow9の仕様では以下の二つのIDがバイトの転送用に定義されています。
ID 1 (octetDeltaCount) ・・・ Flowmon対応
ID 352 (layer2OctetDeltaCount) ・・・ Flowmon非対応
ID 352のlayer2OctetDeltaCount についてはVer12.1現在、Flowmonは対応していませんので、
ID 1 octetDeltaCount を使用してFlowを生成するようにフローソース側が設定されているか、ご確認ください。
解析にて、MACアドレスに関する「統計基準」の違いが分かりません。
MACアドレスに関するフィルタ構文と統計基準の組み合わせについて教えてください。
意図する結果を表示させるには統計基準とフィルタの組み合わせが重要になります。
統計基準とMACアドレスに関するフィルタ構文の組み合わせは以下です。
任意の送信元MACアドレス : src mac
任意の宛先MACアドレス : dst mac
任意の入力MACアドレス : in mac
任意の出力MACアドレス : out mac
出力側宛先MACアドレス : out dst mac
入力ー送信元MACアドレス : in src mac
入力ー宛先MACアドレス : in dst mac
出力側送信元MACアドレス : out src mac
解析した結果の右上に表示される「統計情報のコマンド」について、バージョンによる差異はありますか?
全てのコマンドを確認したわけではありませんが、FOS v10.03.09と最新バージョンのFOS v12.01.01ではコマンドの差異はありません。
Flowmonのプリセット機能でインストールしたトラフィックはいつから表示されますか?
通常は取得したトラフィックは、プリセットを適用する際に選択した履歴の設定によります。
履歴には「計算なしで作成」と「1日の履歴を再計算(デフォルト)」の選択肢があります。
「計算なしで作成」を選択すると、プリセットが適用された時点からトラフィックを取得します。
「1日の履歴を再計算(デフォルト)」を選択すると、プリセットが適用される1日前からのトラフィックが表示されます。
もし、2日以上前のトラフィックを表示したい場合は、以下の方法を実施してください。
選択したプリセットのプロファイルが作成された後、Monitoring center>プロファイル>プロファイルの編集 に移動します。
プリセットで作成されたプロファイルを編集します。
プロファイルの編集画面の「開始日」をトラフィックを表示したい過去の日付から選択し、「新しいアイテム」として設定を保存します。
例:「開始日」を2022/09/15 から 2022/09/14に変更し、新しいアイテムとして保存すると、2022/09/14からのトラフィックが取得されます。
※本方法では親プロファイルにデータが存在している範囲で日付を遡って再計算することができます。「開始日」に表示されたカレンダーにはデータの存在している範囲がクリック出来るようになっています。
※「新しいアイテム」として保存すると、プロファイルが複製されますので、古いプロファイルが不要な場合は、削除してください。
インターフェース速度より遥かに大きい値が、flowmon上で表示されます。
受信したフローの形式に問題が有る可能性が考えられます。
通常は各フローにはバイト数の情報を持つフィールドが1つ、パケット数の情報を持つフィールドが1つ設定されるべきですが、各フローのバイト数とパケット数の情報を持つフィールドが2つずつ設定されている場合、トラフィック量が正しく表示されない可能性が有ります。
NetFlow v9のバイト数とパケット数のフィールドには4バイト長または8バイト長の2つの「Input Length」のフォーマットがあり、いずれかを設定します。
Flowmonコレクタは両方の値が設定されている場合、8バイト長の方のみを使用しますが、8バイト長のフィールドに正しくない値が含まれていると想定外の値が表示されます。
tcpdumpを取得していただき、フローにバイト数とパケット数の情報を持つフィールドが2つ設定されていないかご確認ください。
フローにバイト数とパケット数の情報を持つフィールドが2つ設定されていた場合は、NW機器側のフロー生成の不具合と考えられますのでNW機器のベンダーにお問い合わせください。
以下のような事象が発生しています。
統計基準:HTTP URL(フィルタ:設定なし)で解析した結果の「入力バイト」合計と「バイト」が一致しない。
統計基準:任意のIPで解析した結果の「入力バイト」の合計が「バイト」よりも2倍大きくなる。
統計基準:送信元IPアドレスで解析した結果の「入力バイト」の合計が「バイト」と同じ
Flowmonプローブでフローを生成される場合、入力/出力に関わらず、すべてが「入力バイト」としてフローが生成されます。
各条件時の入力バイトの詳細は以下のとおりです。
フッターのバイト:
解析のパラメータに関係なく(例:HTTP URLの通信、メールの通信、SNMPの通信等)、
指定の解析期間内のすべてのフローの値です。(フローが集約されません)
※解析のパラメータを変更しても指定の解析期間を変更しない限り、バイトの値は変わりません。
入力バイト:
指定の解析期間内のすべてのフローと選択したパラメータを集約され、選択したパラメータを含んだフローのみが選択され「入力バイト」として出力されます。
解析のパラメータ(統計基準)について
■統計基準:HTTP URL(フィルタ:設定なし)
上記の場合、「入力バイト」は解析の期間内に「HTTP URL」を含んだフローが出力されます。
出力した値は集約されるので、「入力バイト」を合計しても、「フッターのバイト」と一致しない場合があります。
HTTP URLの「入力バイト」合計が「フッターのバイト」の値と一致しない理由は
「フッターのバイト」の値はパラメータに関係なく解析期間内のすべてのフローであり、
HTTP URLの「入力バイト」値は、パラメータ HTTP URL を持つフローのみが選択され出力されるためです。
また「入力バイト」の結果にある 「%」値 は「フッターのバイト」から計算され、その入力バイトは全体フローに対しての割合を示した値になります。
■統計基準:HTTP URL(フィルタ:設定あり)
上記の場合、「入力バイト」は解析の期間内に「HTTP URL」を含んだフロー、且つ、指定したフィルタのフローのみが出力されます。
そのため、「入力バイト」の値と「フッターのバイト」の値は一致します。
■統計基準:任意のIP
上記の場合は、送信元と送信先として 2 回フローに含まれますので、「入力バイト」の合計はバイトの2倍になります。
よって、「入力バイト」の合計は「フッターのバイト」と一致しません。
■統計基準:送信元IPアドレス
「入力バイト」は解析の期間内に「送信元IPアドレス」を含んだフローが出力されます。
「入力バイト」の合計は「フッターのバイト」とほぼ同じです。
※統計基準:宛先IPアドレスも同じ
統計基準、集約の項目にTLSに関する項目を選択して解析したところ
TLSの項目が全て「N/A」で表示されました。
Flowmon Probe と Flowmon Collector利用してTLSに関する情報を表示する方法を教えてください。
TLS情報の解析はFlowmon Probeで作成したフローのみに対応しています。
ネットワーク機器で生成したフローを解析した場合、TLSはN/Aで表示されますのでご注意ください。
また、Flowmon プローブと Flowmon コレクタ側でTLSの情報を取得するように以下の設定後に生成/受信したフローが必要です。
【プローブ側】
プローブ側でキャプチャしている通信はRXとTX(行きと戻りの通信)の両方の通信をFlowmonの1つのポートに入れている必要があります。
Flowmon Configuration Center>モニタリングポート>グローバル設定項目:
高度な設定タブ:「IPFIXレコードのオプションのL7値」内の解析したいTLS項目をチェックしてください。
※すべてをチェックする必要はありません。必要な項目のみチェックを入れてください。
※詳しくはユーザガイドの「5.2 フローのデータベースフィールド」章をご確認ください。
ユーザガイドは画面右上「?」マークから表示が可能です。
【コレクタ側】
Flowmon Configuration Center>FMC設定>フローのデータベースフィールドFlowmon独自フィールド(IPFIX):TLSフィールド内の解析したい項目をチェックしてください。
※すべてをチェックする必要はありません。必要な項目のみチェックを入れてください。
※詳しくはユーザガイドの「5.2 フローのデータベースフィールド」章をご確認ください。
解析の結果に表示される「期間」が解析時間よりも長くなるのはなぜですか?
解析の結果に表示される「期間」とは、高度な解析にて設定した期間中に確認されたフローの終了時間と開始時間の差を表します。
FlowmonのTOP統計は、フロー内のタイムスタンプを使用しており、解析にて選択した期間にコレクタに到達したフローデータを集約した結果が表示されます。
解析対象の時間を跨ぐフローがある場合、そのフローも集約対象に含まれるため、指定した解析時間よりも長くなる場合があります。
Flowmonにおいて、IPv6 RA フローを抽出するフィルタの記述内容を教えてください。
IPv6 RA のフローはマルチキャストアドレス(ff02::1、ff02::2)でフィルタリングすることで、抽出することができます。
詳細な方法は以下のとおりです。
Monitoring Center>解析>高度な解析にて以下を設定して解析を実行してください。
期間:解析したい期間を指定します。
統計基準:IP通信
集約:送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポートIPプロトコル
フィルタ:ip in [ff02::1 ff02::2]
※ ff02::1 とはルータアドバタイズメントであり、RSを受信したときに応答するメッセージです。
※ ff02::2 とはルータ要請であり、IPv6対応ホストが、IPv6対応ルータに送信するメッセージです。
一部のアプリケーションでNBAR2アプリケーションタグの表示がIDのまま表示されてしまうアプリケーションがあります。
Flowmon Collector側でID表記のままになってしまっている理由と解決策はありますか?
Flowmon内部に保持しているNBAR2のタグ情報を記載したリストを基にアプリケーション名に変換されますので、Flowmon内部のリストにNBAR2のタグ情報がない場合はID表記のままになります。
現在のところ内部リストを自由に修正/追加することはできません。
なお、Flowmon OS v12.01.01は以下のCisco Protocol Pack 60.0.0の情報を基に、IDからアプリケーション名に変換するリストが作成されています。
【Cisco Protocol Pack 60.0.0】
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/pp6000/nbar-prot-pack6000.html
※最新のCisco Protocol Packの反映はFlowmon OSのバージョン XX.YY.ZZ のYYが更新される際に実施されます。
記事公開日:2023.04.11
最終更新日:2023.04.13
解析にてfrom/toのIPアドレスが0.0.0.0と表示されるものがあります。
from/toのIPアドレスが0.0.0.0となるのはSNMP設定によるものですか。
IPアドレス0.0.0.0とSNMP設定には関係ありません。
理由はSNMPはFlowmonを操作運用する上で便利にする機能を提供するために使っているものであり、Flowの受信や解析には影響ないためです。
また、IPアドレス0.0.0.0とは無効または不明なターゲットを記述するルーティング不可能なアドレスであり、IPアドレスがFlowに記録されないプロトコルやポート等が取得される可能性があると考えられます。
例として以下のようなプロトコルなどがございますと、IP0.0.0.0が表示されます。
UDP 67/68・・・DHCP
IGMP・・・マルチキャスト
ARP
IPアドレスが0.0.0.0になる通信やプロトコル番号0の通信を実際にされていないか、NW機器の設定に不足がないか、生成したフローに不具合が無いか、ご利用しているNW機器のサポートにご確認ください。
記事公開日:2023.04.11
最終更新日:2023.04.13
Active Deviceタブで、検索した後に表示される”ホスト名”は検索条件の期間内のものですか、それとも現時点のホスト名ですか。
検索した後に表示された「ホスト名」は現時点のホスト名になります。
アクティブデバイスではホスト名は保存されていません。
ユーザ設定にて「ドメイン名解決」を設定されている場合は、アクティブデバイスの一覧を表示する際にIPアドレスをDNSサーバに問合せた結果を表示しております。
記事公開日:2023.04.11
最終更新日:2023.04.13
1分/30秒粒度プロファイルでそれぞれの粒度でグラフ表示可能なのは解析実行時の日付の30日前までです。
それ以上前だと24時間単位になってしまいます。
1分/30秒粒度プロファイルで、30日より前でもそれぞれの粒度でグラフを表示することは可能ですか。
1分粒度のプロファイルをバックアップ、リストアしていただくことで、30日より前の1分粒度のグラフを描画することは可能です。
バックアップ、リストアが可能なのはリアルプロファイルとなります。
なお、リストアを行う際、ファイルの容量によっては多くの時間を要しますので
過去のグラフを参照したい期間のみ(2~3日を推奨)をリストアしてください。
記事公開日:2023.04.11
最終更新日:2023.04.13
グラフの「集約機能の最大値」を選択するとどのような動作をするのでしょうか。
Monitoring Center>解析>画面上部の時系列グラフでは
5分プロファイルの場合100時間以内であれば5分、100時間~15日と8時間であれば、30分で集約されます。
30分で集約されたグラフの場合、「集約機能の最大値」にチェックを入れるとその30分間で最大の5分平均値が表示されます。
プロファイルの場合、Monitoring Center>プロファイル>任意のプロファイルのグラフを表示し、右上の「集約機能の最大値」を選択します。
解析の場合、Monitoring Center>解析にて画面上部に表示されるグラフの右下にマウスオーバーし、「集約機能の最大値」を選択します。
レポートの場合、Monitoring Center>レポート>概要にて表示されたグラフをマウスオーバーし、「集約機能の最大値」を選択します。
また、メールや外部ストレージに送信しているレポートの場合、Monitoring Center>レポート>レポート>レポートの編集にて追加したトラフィックチャプタの「グラフオプション」にて「最大値」を選択します。
記事公開日:2023.06.27
最終更新日:2023.07.04
Flowmon側からHTTPのレスポンスコードレベルの情報を取得することはできますか。
解析の項目に「HTTP結果コード」があります。
それを選択しますと、HTTPのレスポンスコードレベルの情報を確認することができます。
Monitoring center>解析>高度な解析にて
統計情報:HTTP結果コード
補足情報:
HTTP(S)情報を取得するためには以下の設定が必要です。
Configuration center>モニタリングポート>グローバル設定>「IPFIXレコードのオプションのL7値」の「HTTP」のチェックを付けてください。
また、HTTPホスト名を解析するためには、
コレクタ側でConfiguration center>FMC設定>フローのデータベースフィールド>「HTTPフィールド」のHTTP項目を付けてください。
例:HTTPホスト名、HTTPメソッドおよび結果、HTTP URL、HTTP OSおよびアプリケーション情報
記事公開日:2023.06.29
最終更新日:2023.07.04
高度な解析を実行する際に下記のメッセージが表示されました。
メッセージの内容を教えてください。
「別のプロセスがすでに実行中です。新しいプロセスが長期間実行され、システムに過負荷をかける可能性があります。このプロセスを実行してもよろしいですか?」
本メッセージは別の端末や別のブラウザで同じタイミングで解析を実行した場合や、同じブラウザで解析の実行中に再度実行ボタンをクリックすると表示されます。
記事公開日:2023.09.01
最終更新日:2023.09.15
VPN接続しているユーザのNW使用状況を可視化することは可能でしょうか?
可能な場合は、具体的な手順を教えていただけますか?
VPNで割り当てているIPアドレスのレンジでフィルタやプロファイルを作成することで、対象のトラフィックに絞りグラフ化し可視化することが可能です。
記事公開日:2023.09.05
最終更新日:2023.09.15
社内LANからWANへ抜ける経路上で一部の通信はProxyを通しており、
もう一方はProxyを経由しない通信を行っている場合、
どの通信がProxyを経由しているFlowmon(Probe)で判別可能なのでしょうか?
宛先のIPをプロキシのIPで絞り込めば判別可能です。
また、Probeを使えば同時にhttpホスト名も表示できますので、どこ向けの通信かも可視化できます。
記事公開日:2023.09.05
最終更新日:2023.09.15
送信元機器の情報をフィルタリングする場合、MACアドレスでフィルタリングすることは可能なのでしょうか?
可能です。
MACアドレスはProbeを使わなくとも、NW機器からの標準フローで取得可能です。
ただし、端末のMACを取得するためには、ルーティングされる前のポイントでフローを生成いただく必要があります。
(ルータなどでルーティングされますと、そのルータのMACアドレスが取得されてしまうため)
記事公開日:2023.09.05
最終更新日:2023.09.15
httpsを利用した通信であっても宛先IPアドレス/ホスト名を特定することは可能でしょうか?
可能です。
httpsの通信であっても、送信元/宛先IPアドレスやプロトコルといった情報は取得可能です。
(名前解決が可能であればホスト名でも表示できます)
また、ProbeでFlow生成を行うことでhttpのホスト名が可視化可能です。
これは、HTTPホスト名はHTTPヘッダーのGetリクエストに含まれるSNIから取得しているためです。
記事公開日:2023.09.06
最終更新日:2023.09.15
Microsoft TeamsのトラフィックもZoomのようにTeamsのみのトラフィックを解析できるということでしょうか?
可能です。
プローブを導入いただくことでホスト名を指定したフィルタを使用いただくことが可能となりますので、個別にTeamsのホスト名指定をしていただきプロファイルを作成することでTeamsについてのトラフィックを解析いただくことが可能となります。
また、そのほかに新機能のテンプレート設定機能を使用し、Office365のテンプレートプロファイルを作成いただくことでTeamsについて個別にトラフィックを解析できるテンプレートプロファイルが作成されますので、そちらもプローブをご導入いただくことで使用いただけます。
記事公開日:2023.09.06
最終更新日:2023.09.15
DSCP別のデータ量は表示可能ですか。
Flowmonでは「DSCP値」と明示された解析基準はございませんが、「TOS値」にて代用し、表示することが可能です。
記事公開日:2023.09.06
最終更新日:2023.09.15
TOS値ごとに解析やレポートは可能でしょうか。
TOS値での解析は可能でございます。
送信元宛先を区別しないTOS、送信元TOS、宛先TOSの統計基準にて解析することができます。
記事公開日:2023.09.06
最終更新日:2023.09.15
データ解析はリアルタイムにできるのでしょうか?
Flowmonはリアルタイムではなく基本的に5分毎での解析となります。
ただし、設定を行うことで、1分または30秒毎での解析が可能となります。
SSL通信でも解析は可能なのでしょうか。
復号化は行いませんが、ヘッダー情報から解析可能です。
ボトルネックの解析はどのように行うことができますでしょうか。
Flowmonではトラフィックの総量はもちろん、その内訳のいつ誰がどこに通信しているのかを可視化することで迅速なボトルネックの追及をすることが出来ます。
フィルターにはどのような文字列入力ができるのでしょうか。
Flowで取得している情報であればすべてフィルタ条件とすることが可能です。
例:IPアドレス、ネットワークレンジ、ポート、HTTPホスト名
詳しくはWebGUI右上部の「?」より、ユーザーガイドをご参照ください。
記事公開日:2024.01.05
最終更新日:2024.01.10
トラフィック量等に対してフィルタをかけることが出来ますか。
可能です。
解析時のフィルタ構文でパケット・バイト・ビットでフィルタをかけることができます。
また、アラート機能を利用し閾値を設定することで、異常なトラフィック発生を検知できます。
記事公開日:2024.01.05
最終更新日:2024.01.10
Flowmonで受信できるIPアドレスについてFWでNAT構成になっている時、その場合でもIPアドレス単位でプロファイル作成等できますか。
IPアドレス単位でのプロファイル作成は可能ですが、変換前のIPアドレスを解析することはできません。
記事公開日:2024.01.05
最終更新日:2024.01.10
解析で右クリックして表示される項目内の「L7アプリケーション」ではどういった情報が表示されるのでしょうか。
NBAR2のアプリケーションタグが表示されます。
NW機器またはプローブでFlow生成を行う際にNBAR2をFlowに含める必要があります。
記事公開日:2024.01.05
最終更新日:2024.01.10
解析グラフに出力できる期間を教えてください。
期間から「直近12時間」~「直近3か月」の間で選択し表示することができます。
また、開始・終了から日付、時間を設定し任意の期間を表示することができます。
記事公開日:2024.01.05
最終更新日:2024.01.10
解析の「my filter」とは何ですか。
利用頻度の高いフィルタを保存しておくことで、「my filter」から選択して解析することができます。
記事公開日:2024.01.10
最終更新日:2024.01.11
解析結果の宛先IPアドレス等に国旗のマークが表示されますが、表示をさせないようにする方法はありますか。
国旗の表示をOFFにすることが可能です。
1.解析画面の右上にあるユーザー名(例:admin)をクリックしてください。
2.「ユーザー設定」を選択し、ユーザー編集画面にて「解決」を展開し、IPジオロケーション」のチェックを外し、設定を保存しますと、国旗が表示されなくなります。
解析結果にてTCP SYNサイズがN/Aになるのはなぜですか。
TCP SYNサイズはFlowmonプローブでフローを生成している場合のみ取得可能です。その他のNW機器でフローを生成している場合は、N/Aと表示されます。
なお、Flowmonプローブでフローを生成している場合は、FlowmonプローブにてConfiguration Center>モニタリングポート>該当のモニタリングポートの「高度な解析」の「拡張L3/L4」にチェックが入っている必要があります。
また、FlowmonコレクタのConfiguration Center>FMC設定>フローのデータベースフィールドにて「L3/L4拡張フィールド」にチェックが入っている必要があります。上記設定を実施することで、プローブで生成されたフローは「TCP SYNサイズ」を取得出来ます。
Monitoring Center>解析>高度な解析>フィルタにて、「マイフィルタ」に登録できる字数の制限はありますか。
登録できる最大文字数は4096文字です。
解析結果に「0」と表示されるのはどのような時ですか?
解析結果にて「0」が表示される原因は2つあります。
1つ目は、ある項目で集約した結果、集約対象外の項目に複数の値が含まれる場合に0と表示されます。
例えば、フローのリストで集約にて「送信元IPアドレス」と「宛先IPアドレス」を設定し実行すると、「送信元IPアドレス」と「宛先IPアドレス」が同じものがまとめられた結果、送信元ポートには80や443等の複数の値が含まれることになるため、「0」と表示されます。
2つ目は、NW機器にて生成されたフローに「INPUT_SNMP」と「OUTPUT_SNMP」のフィールドが含まれていない場合、インデックスが0と表示されます。
NW機器の設定によって「INPUT_SNMP」と「OUTPUT_SNMP」のフィールドが含まれていない、またはIN方向とOUT方向を同時に生成できないなどのNW機器の仕様の可能性がありますのでNW機器のベンダーにご確認ください。
▲ topへ戻る