Flowmon ナレッジベース-コレクタ

コレクタについての仕様・機能

CSV出力

解析やレポート結果をCSV出力する際の仕様・機能

記事公開日:
解析結果のCSVファイルをコマンド画面からnfdumpとして取得する手順を教えてください。

解析結果のCSVファイルを作成するコマンドは、WEB GUIの解析画面より確認可能です。
「Flowmon Monitoring Center」>「解析」>「以前の結果メニュー」 よりCSVファイルをダウンロードすると、最初の行にCSVファイルを出力するためのコマンドが記載されています。

nfdumpを利用したコマンドの例は以下となります。

CSV出力するコマンド例.
/usr/local/bin/nfdump -M /data/nfsen/profiles-data/’prof-XXXXXXXX’/’XXXXXX-XXXXXX’
-R ‘2020/XX/XX/nfcapd.YYYYMMDDHHMM:2020/XX/XX/nfcapd.YYYYMMDDHHMM’
-A ‘srcip,dstip’ -O ‘bytes’ -o ‘extended’ -o ‘csv’ -6 ‘(( out if 1))’;

※ご参考…GUI画面にて解析実行後、「高度な解析」画面右上の「使用したコマンドの表示」アイコンをクリックしても、解析実行時のコマンドが表示されます。


記事公開日:
特定の時間帯(例 7:00〜19:00)にネットワークを使用しているすべての端末で、5分単位に平均帯域(bps)をCSVで取得したいです。

スクリプトを作成して、5分毎にTopNを送信元IPアドレス(又は宛先IPアドレス)で集計し、CSVの形に編集することで取得することができます。
詳しい操作方法は以下のとおりです。

  1. スクリプトを作成するために、nfdumpコマンドを取得します。
    Monitoring Center>解析>高度な解析>統計情報>実行
    トップ:10
    統計基準:(例)送信元IPアドレス
    フィルタ:(例)src net 172.16.0.0/16

  2. 解析結果が表示された後、高度な解析枠内右上の黒い■をクリック頂くと「統計情報のコマンド」が表示されます。
    表示されたコマンドはnfdumpコマンドと呼ばれます。
    コマンドの例:
    /usr/local/bin/nfdump -M /data/nfsen/profiles-data/’live’/’172-16-247-13_p3000’ -R ’2022/10/07/nfcapd.202210070700:2022/10/07/nfcapd.202210070700’ -n ’10’ -S ’srcip’/’bytes’ -6 –no-scale-number -o ’csv’ ’src net 172.16.0.0/16′

  3. nfdumpコマンドを参照にし、7:00〜19:00まで5分毎の解析結果の取得を繰り返すスクリプトを作成し、取得した結果をIPアドレスと時間のマトリックス表となるように編集してください。

    サンプルのスクリプトは以下にて公開しています。

    https://orizon.box.com/s/19fcmc8bhifbs9zs6zqzrulbtmjh2v60

    ※本スクリプトを使用した不具合などはサポートの対象外ですので、お客様の判断のもとご利用ください。


記事公開日:
最終更新日:2023.04.13
CSV出力期間を長く指定すると、日付及びデータが複数行に分かれて出力されてしまいます。 日付、データ共にそれぞれ1行で出力する方法はありますか。

CSVファイルをExcelで直接開きますと、1行が長すぎるため自動的に改行して開かれると考えられますので、以下の方法を実施しますと、日付、データ共にそれぞれ1行で出力することができます。
1.CSVレポートをコピーします。
2.オリジナルCSVファイルをExcelで開きます。
2.1 データ>区切り位置>区切り文字を「セミコロン」と「カンマ」に設定して、完了します。
3.コピーしたCSVファイルをテキストファイル(弊社ではサクラエディタ)で開いて、データをすべてコピーします。
4.既に区切り文字を設定したオリジナルCSVファイルに移動し、こちらにあるデータをすべて削除します。
4.1 テキストファイルでコピーしたデータをオリジナルファイルに貼り付けますと、1行で日付とデータが表示されます。

しかしながら、CSV出力期間が長すぎますと、データが多すぎるため、上記を実施してもexcelで上手く貼り付けることができない場合がございます。 こちらはExcelの性能限界と思われますので、FlowmonのCSVレポートを出力する時、短い期間を設定してCSVレポートを出力してください。
なお、ご利用しているExcelのバージョンによっては操作方法や仕様が異なる可能性がございますので、Excelの操作方法・仕様について詳しくはMicrosoftにご確認ください。


記事公開日:
最終更新日:2023.04.13
WANIFのInputとLANIFのInputの通信量をCSV出力したときに WANIFデータとLANIFデータでCSV内の行を分けて出力する方法はありますか。

特定プロファイルでWANIFのInput用のチャネルとLANIFのInput用のチャネルを分けますと、CSVにそれらのデータを分けることができます。


記事公開日:
最終更新日:2023.07.04
CSVレポートのデータを参照すると1日粒度で表示されるのはなぜですか。

5分粒度のCSVレポートのデータは180日分しか保持していません。
180日を超えた場合、24時間粒度に丸めて保存されます。(180日より前は24時間粒度になる)
※保存期間は現時刻までカウントされます。


topへ戻る

DA

分散アーキテクチャについての仕様・機能

記事公開日:
Flowmon DA構成(スタンドアロンスレーブ構成)における、レポートの作成には「フルアクセス権限(管理者権限)」が必要ですか?

Flowmon DA構成の場合も、そうではない場合も、レポートの作成には「フルアクセス権限」が必要となります。


記事公開日:
スレーブに直接ログインして解析をしています。
スレーブのMy filtersを新規保存したり、設定を変更する方法はありますか?

スレーブ側のMonitoring Centerは読み取り専用のため、フィルタを保存・編集したり、プロファイルを編集したりすることはできません。
スレーブ側から解析を行う事は可能ですが、解析はマスターユニットからのみ行うことを推奨しています。

各ユニットの機能と目的は以下のように設計されているためです。
スレーブユニット:フローデータの保存・処理。
マスターユニット:他のユニットからデータを収集し、解析やレポートなどの最終結果を提供する。


topへ戻る

HW

Flowmonのハードウェアについての仕様・機能

記事公開日:
最終更新日:2021.03.29
カタログに記載されている物理HDDの容量に対して、実際に利用できる論理容量を教えてください。

フローデータ(AllSource)の保存用として70%、Flowmon OSに10%さらにテンポラリ領域として10%~15%を割り当てることを推奨しております。
そのため、プロファイルなどの設定量などにより異なりますが、実際に利用できるという観点では、モデルの容量の約70%程度と考えてください。


記事公開日:
最終更新日:2023.07.04
アップデート後、各機器の正常性を確認するための確認箇所を教えてください。

iDRACへログイン後、ダッシュボード画面の[正常性情報]にて、[システム:正常]と表示されていれば問題ありません。


topへ戻る

SNMP

SNMPについての仕様・機能(Flowmonを監視する場合、Flowmonから監視する場合を含む)

記事公開日:
FlowmonをSNMP監視するためのMIBファイルをください。

MIBファイルは、Flowmonの以下のディレクトリに格納されています。
CLIにアクセスして取得してください。

/usr/share/snmp/mibs

なお、よく利用されるMIBファイルは以下のとおりです。

・UCD-SNMP-MIB.txt
CPU、メモリ関連
・HOST-RESOURCES-MIB.txt
ディスク関連


記事公開日:
FlowmonをSNMP監視するための設定を教えてください。

初期状態では、「UCD-SNMP-MIB」へのアクセスが許可されていない場合があります。(ご利用のFlowmonOSのバージョンにより異なります)

許可がされていない場合は「Configuration Center」>「システム」>「システム設定」 >「SNMPの設定」 にて「snmpd.conf」を編集する必要があります。

1. 「Configuration Center」>「システム」>「システム設定」>「SNMP」
2.「SNMPD.CONFの編集」ボタンをクリック
3.「UCD-SNMP-MIB」へのアクセスを許可するため、以下のように追記
例)
# Make at least snmpwalk -v 1 localhost -c public system fast again.
# name incl/excl subtree mask(optional)
view all included .1.3.6.1  ← ※全ての標準MIBを許可する場合
view all included .1.3.6.1.4.1.2021  ← ※UCD-SNMP-MIBのみを許可する場合

4.以下の箇所を変更
access notConfigGroup "" any noauth exact systemview none noneをコメントアウト。
access notConfigGroup "" any noauth exact all none noneを追加。

5.snmpdの再起動
FlowmonへSSHアクセスし、以下コマンドを実行します。
sudo /sbin/service/ snmpd restart


記事公開日:
フローソースに対してSNMPを無効にした運用では、どのような制限があるかを教えてください。

SNMPポーリングを無効にしている場合のFlowmon側での制限事項は以下のとおりです。

  • SNMPポーリング無効時に受信したフローデータは、該当ソースのAll Portsでしか確認できない。
  • NW機器のホスト名とインターフェイス名が取得できない。
  • GUI画面から明示的にインターフェイスを指定(チェックして)して解析ができない。


記事公開日:
FlowmonがSyslogで通知している情報と同じ情報をSNMP-Trapで受け取ることはできますか?

Flowmon側からSNMP-Trapを用いての監視には対応していません。


記事公開日:
SNMPでCPU負荷の監視をする方法を教えてください。

開発元は以下のOIDの使用を推奨しています。
・.1.3.6.1.4.1.2021.10.1.3.1:1分間の負荷
・.1.3.6.1.4.1.2021.10.1.3.2:5分間の負荷
・.1.3.6.1.4.1.2021.10.1.3.3:15分間の負荷

システムの負荷はコアやプロセッサの数によって異なります。
マルチコアシステムでは、ロードアベレージをコアの数で割ります。
例えばCPUのコア数が32で、負荷の値(ロードアベレージ)が6.64の場合、
6.64÷32=0.2075となり、システム負荷が20.75%ということになります。
よって、CPUコアが32の場合、負荷の値が32を超えるとオーバーロードが発生し、プロセスの実行に遅延が生じる可能性があります。
ご利用機器のCPUコア数はスペックシートを確認してください。


記事公開日:
最終更新日:2023.04.13
SNMPを使用すると、どのようなメリットがありますか。

SNMPを利用することで以下の機能が利用できます。
・Flowソースの表示をIPアドレスにプラスしてホスト名も表示されます。
・フローソースに異常が有った場合に気が付かない状況を防ぐために警告を出力させます。
・インタフェース単位にフィルタをしたい場合に物理インタフェース名とフィルタに必要なifindexの紐づけを表示させます。


記事公開日:
最終更新日:2023.07.04
回線使用率を監視するためのOIDを教えてください。

■回線使用率
・ifInOctets 各インタフェースが受信した総バイト数 OID: .1.3.6.1.2.1.2.2.1.10
・ifOutOctets 各インタフェースが送信した総バイト数 OID: .1.3.6.1.2.1.2.2.1.16
・ifSpeed 各インタフェースがサポートする帯域速度(bps) OID: .1.3.6.1.2.1.2.2.1.5

回線使用率は上記の結果を基に計算する必要がございます。
計算方法はいくつかございますので以下のサイトを参考にしてください。
※以下はCisco機器の例です。
https://www.cisco.com/c/ja_jp/support/docs/ip/simple-network-management-protocol-snmp/8141-calculate-bandwidth-snmp.html


記事公開日:
最終更新日:2023.07.04
inodeの使用率をOIDでSNMP監視することはできますか。

以下のOIDでinodeの使用率を監視できます。

.1.3.6.1.4.1.2021.9.1.10

FlowmonがサポートしているOIDは以下のサイトからご参照が可能です。
https://support.kemptechnologies.com/hc/en-us/articles/4406088157581-Flowmon-SNMP-MIBs

なお、snmpwalkを実行した結果だけではどのパーティションの使用率か判断することが出来ないため、 df -iの結果と照らし合わせてご確認ください。


記事公開日:
最終更新日:2023.07.04
hrStorageUsed(1.3.6.1.2.1.25.2.3.1.6)/HOST-RESOURCES-MIB本OIDが示す値は、 memTotalReal、memAvailReal、memBuffer、memCachedのいずれかに該当するものですか?

hrStorageUsedは、ホストシステム上のストレージ使用量に関する情報を提供するHOST-RESOURCES-MIBの一部です。

memTotalReal、memAvailReal、memBuffer、memCachedは、ホストシステム上のメモリ使用量に関する情報を提供するUCD-SNMP-MIBの一部です。

UCD-SNMP-MIBとHOST-RESOURCES-MIBは、どちらもネットワーク管理システムで使用されるMIBモジュールですが、異なる情報セットを提供します。

UCD-SNMP-MIBはSNMP固有の情報とシステム統計に焦点を当てており、
HOST-RESOURCES-MIBはCPU、ディスク、プロセスなどのホストリソースに関する一般的な情報を提供します。
よって、hrStorageUsedのOIDはmemTotalReal、memAvailReal、memBuffer、memCachedにいずれにも該当しません。


topへ戻る

アクティブデバイス

アクティブデバイスについての仕様・機能

記事公開日:
ディスクアクセスの負荷が高く、パフォーマンスが低下しています。

アクティブデバイスは、使用の有無にかかわらず、
割り当てられているクォータを現在のサイズより小さく設定する場合、
毎分クリーンアップ処理を行い、空き容量を確保しようとするため、ディスクアクセスに負荷を引き起こします。
アクティブデバイスのクォータは最低でも現在のサイズよりより大きく設定する必要があります。


記事公開日:
検索した後に表示される”ホスト名”は検索条件の期間内のものですか?
それとも現時点のホスト名ですか?

現時点のホスト名です。
ユーザ設定にて「ドメイン名解決」を設定されている場合、アクティブデバイスの一覧を表示する際にIPアドレスをDNSサーバに問合せた結果を表示しています。


topへ戻る

アプライアンスログ

アプライアンスログについての仕様・機能

記事公開日:
アプライアンスログ内には、GUIから確認できるメッセージログやシステムログもすべて含まれていますか?

はい。アプライアンスログにはメッセージログやシステムログがすべて含まれています。
アプライアンスログの中身をご確認したい場合は、「暗号化しないでダウンロード」を選択していただきますと、何が含まれているかを確認することができます。


記事公開日:
最終更新日:2023.04.13
アプライアンスログを取得する際に装置への負荷や影響などないか教えてください。

アプライアンスログを取得する際にはフロー生成への影響はありません。
しかしながら、取得中にはシステム負荷が上昇しましたが、こちらは一時的な現象です。
よって、アプライアンスログの取集が完了した後、システム負荷が下がります。

なお、アプライアンスログの取得にかかる時間はデータ量等によって異なるので、数分~数十分かかる場合があります。 その間にシステム負荷が上昇する可能性がありますので、ご了承ください。


topへ戻る

アラート

「Flowmon Monitoring Center」の「アラート」についての仕様・機能

記事公開日:
アラートの条件ではフロー/秒などの秒を指定できるものがありますが、実際の秒間値をリアルタイムでモニターしていますか?

アラートは5分間隔で条件に合致したものがあるかを確認しています。よって、5分間の平均値から計算した結果の数値をモニターしています。


記事公開日:
秒間フロー数が”ゼロ”となった場合に、アラートを上げたいのですが、このような設定は可能ですか?

下記のように設定すると、 何らかの原因でフローが来ないときにアラートとして発報されます。
  条件 合計フローサマリに基づく条件 
  フロー/秒 < 絶対値 1 –

設定イメージ


記事公開日:
「条件にあてはまった時に1回」とはどのような時に使うのでしょうか?

「条件にあてはまった時に1回」は条件が連続して満たしている間は最初の1回のみアラートを発報し、条件を満たさなくなった後、再び条件を満たしたときにアラートを発報したいときに使用します。
動作のイメージは以下のとおりです。

  • 1)アラート条件を満たす場合、アラート発報する
  • 2)設定したサイクル数の間、アラートをブロックして動作停止する(サイクル:0の場合は直ぐに停止)
  • 3)条件が閾値を下回る(アラートが再開される)
  • 4)以後、上記1)~3)を繰り返す


記事公開日:
アラート機能を使用してトラフィック流量の監視をしています。
帯域が閾値を超えた時に直近5分の送信元Top10のレポートをメールに添付して通知することはできますか?

アラート機能をトリガーとしてレポートを生成することはできません。
しかしながら、スクリプトを作成することで直近5分の送信元Top10のCSV形式を作成し、メール本文に記載して通知することは可能です。

以下のサンプルスクリプトでは、5分前の送信元Top10を集計し、メールで通知する例です。 アラート画面の「スクリプトのパラメータ」に送信したいメールアドレスと空白を1つ開けてメールの件名を指定します。

送信元Top10などの集計用のコマンドは解析画面で解析を行うと高度な解析欄の右上に表示される黒い■マークをクリックすると表示されます。
(本FAQのサンプルスクリプトはサポートの対象外です。)

#/bin/bash

export LANG=ja_JP.UTF-8

Mail_to=$1

# 以下のパスを解析したいプロファイルに合わせます。
ProfilePath="/data/nfsen/profiles-data/live/172-16-247-247_p3000"

make_date=`date "-d -5 minutes" "+%Y/%m/%d"`
ProfilePathDate=$ProfilePath/$make_date

#直近の5分のファイルを抽出
search_term=`ls -rt $ProfilePathDate | tail -n 1`
search_term=$search_term":"$search_term

# 統計基準や並べ替え基準、TopN数を指定します。
top10=`/usr/local/bin/nfdump -M $ProfilePath -R $search_term -n '10' -S 'srcip'/'bytes' -6 --no-scale-number -o 'csv'`

subject="$2"
contents="$2

送信元のTOP10は以下のとおりです。

$top10
"
/usr/bin/php /var/www/shtml/index.php cli:SendEmail -body="$contents" -to="$Mail_to" -subject="$subject"
ret=$?
if [ $ret -eq 1 ]; then
 logger "send mail failure"
 exit 1
fi

(注意)
上記スクリプトを直接アラート画面の「スクリプトのアップロード」からアップロードすると動作しないことが有ります。
その場合は以下のようなスクリプトを起動するだけのスクリプトをアラート画面からアップロードし、実際に集計する上記スクリプトはFlowmonにSSH接続して以下のスクリプトで記載した場所に配置してください。

#/bin/bash
sh /home/flowmon/Script/Top10/Top10_sample.sh $1 $2


記事公開日:
アラートを設定しましたが、閾値を超えてもアラートが発報されません。

アラートの閾値の条件は「個々のトップ1統計情報に基づく条件」と「合計フローサマリに基づく条件」の大きく2つの設定があります。

例:5Mbpsを閾値に設定した場合

1.「個々のトップ1統計情報に基づく条件」
合計のトラフィック量ではなく、端末単位に一番トラフィック量の多いものが閾値を超えた際にアラートが発報されます。
例えば、1端末辺り4Mbpsの通信が多数有り、合計が100Mbpsを超えていたとしてもアラートは発報されません。

2.「合計フローサマリに基づく条件」
全トラフィックの合計が5Mbpを超えた時にアラートを発報させたい場合に選択します。
この場合は1端末辺り1Mbpsの通信が多数有り、合計が5Mbpsを超えた時にアラートが発報されます。


記事公開日:
アラート設定のトリガーの条件の数とブロックするサイクルの考え方を教えてください。

アラートは5分に一回、条件を満たしているかをチェックしています。(このチェック間隔は使用するプロファイルの粒度によって変わります。5分プロファイルの場合は5分毎にチェックされますが、1分と30秒のプロファイルを使用している場合は30秒ごとにチェックされます。)
最初の条件の数字は連続してその条件を満たす回数です。
次のサイクルは条件を満たした後、チェックをスキップする回数です。

以下の設定がされている場合を例に説明します。
「毎回」後「6」×条件=TRUEである場合、次を対象として次のトリガーをブロックする:「2」サイクル
 6回×5分=30分、2サイクル×5分=10分 30分+10分=40分
 30分間連続して閾値を超えた場合、更に10分間通知が抑制されます。
 よって、連続して事象が発生している状態で、12時00分に最初の通知が発生すると、次の通知は12時40分に通知されます。


記事公開日:
最終更新日:2021.09.29
トラフィックが閾値を超えた際にアラートを発報するように設定しています。
発報したアラート数を週次/月次などの単位で集計する機能はありますか?

Flowmonには、アラートの発生回数を集計する機能は有りません。
しかしながらアラート毎に発報数をカウントするスクリプトを作成することにより、回数を集計する事ができます。

以下のサンプルスクリプトでは週計と月計をアラート発報毎にカウントし、アラート画面の「スクリプトのパラメータ」に指定されたメールアドレスに現時点の集計数を通知する例です。
(本FAQのサンプルスクリプトはサポートの対象外です。)
#!/bin/bash

export LANG=ja_JP.UTF-8

Mail_to=$1

day_week=`date +%u`
#day_week=7
day=`date +%d`
HHMM=`date +%H%M`
ResetTime=0000

Weekly_File="/home/flowmon/Script/total_alerts/Weekly_total"
Monthly_File="/home/flowmon/Script/total_alerts/Monthly_total"

if [ ! -e $Weekly_File ]; then
  echo "0" > $Weekly_File;
fi

if [ ! -e $Monthly_File ]; then
  echo "0" > $Monthly_File;
fi

i=`cat $Weekly_File`
i=$(($i +1))
echo $i > $Weekly_File

j=`cat $Monthly_File`
j=$(($j +1))
echo $j > $Monthly_File

if [ "$day_week" -eq 7 ] ; then
#日曜日の0時に週計をリセット
        if [ $HHMM -eq $ResetTime ] ; then
                echo "0" > $Weekly_File;
        fi
fi

if [ $day -eq 01 ] ; then
#1日の0時に月計をリセット
        if [ $HHMM -eq $ResetTime ] ; then
                echo "0" > $Monthly_File;
        fi
fi

subject="現時点のアラート発報数"
contents="
現時点のアラート発報数は以下のとおりです。

週計:$i 件
月計:$j 件
"

/usr/bin/php /var/www/shtml/index.php cli:SendEmail -body="$contents" -to="$Mail_to" -subject="$subject"
ret=$?
if [ $ret -eq 1 ]; then
 logger "send mail failure"
 exit 1
fi
(注意)
上記スクリプトを直接アラート画面の「スクリプトのアップロード」からアップロードすると動作しないことが有ります。
その場合は以下のようなスクリプトを起動するだけのスクリプトをアラート画面からアップロードし、実際に集計する上記スクリプトはFlowmonにSSH接続して以下のスクリプトで記載した場所に配置してください。
集計/月計のリセット例は簡易的に示すために必ず5分毎にアラートが発報される前提としています。実際にはアラートが発報されなかったときに集計結果をリセットする仕組みを考慮する必要が有ります。
#!/bin/bash
sh /home/flowmon/Script/total_alerts/total_alerts.sh $1


記事公開日:
Monitoring Centerのアラートの通知を特定の時間帯だけに限定することはできますか?

Flowmonの標準機能ではアラートの通知時間を限定することはできません。
特定の時間帯のみ通知を受け取りたい場合はスクリプトを作成し、スクリプトの中で特定の時間帯のみメールやSMTP/syslogなどの通知を行うものを独自に作成していただくことで対応することができます。


記事公開日:
ファイルを送受信した数が一定数に達したらアラートを上げることはできますか?
ファイルはメールに添付される場合とSambaサーバ経由のやり取りを想定しています。

メールに添付されているファイルをFlowmonで認識することはできません。
ファイルサーバとしてSambaを利用している場合は送受信ファイルの発生を監視することは可能です。

Sambaへの送受信を監視する場合は、readコマンドと write コマンドをフィルタリングします。
しかしながら、以下の制約/注意があります。
・フローの基本は1セッション ≒ 1フローとなります。よって、1ファイルの送受信は1フローとしてアラートの閾値を設定します。
・Sambaでは1つのファイル転送に、通常1つ以上のフローが生成されます。
 Sambaのフォルダを閲覧する際には多くのSambaコマンドが実行されるためフローが分割されます。
 よって、単一のファイル転送数を正確に識別することは難しくなります。

 なおFlowmonの仕様ではSambaの監視はファイルパスまでは可能ですが、ファイル名の監視は不可能です。

アラートを作成する際にはフィルタに以下を設定してください。

ダウンロードのフィルター:
smb2-cmd " RE"  and  smb-filetype " File"  and  src  port 445
※Sambaを利用したファイルの読み込みをダウンロードと解釈します。

アップロードのフィルター:
smb2-cmd " WR"  and  smb-filetype " File"  and  dst port 445
※Sambaを利用したファイルの書き込みをアップロードと解釈します。


記事公開日:
最終更新日:2023.03.03
Flowmonのアラートの電子メール送信について
設定条件 × 3回とした場合、Values for timeの通知時間は 最後の5分になっていました。(Values for time 2022-05-09 08:00 - 2022-05-09 08:05)

5分ではなく、15分継続しているような形(Values for time 2022-05-09 08:00 - 2022-05-09 08:15)で設定はできますか。

いいえ、できません。
Flowmonアラートではプロファイルの粒度によって評価されます。
5分粒度のプロファイルの場合、設定条件 × 3回で設定している場合、5分毎にアラート条件をチェックし、3回連続で条件を満たした場合、15分毎に1回アラートを発報というような発報回数の制御になります。
電子メールの送信へ通知する際には、Values for timeは最後の5分間で表示されます。
15分毎に1回(設定条件 × 3回)に設定とした場合、Values for timeは 2022-05-09 08:00 - 2022-05-09 08:05 になります。


記事公開日:
アラートにて「%」を条件として指定した場合、どのような時にアラートが発報されるのですか。

アラートを作成後、作成したアラートの「詳細」をクリックしていただくと表示される「アラートの詳細」画面上部の「条件」に、作成したアラートの条件が表示されます。
例えば「ビット/秒>10分間毎の平均値 80%」という条件で設定した場合は、「ビット/秒>(10分間毎の平均値+80%)」という条件が表示されます。
これは、ビット/秒が10分間毎の平均値+80%を超えた場合にアラートが発報されるという意味です。

アラートの詳細画面の下部にフロー数/パケット/トラフィックのテーブルがあり、それぞれの時間の平均値が表示されています。
今回の例ですと、「トラフィック」(ビット/秒)のテーブルの「10M」(10分間)の値が例えば100Mb/sの場合、
100Mb/s+100Mb/sの80%= 180Mb/sを超えた時にアラートが発報されます。


記事公開日:
「特定の値」を「1時間の平均値」で超えた場合にアラートを発報させたいです。
具体的には、「1時間の平均bps」が「5Mbps」を超えたらアラートを発報するというものです。
この条件で設定することはできますか?

「1時間の平均bps」が「5Mbps」を超えた場合にアラートを発報させるという設定はできません。
アラート機能はプロファイルの粒度によって評価されるバッチ処理です。
1分と30秒のプロファイルのアラートは30秒ごとに評価され、5分のプロファイルのアラートは5分ごとに評価されます。

ご希望されているような設定はできませんが、アラートの設定でプロファイルに1分、もしくは30秒プロファイルを選択することで 30秒ごとに評価されますので5分プロファイルよりはリアルタイム処理に近い動作になります。 ※1分プロファイルや30秒プロファイルは多くのファイルが作成されるため5分プロファイルより容量を使用します。
※30秒と1分粒度のシャドウプロファイルをアラートに設定する場合、その親プロファイルの粒度も30秒もしくは1分である必要があります。  詳細はFlowmon GUI画面右上の?マークから参照できるユーザーガイドの5.Flowmon Monitoring Center>5.9 アラート の「シャドウプロファイルに基づくアラート」を確認してください。


記事公開日:
最終更新日:2023.09.29
アラート機能は、コレクタだけでも利用できますか。

可能です。


topへ戻る

インターフェース情報

インターフェース情報についての仕様・機能

記事公開日:
コレクタのConfigrartion Centerのリスニングポートにマウスオーバーして見える情報の損失したパケットとはどのような意味ですか?

損失したパケットにつきましては、フロー生成元がフロー化し、コレクタへ送信してきた際に、コレクタが受信できなかったパケット数となります。
また、この情報は過去5分間の情報です。

なお損失したパケットの算出につきましては、各パケットが送付される際に付与されるシーケンス番号によって算出しています。
例えば、シーケンス番号1~5を付与されたパケットの内、シーケンス番号1とシーケンス番号5のパケットをコレクタが受信した場合、
コレクタ受信時に損失したパケットは、シーケンス番号2~4なので、コレクタ受信時に損失したパケット数は3となります。


記事公開日:
iDRACのマネジメントポート、並びにインターネットへ接続するIFのランプがアンバーで点灯しています。
こちらに何か問題等はありますか?
LEDの色(オレンジ色に点灯)は、Flowmonの最大である1000MbpsではLinkUpしていないことを表しています。
Flowmonコレクタには10/100/1000 Mbpsの管理ポートが搭載されていますので、
10Mbps、もしくは100Mbpsで接続されているということになります。

デフォルトでは1000Mbps/fullで設定されていますが、Configuration Center>システム>システム設定>管理インターフェース1にて 速度を10Mbpsや100Mbpsに変更はされていませんでしょうか。
設定されている速度は、Configuration Center>概要>ネットワークインターフェース の「速度」でご確認いただけます。
もし10Mbpsや100Mbpsに変更されている場合は、最大の1000MbpsではないのでLEDがオレンジ色に点灯します。

記事公開日:
FlowmonからFlowmon サービスサーバへの接続に使用する送信元IPアドレスは モニタリングセンター(Web Interface) または iDRACのどちらですか?

FlowmonからFlowmonサービスサーバへの接続に使用される送信元IPアドレスはFlowmonの管理インターフェースのIPアドレスです。
※Flowmonの管理インターフェースのIPアドレスはConfiguration center>システム>システム設定>管理インターフェース1にて確認できます。


記事公開日:
最終更新日:2023.04.13
snmpwalkコマンドでインタフェース情報を取得する方法を教えてください。

snmpwalkコマンドよりインタフェース情報を出力することはできますが、この方法では各フローソースに実施する必要がございます。
詳細な方法は以下になります。

1) FlowmonコンソールにSSHで接続します。
Tera termなどのssh端末ソフトで、Flowmon管理コンソールのIPにアクセスします。
ホスト:<FlowmonのIPアドレス>
ユーザ :flowmon
パスワード : inv3a-t3ch(初期パスワード)
※実際の設定値は、パラメータシートにてご確認ください。
コマンドpwdでログイン後のパスが/home/flowmon/であることをご確認ください。

2) 以下のコマンドを実施してください。
snmpwalk -v <使用しているSNMPバージョン> -c <Communityストリング> <NW機器のIPアドレス> 1.3.6.1.2.1.2.2.1.2
※設定しているSNMPバージョンやCommunityストリングなどはFlowmon Monitoring Center>ソース>任意のソース>編集にて確認できます。

例:snmpwalk -v 2c -c public 172.16.247.103 1.3.6.1.2.1.2.2.1.2

実施した結果は以下になります。
IF-MIB::ifDescr.1 = STRING: GigabitEthernet0/4
IF-MIB::ifDescr.2 = STRING: GigabitEthernet0/5
IF-MIB::ifDescr.3 = STRING: GigabitEthernet0/0
上記のコマンドの末尾に > ファイル名.txt を付けると、テキストファイルとして結果が保存されます。
例:snmpwalk -v 2c -c public 172.16.247.103 1.3.6.1.2.1.2.2.1.2 > 103interface.txt

コマンドラインからファイルをダウンロードする方法:
WinSCP等のsshコピー(SCP)機能を持ったソフトウェアで 管理コンソールにアクセスして、ファイル名.txtをダウンロードしてください。
パスは/home/flowmonです。


記事公開日:
最終更新日:2023.09.15
FlowmonコレクタのLANの口はいくつですか。 ⇒管理LAN、A系用バックアップLAN、B系用バックアップLANのような使い方はできますか。

全部で3つございまして、下記の用途となっております。
①管理インターフェース1(管理用及びフロー収集用)
 ※デフォルトゲートウェイは管理1にしか設定出来ないため、基本的には管理1が管理用になります。
②管理インターフェース2(フロー収集用)
 ※通常は使用しませんが、異なるセグメントからフローを収集する際などに使用します。
②iDRAC用インターフェース
 ※Dellサーバに実装されているリモート管理機能用のインターフェースです。


topへ戻る

グラフ描画

グラフ描画についての仕様

記事公開日:
プロファイルのチャネルの編集で親チャネルを変更した場合、過去のグラフデータは消えますか?

いいえ、プロファイルの親チャネルを変更しても過去のグラフデータは消えません。

例えば、親チャネルAを親チャネルBに変更すると、
設定変更前は親チャネルAのデータ、設定変更後は親チャネルBのデータとなります。
この場合、変更を行った後の数分間は親チャネルAのデータと親チャネルBのデータが混在します。
また、親チャネルAが設定されているチャネルに親チャネルBを追加すると
設定変更前は親チャネルA、設定変更後は親チャネルAと親チャネルBのデータとなります。

上記より、親チャネルのデータを分けて参照したい場合は
チャネルを分けて作成することを推奨します。


記事公開日:
ソース画面でインターフェース単位に監視をおこえるよう取得対象のインターフェースのチェックを変更するとグラフが消えましたが、データも消失したのでしょうか?

各ソースの設定でインターフェース単位の監視を行うためにはソースプロファイルを作成する必要が有ります。
ご利用のFlowmonのバージョンによってはソースプロファイル化する際にグラフの表示がクリアされ、設定変更後に受信したFlowから再度グラフが表示される仕様となっています。
ソース画面のグラフが消えたとしても受信したFlowデータは残っていますので、解析画面のAll Sourcesから該当のソースのチャネルを選択することでグラフをご確認頂くことが可能です。
消えてしまったソース画面のグラフにつきましては、残念ながら再度グラフ表示することはできません。
なお、v12.00.01で仕様変更があり、v12.00.01以降ではソースをプロファイル化した後でもグラフが継続して表示されるようになっております。


記事公開日:
Flowmonの解析画面で期間からカスタムを選択して表示した場合、解析の一番上のグラフに表示される左のメモリの数値の粒度は何分平均ですか。

指定されたプロファイルの粒度によります。
プロファイルには5分、1分、30秒の粒度で作成することができ、グラフにはそれぞれ、5分、1分、30秒の平均値が表示されます。

但し、指定された期間が長いと画面に収めるために粒度は以下のように平均間隔が大きくなって表示されます。

~8時間:30秒平均(30秒粒度プロファイルの場合のみ)
~16時間:1分平均 (1分粒度プロファイルの場合のみ)
~100時間:5分平均
~15日と8時間:30分平均
~110日と17時間:120分平均
166日と17時間~:24時間平均


topへ戻る

サイジング

Flowmonのサイジングについての考え方・仕様・機能

記事公開日:
最終更新日:2021.03.29
回線の伝送量、利用端末数からHDD容量を見積もる方法や注意点はありますか?

ストレージのサイジングを行う際には、以下2つの方法でご提案させていただいております。

  1. 回線速度(トラフィック量)を基にFlowmonの最適ストレージサイズを試算する
  2. 端末数を基にFlowmonの最適ストレージサイズを試算する


記事公開日:
アクティブタイムアウトを30分から5分に変更した場合、Flowmonの負荷はどのくらい増えますか?

最初に考え方を簡単にするために現在の通信がすべて30分以上連続して行われていると仮定します。

アクティブタイムアウトを30分から5分に変更した場合の計算式は以下となり、アクティブタイムアウト値を30分から5分にした場合、
約6倍のフローを受信することになり、負荷も6倍になります。

1800秒(30分)÷ 300秒(5分)= 6

受信するフロー数の予測は Monitoring Center > 解析画面の右側のグラフより「フロー」を選択し、トラフィックのグラフの一番高いところをマウスオーバすることで表示されるレートの値を6倍することによって算出できます。
6倍にした値がご利用モデルのフロー最大処理数/秒を超えていないことをご確認ください。

【ご参考:Flowmonモデル一覧】
https://www.orizon.co.jp/products/flowmon/collector.html

しかしながら、実際にはすべての通信が30分以上連続して行われることは稀であり、現状でも5分以内に終了する通信についてはアクティブタイムアウトを5分にしても負荷の影響はありません。
よって、フロー最大処理数/秒を超えている場合は、以下の方法により、より詳細に現状分析を行ってください。

Monitoring Center > 解析画面下方の高度な解析に移ります。
解析範囲をグラフの一番高い日時に設定します。
「フローのリスト」タブをクリックし、「次に制限」より1000または10000を選択し、「出力」はdefaultで"実行"を押下します。
欄内右上「以前の結果」よりCSVをダウンロードし、Excelにてデータ出力します。

出力されたExcel内の"Duration"にあたる部分が"期間"となり、こちらが選択した5分間に受信したフローの通信時間です。この通信時間を以下の様に分離し、フローの合計を算出します。

①5分以内 フロー数を1倍した数
②5~10分未満 フロー数を2倍した数
③10~15分未満 フロー数を3倍した数
④15~20分未満 フロー数を4倍した数
⑤20~25分未満 フロー数を5倍した数
⑥25分以上 フロー数を6倍した数

※Durationを5で割り、小数点以下を切り上げた数にフロー数を掛けると容易にアクティブタイムアウトを5分にした時のフロー数を算出できます。

上記①~⑥で算出したフロー数を全て合計します。
次に、①~⑥で算出したフローの合計を1000または10000(「次に制限:」で抽出したフロー数)で割ります。
これにより、全体のフローの増加割合を算出することができます。
例えば、①~⑥で算出したフロー数の合計が1500であった場合、1500 ÷ 1000(「次に制限:」で抽出したフロー数)=1.5

解析画面のグラフ表示されている棒グラフの一番高いものにマウスオーバーした際に表示される"レート"より、1秒間に処理されたフローの値(フロー/s)を取得し、先ほど計算した割合(1.5)を掛けます。
例えばフロー/s値が40,000フロー/sであった場合、アクティブタイムアウトを5分に変更した場合の想定値は以下のとおりとなります。

40,000 × 1.5 = 60,000 フロー/s


記事公開日:
最終更新日:2023.09.15
どのようなモデルがありますか?

コレクタはストレージの大きさ、プローブはポート数、ADSは処理可能Flow数によりモデルが変わります。
詳しくは弊社HPをご参照ください。
Flowmon TOP


記事公開日:
最終更新日:2023.09.15
サイジングの方法をおしえてください。

コレクタの場合は、1日の平均トラフィック量とそのFlowデータを何カ月保持したいかでサイジングします。
例えば監視対象の平均トラフィックが500Mbpsという環境で、3か月程度データが保持したいという場合、3TBのものでご要望に応えることができます。
プローブはモニタリング対象の回線速度、何ポート必要かで機器選定を行います。


記事公開日:
最終更新日:2023.09.15
フローデータの保存期間は?

ディスク容量によって異なりますので、予め希望保持期間、現状の平均トラフィック量を基に最適なモデルをサイジングさせて頂きます。


topへ戻る

セキュリティ情報

セキュリティについての仕様・機能

記事公開日:
最終更新日:2021.03.29
FlowmonへのGUIアクセスで、TLS 1.0 を使用しているようです。TLS 1.2 を有効化 し、TLS 1.0 , TLS 1.1 を無効化することは可能ですか?

Flowmon側でTLSの有効化や無効化を行うことはできません。
TLS1.2に移行するためにはTLS1.2対応ブラウザよりFlowmonにアクセスしてください。


記事公開日:
LDAPサーバへの接続試験を行うと成功しましたと表示されますが、LDAPユーザでログインを行うと「invalid username or password.」と表示され、ログインできません。

LDAPのユーザは、必ずFlowmonのロール名(役割)を含むグループに所属している必要があります。
グループ名は以下の命名規則で作成してください。
[接頭辞] +(ハイフンまたはアンダーバー)+ [Flowmonのロール名]

【例】グループ名を "flowmon-user"と設定する場合
"flowmon"を接頭辞としてFlowmonのLDAP設定の「ユーザー定義のグループプレフィックス」に設定
"user"という役割を事前にFlowmonに作成

グループの入れ子状態(グループ内にグループがあり、その中にユーザが所属)では正常に動作しませんのでご注意ください。


記事公開日:
Flowmonの脆弱性について教えてください。

Flowmonは製品の脆弱性に関する情報が公開されておりません。
しかしながら、Flowmonはマイナーリリース毎に脆弱性診断を実施し、Flowmonに脆弱性が無いことを確認したうえで開発元から出荷されております。

また、Flowmonはパブリッククラウドサービス向けの仮想環境も提供しており、これらのプロパイダーから要求される厳しい基準を遵守するため、Qualys社が脆弱性診断を行っております。

脆弱性に対応するため、なるべく最新の国内サポートバージョンをご利用ください。


記事公開日:
sudoの脆弱性(CVE-2021-3156)の影響をうけますか?

Flowmon(Ver10.02.07現在)の sudoバージョンは1.8.20p2ですが、
Flowmonではsudoで利用できるコマンドを制限しているため、
(CVE-2021-3156)で報告されている脆弱性の影響を受けません。

ご参考までにFlowmonで上記の脆弱性の影響を受けないことを確認する方法をご紹介します。

1.FlowmonコンソールにSSHで接続します。
「Tera term」などのssh端末ソフトで、Flowmon管理コンソールのIPにアクセスします。
ホスト:<FlowmonのIPアドレス>
ユーザ : flowmon
パスワード : inv3a-t3ch(初期パスワード)
※実際のパスワードの設定値は、パラメータシートにてご確認ください。

2.下記コマンドを入力します。
sudoedit -s /

3. [sudo] password for flowmon:
※パスワードはFlowmonコンソールにSSHをログインするパスワードになります。

パスワードを入力後、以下のメッセージが表示され、/ を使用したコマンドの実行権限が無いことが確認できます。

Sorry, user flowmon is not allowed to execute 'sudoedit /' as root on localhost.

よってFlowmonは脆弱性(CVE-2021-3156)の影響はございません。


記事公開日:
ssh の鍵認証設定を flowmon に実施する手順を教えてください。

sshの鍵認証設定につきましては以下手順にて実施可能です。
なお以下はWindowsでTera Termを使用して鍵を作る場合の手順です。
鍵の生成方法はお客様がご利用の環境に従って生成してください。

1.RSAの秘密鍵と公開鍵を作成する。
Tera Termを起動し、設定>SSH鍵生成 をクリックします。
次に生成をクリックすると鍵の生成が始まります。
この状態で鍵はまだ保存されていません。
生成後、パスフレーズ(Key passphrase)とパスフレーズの確認(Confirm passphrase)に同じパスフレーズを入力します。
その後、「公開鍵の保存」及び「秘密鍵の保存」をクリックし、鍵を保存します。

2.公開鍵を保存しておく場所を作成し、公開鍵を保存する。
Tera Termを起動し、該当のFlowmonに以下にて接続します。

アカウント (固定)ログインID : flowmon パスワード : inv3a-t3ch(デフォルト)

その後、公開鍵を保存しておく場所となる、以下pathの.sshディレクトリに移動します。

/home/flowmon/.ssh

.sshディレクトリが存在しない場合は、「mkdir ssh」コマンドで作成します。
次に.sshディレクトリ配下に、authorized_keysというテキストファイルを作成します。
作成したauthorized_keysに公開鍵のファイル(id_rsa.pub)の中身を設置します。

公開鍵のファイルの設置には複数の方法がありますのでその一例としてechoコマンドを使用する方法をご参考までに記載いたします。

・公開鍵の設定方法の例

echo '公開鍵のファイル(id_rsa.pub)の中身' >> /home/flowmon/.ssh/authorized_keys

また、.ssh/authorized_keysのパーミッションは600または644である必要がありますので、「ls -la」コマンドでパーミッションを確認し、
600または644でない場合は「chmod 600 .ssh/authorized_keys」とします(ここでは手順を簡略化するためにパーミッションを600に変更する手順としています)

3.鍵を使用し、SSHに接続します。
Tera Termを起動し、該当のFlowmonに以下にて接続します。

アカウント (固定)ログインID : flowmon パスワード : 設定したパスフレーズ

その際、method(認証方法)の枠内の「RSA/DSA/ECDSA/EDD25519鍵を使う」のラジオボタンを選択し、秘密鍵の一番右の「...」ボタンをクリックして秘密鍵のファイル(id_rsa)を選んでください。

OK ボタンをクリックするとFlowmonへ接続されます。

なおパスワードを周知していた人の権限を削除する場合は、
authorized_keysを削除いただければ、キー認証での接続はできなくなります。


記事公開日:
Apaceの脆弱性(CVE-2021-41773)の影響を受けますか?

CVE-2021-41773はApache 2.4.49のみ影響があります。
Flowmon (Ver.11.01.09現在)ではApache 2.4.6を使用しているので、(CVE-2021-41773)の影響はありません。


記事公開日:
Apaceの脆弱性(CVE-2021-40438)の影響を受けますか?

CVE-2021-40438はmod_proxyを使用している場合にのみ影響があります。
Flowmonではmod_proxyを使用していないので、(CVE-2021-40438)の影響はありません。


記事公開日:
以下のSpring4shellの脆弱性の影響を受けますか?

・CVE-2022-22963:Spring Framework(Spring Cloud Function)
・CVE-2022-22965:Spring Framework(Spring Core)

FlowmonはSpring Frameworkを使用していないため、Spring4shell(CVE-2022-22963、CVE-2022-22965)の影響はありません。


記事公開日:
PolKitメモリ破損の脆弱性(CVE-2021-4034)の影響を受けますか?

Flowmon OS v11.01.12以下の場合は影響を受けます。
Flowmon OS v11.01.13にて対策を実施していますのでバージョンアップを実施してください。
なお、Flowmon OS Ver11.1系用のhotfixは以下に用意がありますので、バージョンアップが難しい方はこちらの適用をご検討ください。
https://orizon.app.box.com/file/943516041780?s=fg3lpl8sv63ybzfs4u0xie2wi6hc9a9a


記事公開日:
Apache Struts 2 の脆弱性(CVE-2021-31805)の影響を受けますか?

FlowmonはApache Strustsを使用していないため、(CVE-2021-31805)の影響はありません。


記事公開日:
Oracle Javaの脆弱性(CVE-2022-21449)の影響を受けますか?

FlowmonはJava 1.8.0 OpenJDKのパッケージを使用していますが、本パッケージは脆弱性の対象ではないため、影響はありません。


記事公開日:
Open SSLの脆弱性(CVE-2022-1292)の影響を受けますか?

Flowmonは(CVE-2022-1292)の影響はありません。

本脆弱性(CVE-2022-1292)はOpenSSL の rpm openssl-perlに含まれている c_rehash スクリプトにあります。
Flowmonは Open SSL ver1.0.2kを利用していますが、rpm openssl-perlに含まれている c_rehash スクリプトのパッケージは、Flowmonにインストールされていないため、本脆弱性の影響は受けません。


記事公開日:
FlowmonはOpenSSLの脆弱性(CVE-2022-2274/CVE-2022-2097)の影響を受けますか?

Flowmonが使用しているOpenSSLのバージョンは1.0.2kなのでCVE-2022-2274とCVE-2022-2097の脆弱性の影響は受けません。


記事公開日:
最終更新日:2023.04.13
①もしCentOS Linuxセキュリティパッチで適用が必要なものが発表された場合はどのような対応となるのですか。
 Flowmon OSのバージョンアップで対応が可能なのか、別途個別に対応を検討する必要がありますか。

②ウイルスソフトを導入することが可能かどうか、できない場合どういった理由で導入しなくてもセキュリティ的に問題ないかを教えてください。

①Flowmonでは新しいOSがリリースされた際にセキュリティの強化が含まれます。

Flowmonに関連する脆弱性情報は、以下のProgress社のサイトで確認することができます。
※本サイトではFlowmonの情報だけではなく、Progress社が販売している製品の脆弱性情報について記載がされています。
https://www.progress.com/security

本サイトの「Industry Security Updates」表にある脆弱性のリンク内(例:Spring4Shell Vulnerabilityの中)の「PRODUCTS NOT DIRECTLY IMPACTED」節にてFlowmonの記載がある場合、Flowmonはその脆弱性の影響は受けません。

仮に脆弱性が発表され、Flowmonにセキュリティパッチを適用する必要となった場合は、上記のサイトに発表されます。
また、セキュリティパッチを適用する必要となった場合は、開発元がセキュリティパッチを提供します。
※セキュリティパッチはConfiguration Center>バージョン>パッケージのインストールにて適用できます。

②Flowmonはアプライアンス製品となるため、セキュリティソフトのインストールは不可となります。
ベースOSとしてLinux、その他アプリケーションに必要なソフトはインストールされていますが、 影響を受ける可能性がある脆弱性については上記URLよりご確認いただけます。


記事公開日:
最終更新日:2023.04.13
CVE-2023-22809はFlowmonに影響がありますか。

関連するsudoeditルールはFlowmon OSでは使用されていないので FlowmonはCVE-2023-22809に対する脆弱性ございません。


記事公開日:
最終更新日:2023.04.13
CVE-2006-20001、CVE-2022-36760、CVE-2022-37436の脆弱性はFlowmonに影響ありますか。

脆弱性(CVE-2006-20001、CVE-2022-36760、CVE-2022-37436)に関連するApacheモジュールはFlowmonOSでは使用されておりませんので、Flowmonはこれらの脆弱性の影響は受けません。


記事公開日:
最終更新日:2023.04.13
OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)はFlowmonに影響しますか。

当脆弱性の対象のバージョンは「OpenSSL 3.0.7より前の3.0系のバージョン」です。
Flowmonが使用しているOpenSSLのバージョンは1.0.2kですので当脆弱性の影響は受けません。

また、以下のサイトの「OpenSSL Vulnerability」にFlowmonは当脆弱性の影響を受けないことが記載されております。
https://www.progress.com/security


記事公開日:
最終更新日:2023.04.13
脆弱性診断にて脆弱性(CVE-2004-0230)が発見されました。
対応方法について教えてください。

FlowmonはLinuxディストリビューションとしてRedHatを使用しております。
RedHat社は以下のサイトにて当脆弱性(CVE-2004-0230)は重大な脅威でなく、当脆弱性に対しての対処を実施する予定はないと発表しております。 その為、Flowmonに関しましても当脆弱性(CVE-2004-0230)に対してご対応いただく必要はございません。

https://access.redhat.com/security/cve/cve-2004-0230


記事公開日:
最終更新日:2023.04.13
Open SSLの脆弱性(CVE-2023-0286、CVE-2022-4304、CVE-2023-0215)はFlowmonに影響がありますか。

Flowmonが使用しているOpen SSLのバージョンは1.0.2kでございます。
1.0.2系のバージョンが対象となる脆弱性とのことですが、CentOSの開発元であるRed Hat社は上記3つの脆弱性を悪用することは困難であるため、当脆弱性の対処は実施しないと発表しております。
その為、Flowmonに関しましても当脆弱性に対してご対応いただく必要はございません。

以下の開発元のサイトに上記3つについての情報が記載されております。

CVE-2023-0286
https://support.kemptechnologies.com/hc/en-us/articles/13321802306061

CVE-2022-4304
https://support.kemptechnologies.com/hc/en-us/articles/13321900264333

CVE-2023-0215
https://support.kemptechnologies.com/hc/en-us/articles/13321941490189


記事公開日:
最終更新日:2024.01.10
Flowmonは脆弱性の (CVE-2023-28322)影響を受けますか。

いいえ、影響は受けません。
以下のURLにこの脆弱性は、Red Hat Enterprise Linux6,7,8に同梱されているCurlパッケージには影響しないと記載されています。

https://access.redhat.com/security/cve/CVE-2023-28322

FlowmonはRed Hat Enterprise Linux7を使用しておりますので、
flowmonは本CVE脆弱性は該当しません。


記事公開日:
最終更新日:2024.01.11
FlowmonはCVE-2022-48560の脆弱性の影響を受けますか。

以下の記事によると、当脆弱性はPython 3.7 ~ 3.9が影響を受けるようです。

Flowmonの最新版が使用しているバージョンはPython 3.6.8ですので、Flowmonは当脆弱性の影響を受けません。

https://nvd.nist.gov/vuln/detail/CVE-2022-48560#range-9587267

https://bugs.python.org/issue39421


記事公開日:
最終更新日:2024.01.11
Flowmonは脆弱性CVE-2023-44487の影響を受けますか。

FlowmonはRed Hat Enterprise Linux 7を使用しておりますので、この脆弱性の影響は受けません。

以下のRed hatのサイトをご参照ください。

https://access.redhat.com/security/cve/cve-2023-44487


記事公開日:
最終更新日:2024.01.11
Flowmonは脆弱性(CVE-2023-31122、CVE-2023-43622、CVE-2023-45802)の影響を受けますか。

・CVE-2023-31122 Flowmonはmod_macroモジュールを使用しておりません(無効になっている)ので、

この脆弱性の影響は受けません。

・CVE-2023-43622 HTTP/2 プロトコルをサポートしていないので、この脆弱性の影響は受けません。

・CVE-2023-45802 HTTP/2 プロトコルをサポートしていないので、この脆弱性の影響は受けません。


topへ戻る

チャネル

プロファイルのチャネルについての仕様・機能

記事公開日:
1つのプロファイルに対する登録可能なチャネル数の上限はありますか?

1つのプロファイルに対するチャネル数に制限はありません。
ただし、多数のチャネルやフィルタを設定いたしますとメモリの消費が大きくなり、表示までに時間を要する場合があります。


記事公開日:
最終更新日:2023.05.14
1つのチャネルに設定可能なフィルタ構文量を教えてください。

明確な上限値はありません。
但し、フィルタ構文が増えると解析に時間を要するようになります。


記事公開日:
Interfacename形式で作成したチャネルのフィルタをSNMP interface number形式に変換せずに保存することはできますか?

interfacenameのままフィルタを保存する事はできません。
Flowmonでは、interfacenameはフィルタの記載を容易にするために使用されています。
内部的にはif番号で管理しているため、フィルタリングの結果は変わりませんが、フィルタ自体はif番号(SNMP interface number形式)に変換して保存されます。

【interfacenameで記載したフィルタ例】
router ip 192.168.1.xxx and out sourceport "192.168.1.xxx
(xxxx-sw)":"ethernet1/1"

【if番号に変換されて保存されたフィルタ例】
(flowident "192.168.1.xxx_p3000") and (out if 1)


topへ戻る

バージョンアップ

バージョンアップについての手順・仕様・機能

記事公開日:
パッケージの自動ダウンロードは何時に実行されますか?

10分毎に更新されたパッケージがあるかを確認し、新しいパッケージがあればダウンロードが始まります。
※ユーザマニュアルには1時間毎に行うと記載されていますが、10分毎の誤りです。


記事公開日:
バージョンアップすることで周辺機器への影響はありますか。

基本的には影響はありません。
ただし、バージョンアップ中にFlowmonが再起動される場合がありますので、
ネットワーク監視装置などでFlowmonを監視される場合には、エラーメッセージが表示される可能性があります。


記事公開日:
Flowmonをバージョンアップしたら古いSSHクライアントからSSH接続できなくなりました。

SSHクライアントとFlowmonで許容している新しいSSHサーバの暗号化アルゴリズム(セキュリティレベル)に乖離があるとSSH接続はできなくなります。

Flowmonはセキュリティ対策のため、脆弱性のあるモジュールはバージョンアップ時に対応されます。
仮にお客様がセキュリティレベルの低下を許容される場合でも、Flowmon側では脆弱性のある暗号化アルゴリズムを使用できるように戻すことは許可できませんので、ご利用されているクライアント環境もFlowmonと合わせてバージョンアップすることをご検討ください。


記事公開日:
バージョンアップ時に以下のエラーが表示されました。

"Not a valid Flowmon Package"

本メッセージはインストールされたアップデート用のパッケージが有効なFlowmonのパッケージでは無いという意味ですので、パッケージに何かしらの破損が発生していると考えられます。

「パッケージのインストール」から事前に手動でダウンロードされたアップデート用パッケージファイル適用時に本エラーが発生した場合は、アップデート用のパッケージを再ダウンロード後、再度パッケージのインストールをお試しください。

インターネットにFlowmonが接続されており、自動パッケージダウンロード機能が利用可能な場合は、「使用可能なパッケージ」欄に最新のFlowmon OSが自動ダウンロードされますので、アクション欄のチェックアイコン(☑)をクリックしてインストールをお試しください。
ただし、この方法では国内サポートバージョンよりも新しいバージョンがインストールされる場合がありますので、自動ダウンロードされたパッケージの「バージョン」にはご注意ください。
なお、国内サポートバージョンよりも新しいバージョンは日本語のサポート資料の整備がされていない場合が有りますので、通常よりはサポートにお時間をいただくことがありますが、サポート自体は可能です。


記事公開日:
Flowmon OSをバージョンアップする際に、途中で異常が発生した場合、切り戻しはできますか?

いいえ。
Flowmon OSは一度バージョンアップが正常に完了した場合、バージョンダウンすることはできないため、切り戻しはできません。
なお、バージョンアップ中に不具合を検知した場合は、ロールバック処理が発生し、バージョンアップ前のバージョンに自動的に戻ることが有ります。

バージョンアップ完了後にバージョンダウンを行う必要が発生した場合は、古いOS用のリカバリメディアを使用し、一旦工場出荷状態に戻したうえで、バージョンアップ前のバージョンまでアップデートすることになります。

受信したフロー情報を戻す必要がある場合は事前にシステムバックアップを取得しておく必要が有ります。
※システムバックアップ機能はver11.00.05以降で利用可能です。
※システムバックアップには各種制限が有りますので、詳細は弊社サポートまでお問い合わせください。


topへ戻る

バージョン情報

Flowmonが使用しているソフトウェアのバージョン情報

記事公開日:
Flowmonに使用されているOSおよびそのバージョンを教えてください。

FlowmonOSのバージョンはWeb画面の「Configuration Center」>「バージョン」より確認できます。


記事公開日:
Flowmonに使用されているカーネルのバージョンを教えてください。

FlowmonOSは、LinuxカーネルベースのOSです。CLIで[uname -a]を実行していただくことで、カーネルバージョンを確認できます。


記事公開日:
データベースとして採用しているPostgreSQLのバージョンを教えてください。

CLIで[psql ––version]を実行していただくことで確認できます。


記事公開日:
FlowmonコレクタとFlowmonプローブのバージョンは合わせる必要がありますか?

併せなくてもFlow受信はできますが、バージョンアップにより新規追加された項目などが解析できない為、併せることを推奨します。


記事公開日:
バージョンアップ時の影響を教えてください。

(1)バージョンアップ実行中は自動でFlowmonのサービス再起動が行われる場合があります。
その間のフローデータの収集はできません。
※「サービスの再起動」とは、Flowmonシステムの再起動を指しており、物理的な再起動を意味するものでは有りません。
※お客様にて手動で再起動を行う必要は有りません。
※物理的な再起動ではないため、モニタリングポートなどのLinkdownは発生しません。
サービスの再起動が発生するため「モニタリングセンター」>「解析」にて、グラフの縦棒が数本分欠落する場合があります。

(2)所要時間はデータ量にもよりますが、およそ数分間から数時間を要します。


topへ戻る

パスワード

パスワードについての仕様

記事公開日:
rootユーザのパスワードを教えてください。

rootユーザのパスワードは非公開となっており、弊社にも情報開示がされておりません。


topへ戻る

バックアップ

コンフィグなどのバックアップ、フローデータのアーカイブについての仕様・機能

記事公開日:
Flowmonのバックアップ機能は、冗長化の代替として取得したデータすべてを外部保存する使い方は可能ですか?

可能ですが推奨しておりません。Flowmonのバックアップ機能は、特定期間のデータを上書きされないように外部へ保存するために使用します。


記事公開日:
受信したフローをバックアップするための手順と制限を教えてください。

Flowmonでは、アーカイブ機能が用意されています。プロファイル単位で外部ストレージへの保存に対応しています。本機能は設定を行った日以降に受信したフローデータのアーカイブのみ可能です。過去に受信したデータはアーカイブできませんのでご注意ください。
外部ストレージにアーカイブしているデータをFlowmonに戻すことで解析することは可能ですが、戻したデータ(プロファイル)に再度フローを継続して追加受信することは不可能となります。


記事公開日:
プロファイルバックアップ設定で設定作業日以前のデータのバックアップを取得することはできますか?

設定作業日以前のデータのバックアップを取得することはできません。
プロファイルバックアップ設定は設定を実施したその日以降に受信したフローデータを外部ストレージに保存する機能です。


記事公開日:
外部データストレージへのバックアップするデータ量、バックアップが終わっていないキューが多い場合はどのような動きをしますか?

外部データストレージへのバックアップはシステムに負荷が掛からないように1日分のデータを1件とし、1件ずつ処理を行っていきます。すべての件数を処理するまで24時間バックアップを実行し続けます。


記事公開日:
外部ストレージAにバックアップしたディレクトリの一部を外部ストレージBに移動させることはできますか?

バックアップ時と異なる外部ストレージにバックアップデータを移動させることは可能です。 但し、外部ストレージAのディレクトリ構成を外部ストレージBに同じように作成しないとリストアすることができなくなりますのでご注意ください。また、各プロファイルのルートディレクトリに設定ファイル(.flowmon_backup)が保存されていますので、一緒にコピーしてください。

Flowmonの外部ストレージのディレクトリ構造は以下のようになっています。この構成を維持する必要があります。
プロファイル名/チャネル名/年/月/日

例)
 外部ストレージA :/backup/live-564DEE6F/172-16-1-10_p3000/2020/01/01/
  ※太字部分のディレクトリをそのまま外部ストレージBにも作成します。

 外部ストレージB :/backup/live-564DEE6F/172-16-1-10_p3000/2020/01/01/

Flowmonに接続できる外部ストレージは1台までですので、外部ストレージBに移動したバックアップデータをFlowmonにリストアするときは、外部ストレージBをFlowonの外部ストレージとして再設定してからリストアを実行してください。


topへ戻る

プリセット

記事公開日:
Offline環境で Flowmon を操作する場合、プリセットを手動で更新することは可能ですか。

仕様上、Offline環境でプリセットを手動で使用・更新することはできません。
プリセットの更新を行う場合はインターネット接続が必要です。


記事公開日:
プリセットはどのくらいの頻度で更新されますか?

■Flowmon側の更新頻度について
Flowmonは、12時間おきにサービスポータルをチェックし、新規または更新されたプリセットがあれば自動的に更新を行います。また、ページ下部の[更新]をクリックすると、このバージョンで利用可能なすべてのプリセットが更新されます。

■サービスポータル側の更新頻度について
開発元がサービスポータルにて公開しているプリセットの定義内容の変更を確認する間隔は不定期です。
なお、お客様より定義内容の変更をご連絡いただいた際にもプリセットの更新を実施しております。


topへ戻る

フロー

フローについての仕様・機能

記事公開日:
最終更新日:2021.06.28
Flowmonコレクタで対応しているフローは何ですか?
対応しているフローは以下のフローとなります。
  • sFlow
  • NetFlowV5
  • NetFlowV7
  • NetFlowV9
  • IPFIX
  • NSOL
  • jFlow
  • NetStream
  • cFlowd

記事公開日:
ホスト名を含んだFlowをFlowmonコレクタで生成することはできますか?

ホスト名を含んだFlowを生成するためにはFlowmonプローブが必要です。
但し、仮想版のFlowmonコレクタに限り、モニタリングポートが2ポート備わっており、Flowmonプローブと同様に[Configuration Center] > [モニタリングポート] の設定を行うことでFlowを生成することが可能です。


記事公開日:
仮想化基盤上でFlowmonのモニタリングポートを利用してフローを生成する設定をしていますが、フローが作成されません。

Flowmon宛て以外の通信をFlowmonが受信できるように仮想化基盤(Vmware/Hyper-V)を設定している必要が有ります。
仮想化基盤上の仮想スイッチがプロミスキャス・モード(promiscuous mode)に設定されているかを確認してください。


記事公開日:
sFlowとNetFlowではFlowmonの処理の仕方は異なりますか?

sFlowとNetFlowの処理の仕方は異なります。
sFlowの場合は受信したフロー内のバイトカウントがサンプリング値倍されます。
例えばバイトカウント100のsFlowを受信し、サンプリング値1000とすると、実バイト数は100×1000=100000 としてトラフィック量が計算されます。
一方のNetflowでは実データのバイトカウントが入っていますので、その値をそのまま使用してトラフィック量が計算されます。


記事公開日:
flowmon monitoring centerの解析における、"フロー"はどのように算出された値ですか?

フローとは、ネットワーク上を流れる共通の属性をもったパケットグループに類するものであり、送信元/送信先IPアドレス、送信元/送信先ポート番号、プロトコル番号などの属性に従って同属性の組み合わせであれば同一のフローとみなして集約します。

例えば、ユーザーがサーバにファイルをアップロードした場合の処理は1フローと見なされます。

なお、厳密には以下のような例外がありますので、必ずしも同一属性の通信が1つに集約されるとは限りません。
  • アクティブタイムアウトに指定した時間以上継続して通信されている場合は途中でフローを分割します。
  • パケットを貯めてフローとして集約するバッファの容量が超える場合は一旦、それまでの情報でフローを生成するため、フローは分割されることがあります。


記事公開日:
NetFlow v5で受信したフローを別製品のコレクタに転送した場合、どのように処理されますか?

Flowmonコレクタの転送機能を使用してNetFlow v9のプロトコルで転送することを想定しています。

NetFlow v5に設定されている情報が、NetFlow v9で利用されるテンプレートに組み替えられ、NetFlow v9として転送されます。
元々無い情報が追加されるといった事はありません。


記事公開日:
sFlowに対応した機器を追加する際に、Flowmon側で設定変更は必要ですか。

いいえ、Flowmon側で設定を変更する必要はありません。
sFlowはパケットをサンプリングして、Flowが生成されますが、
Flowmonでは通常、受信したフローからサンプリングを検出し、それらを自動的に認識します。


記事公開日:
tcpdumpコマンドで指定するネットワークインターフェースは、flowmonの管理インターフェース1を指定する認識で合っていますでしょうか?
ちなみに「Configuration Center > 概要」のネットワークインターフェースの表中は以下のようになっています。

インターフェース   タイプ                        IPアドレス
Eth0              管理インターフェース1         xxx.xxx.xxx.xxx
Eth1              管理インターフェース2         なし
Eth2              モニタリングインターフェース   なし
Eth3              モニタリングインターフェース   なし

上記の表ではご利用のFlowmonコレクタ(IPアドレスxxx.xxx.xxx.xxx)が「eth0」インターフェースより Flowを受信していることが分かりますためお客様のご認識の通り、tcpdumpコマンドで指定するネットワークインターフェースは「eth0」となります。

FlowはFlowソースのFlow送信先に書かれたIPアドレスを持つインターフェースに届きます。 そのIPアドレスを持ったインターフェースでキャプチャをする必要があるため、tcpdumpコマンドにそのインターフェース(今回の場合は「eth0」)を指定する必要があります。


記事公開日:
最終更新日:2023.04.13
NW機器でFlowmonにフローを送信するように設定を追加しましたが、Flowmonのソース画面ではデータが表示されません。

NW機器からFlowmonへの通信がブロックされている場合、ソースタブにフローデータが流れてこないとなることが考えられます。
そのため、例えば、以下のような経路となっている場合、
ファイアウォールがNW機器からFlowmonへの通信がブロックされていないかご確認ください。
NW機器 ⇒ ファイアウォール ⇒ Flowmon

ファイアウォールでブロックされるケースは以下のケースが考えられます。
1.フローソースのIPアドレス単位でブロックされた
2.フローソースのポート番号単位でブロックされた(SNMPのみ、ソース転送用の3000/UDPのみなど)


記事公開日:
最終更新日:2023.04.13
FlowmonはIPIPトンネリング間でパケットをフロー処理するか(パケット⇒フローへ変換できるか)

FlowmonプローブはIPIPトラフィックを標準のL3トラフィックとしてサポートしているためパケットをフロー処理することが可能です。

カプセル化を解除せずにトラフィックからフローがエクスポートされますが、 Configuration Center>モニタリングポート>高度な解析>トンネルプロトコルのカプセル化解除 にて、「4in6」を選択することでトラフィックのカプセル化を解除することも可能です。


記事公開日:
最終更新日:2023.04.13
「ONUとFW間」などのONUとNW機器の間にアグリケーションタップを挟んで測定した場合、上手く測定できないなどの制約は生じますか?

FlowmonではONUとNW機器の間にアグリゲーションタップを挟んでデータを取得する場合の制限はなく、タップがプローブにIPトラフィックを送ることが出来ていれば、フローを監視することが可能です。


記事公開日:
最終更新日:2023.09.15
フローを出力するCisco機器のサンプルコンフィグなどをファームウェアごとに提供していただくことは可能でしょうか?

弊社検証環境において検証を行っております。
c3850のサンプルコンフィグであればご提供可能ですが、それ以外の情報につきましてはNW機器ベンダーにお問い合わせください。


記事公開日:
最終更新日:2023.09.15
Cisco flexibleネットフローでもL7情報での収集可能ですか?

一部ハイエンドのCisco製品にてL7情報の取得は可能です。
ただし、Cisco製品でFlow生成が可能でも、Flowmon側でそのフィールドに対応していないと解析はできないため、確認が必要です。


記事公開日:
最終更新日:2023.09.15
複数のルータやスイッチでnetflowを取得した場合、通信経路(どのルータ・スイッチを経由したか)を確認することは可能でしょうか?

Flow情報には経路情報は含まれないため、詳細に解析を行うことは難しいです。


記事公開日:
最終更新日:2023.09.15
NetFlowとIPFIXであればどちらが良いのですか?

NetFlowVer9/IPFIXをご利用ください。
sFlowはサンプリングが必須の規格となりますので、情報精度がノンサンプリングのFlowに比べ劣る傾向があります。
ネットワーク機器にてFlow生成を行う場合、NetFlowVer9/IPFIXは結果的に可視化できる項目にそれほど差はございませんが、Probeをご利用の場合は、Flowmon独自拡張領域の可視化が可能になるため、可視化可能項目がより増加します。


記事公開日:
最終更新日:2023.09.15
Flexible NetFlowを用いたフロー採取だと思いますが、対応しているmatch条件、collect条件は何があるか、制約事項はあるかといった情報は貴社サイトのどこを見れば分かりますか?
または貴社の構築マニュアルには記載がありますか?

Flow生成の手順を記載しているドキュメントに、検証環境にあるスイッチ(C3850)のコマンドであれば記載をしておりますが、条件については、ネットワーク機器の仕様によって異なります。
ルータやスイッチでも設定可能な項目が異なりますので、弊社では詳細な情報まで把握をできておりません。
詳細情報につきましてはネットワーク機器ベンダーへお問い合わせください。


記事公開日:
最終更新日:2023.09.15
AVC (Application Visibility and Control) には対応していますか?

対応しております。
AVCによってSRTやRTT、遅延値などのネットワーク遅延情報を可視化することが可能になります。


記事公開日:
最終更新日:2023.09.15
フロー情報を採取する箇所(flow monitorを設定する箇所)ですが、インターフェースでもVLANでも構いませんか?
また、Access(Untag),Trunk(tag),PortChannel(LAG)やそのメンバポートであってもフロー情報を採取出来ますか?

コレクタはどのインターフェースでFlow生成をいただいてもFlowデータの受信は可能ですが、ネットワーク機器によってはFlowモニターの設定を適用できない可能性がございます。
詳細情報につきましてはネットワーク機器ベンダーへお問い合わせください。


記事公開日:
最終更新日:2023.09.15
フロー情報を採取する装置はどれにしたら良いですか?

Flow収集ポイントを通過したトラフィックをFlow生成しますので、コアスイッチと末端スイッチで同じトラフィックが通る場合は、トラフィックが重複し収集されます。
そのため、コアスイッチのみでFlowを収集することが一般的です。
ただしこの場合、末端スイッチで折り返すような通信が発生した場合にはトラフィックが取得できなくなりますのでご留意ください。


記事公開日:
Cisco NBARを使用したフロー詳細情報に対応しているか

統計基準からNBAR2を選択することでアプリケーションタグ、アプリケーションID、アプリケーションエンジンIDを解析可能です。
Flowmon内でアプリケーションID等のリストを保持しているため、解析結果にはアプリケーション名等をリネームして表示します。


topへ戻る

フローソース

フローソースについての仕様・機能

記事公開日:
最終更新日:2021.03.29
監視対象のデバイス/インターフェースがFlowmon上で見えない場合、Flowmonは正常に動作していることを説明できる切り分け方法を教えてください。

Flowmonでは、監視対象ではなく、フローソースと呼びます。
Flowmonは、Netflowを待ち受けている状態となります。
フローソースが見えない場合には、Netflowが受信出来ていない可能性がありますので、フローソースの設定を確認してください。
もともと見えていたフローソースが見えなくなった場合には、フローソースからNetflowが送信されているかを確認してください。
フローソースがNetflowを送信しているにも関わらず、Flowmonで受信できていない場合には、見えていないソースを指定した画面キャプチャ、パケットキャプチャ(PCAP)、フロー一覧をサポートまで送付ください。


記事公開日:
フローソースのリプレースを行う場合、Flowmonの設定変更は必要ですか?
リプレース条件は以下のとおりです。

  • IPアドレス:引き継ぐ
  • Netflowのバージョン:v5からv9に変更

「Cofiguration Center」>「FMC設定」>「リスニングポート」に設定されているポート番号とフローソース側のFlowmonへのフロー送信先ポート番号の設定が同じであれば、変更の必要はありません。

異なるポート番号で受けているようでしたら、同設定画面の「+ 新しいリスニングポート」でリスニングポートを追加してください。


記事公開日:
最終更新日:2023.08.26
Flowmonのソース一覧に表示されるIPアドレスは何を基に表示していますか?
ルータに誤ったsflow-agent-addresを設定していましたが、Flowmonには正しいIPアドレスが表示されています。

ソース一覧にはフローソースがFlowmonへの送信に使用したIPアドレスが表示されています。
フローソース側でフローの送信に使用するIPアドレスとしてsflow-agent-addresに設定したアドレスが使用されるか、その他のアドレスが使用されるかはフローソース側の実装により異なりますので、詳細はフローソース機器メーカにご確認ください。


記事公開日:
フローソースのインタフェース情報はSNMPのどの情報を取得して表示していますか?

フローソースのインタフェース情報は最初にifAliasを取得します。
設定されていない場合はifDescrを取得し、それも設定されていなければポート名は「port <ifIndex>」として表示されます。
ifNameは現在使われていないため、ifNameのみにインタフェース情報が記載されている機器は、正しいインタフェース情報を表示することができません。なお、ifNameは今後対応を検討中です。


記事公開日:
フローソースのリプレースを行う場合、同じIPアドレスを設定すれば、同一ソースとして認識されますか。
また作成済みのプロファイルで生成されるグラフは継続して生成されますか。

フローソースをリプレースした場合でも、IPアドレスが同一であれば、同一ソースとして認識されます。
作成済みのプロファイルは、プロファイル作成時に、インターフェース単位でフィルタをかけている場合、グラフが継続されない可能性があります。
これはフローソース側のifindex情報が変わってしまう可能性がある為です。
その場合は、プロファイルのフィルタに対して、ifindex情報の変更を反映する必要があります。
なお、FlowmonにSNMPを用いてインターフェース情報を取得する設定をしていてもプロファイルには自動反映されませんのでご注意ください。


記事公開日:
Flowmonは、Fortigate機器が生成したフローの収集は可能ですか?

利用されているFortigate機器がsFlow/Netflowの生成に対応している場合、且つ、Fortigate機器が生成したフローがFlowmonでサポートしているフローのフィールドの場合、フローの収集が可能です。

Flowmonが対応しているフローのフィールドは英語のドキュメントとなりますが、以下を参照してください。
https://support.kemptechnologies.com/hc/en-us/articles/4405949707789-Flow-standards-specifications

※Fortigate機器の対応状況はバージョンや機種により異なりますので、詳細な情報はFortigate社にご確認ください。


記事公開日:
いくつかのソースで正常に情報を取得できない場合、すでに追加されているソースに対して、一括で再度SNMPのライブチェック(ホスト名などの情報を取りに行かせる)ことはコマンドで可能ですか。

コマンドで一括して再取得できます。
CLIより以下を実施してください。

/usr/bin/php /var/www/shtml/index.php Cli:UpdateSources


記事公開日:
手動でSNMP情報を更新する方法を教えてください。

Monitoring Center>ソース>該当のソースの「編集」をクリック>「更新」をクリック することでSNMP情報を更新することが可能です。


記事公開日:
インターフェース毎のトラフィックのデータを取得できません。

インターフェース毎のトラフィックデータ(フロー)が確認できない主な原因は、 NW機器にて生成されたフローがNetFlow v9の場合、「INPUT_SNMP」と「OUTPUT_SNMP」のフィールドが含まれていないことが考えられます。
(NetFlow v9以外の場合は「input」と「output」です)

以下の手順で、NW機器で生成されたフローに「INPUT_SNMP」と「OUTPUT_SNMP」のフィールドが含まれているかご確認してください。

Monitoring Center>解析>高度な解析>統計情報にて、
統計情報:IP通信
集約:SNMP入力インタフェース数、SNMP出力インタフェース数

解析結果のSNMP入力インタフェース数、SNMP出力インタフェース数に「0」を表示された場合は、 フローに「INPUT_SNMP」と「OUTPUT_SNMP」のフィールドが含まれていませんので、 NW機器にて2つのフィールドを含めるように設定を変更してください。
NW機器の設定方法はNW機器のベンダーに確認してください。


記事公開日:
WANからLANへの通信のHTTPホスト名や RTTやSRTのNPM情報が取得できないの場合に考えられる原因はありますか?

Configuration Center >モニタリングポート>グローバル設定>高度な解析 の「有効化されたL2フィールドをNetFlow IDに追加する」が有効になっている場合は無効にしてください。

本設定は通信中のネットフローで MAC アドレスの変更を検出する必要がある特別な場合(例えば、ロードバランサーや同様のアプライアンスがネットワークに導入されている場合など)に有効にしますが、この設定はフローを変更(SRC IP、DST IP、SRCポート、DSTポート、L4プロトコルをMACアドレスごとに拡張)するため、一部の NPM メトリクスが含まれなくなる場合があるためです。


記事公開日:
最終更新日:2023.04.13
利用しているNW機器の更改を予定します。
フローデータを受信する為にFlowmon側で事前設定が必要ですか?

旧スイッチのIPアドレスと新スイッチのIPアドレスが同じで、フローデータをFlowmonに送信するためのポートも同じ場合は、同一ソースとして認識されますので、Flowmon側で事前設定する必要はありません。

しかし、使用するポート番号が異なる場合は、Configuration Center>FMC設定>リスニングポート>「新しいリスニングポート」にて新しいスイッチが使用するポート番号を追加してください。
※リスニングポートはフローを受信するためのポートです。
※Flowmonは、デフォルトで4つのリスニングポート(3000,2055,9996,6343)が登録されております。

NW機器の更改後についての注意点:
・NW機器の更改後の新しいフローソースが作成するFlowの内容がNW機器の更改前と同じか、フローソースの仕様及び設定を確認してください。 特にトラフィックはFlowの「バイト」フィールドを使用しますが、Netflow9の仕様では以下の二つのIDがバイトの転送用に定義されています。
ID 1 (octetDeltaCount)・・・Flowmon対応
ID 352 (layer2OctetDeltaCount)・・・Flowmon非対応
ID 352のlayer2OctetDeltaCountについてはFlowmonは対応していませんので、 ID 1 octetDeltaCountを使用してFlowを生成するようにフローソース側が設定されているかご確認ください。

・プロファイルにインターフェース単位でフィルタをかけている場合、データが取得できなくなる可能性があります。これはフローソース側のifindex情報が変わってしまう可能性がある為です。
その場合は、プロファイルのフィルタに対して、ifindex情報の変更を反映する必要があります。 なお、FlowmonにSNMPを用いてインターフェース情報を取得する設定をしていてもプロファイルには自動反映されませんのでご注意ください。


記事公開日:
最終更新日:2024.01.10
新たにプロファイルを作成しようとしたところ、
「登録できる上限数に達しました。」というメッセージが表示されました。
作成できるプロファイルの上限数を上げることが可能ですか?

ユーザが任意に作成するプロファイルに制限はありませんが、ソースプロファイルには制限があります。
現在使用しているソースプロファイル数と設定されている上限数は、Monitoring Center>ソース画面上部に記載されている[合計ソース]で確認ができます。

ソースプロファイルは最大2000件まで登録ができますが、
デフォルトでは上限が100件に設定されています。

必要に応じてMonitoring Center>ソース画面右上の[ソースデフォルトの編集]>プロファイルされたソースの最大数で上限値の設定の変更を実施してください。
※プロファイルされたインターフェースの最大数が、プロファイルされたソースの最大数より大きい必要があります。


topへ戻る

プロファイル

プロファイルについての仕様・機能

記事公開日:
新規追加したプロファイルが他のログインユーザから見えません。
他のユーザとプロファイルを共有する方法を教えてください。

プロファイルを新規作成した場合、プロファイルを作成したユーザと異なる権限のユーザには追加したプロファイルに対しての権限が付与されません。

「Configuration Center」 >「システム」 >「ユーザ設定」>「役割」にて、プロファイルを共有したいユーザに対して、プロファイルに対しての権限を追加することにより、確認可能になります。

また役割を「フルアクセス」にすることで、上記対応をせずとも異なる権限のユーザが作成したプロファイルを確認する事が可能ですが、「フルアクセス」は名前の通り、全ての権限を持つことになりますので付与には注意が必要です。


記事公開日:
1つのプロファイルに登録可能なインターフェース数を教えてください。

明確な上限値はありません。


記事公開日:
プロファイルの表示順番を変える方法は有りますか?

Flowmonにはプロファイルの表示順番を変える機能は有りません。
表示順番を希望とおりに並べるためには、プロファイル作成時に内部名を意識して作成いただく必要があります。
既に作成済のプロファイルの表示順番を並び変えたい場合はプロファイルを作成し直していただくことになります。

Flowmonの仕様として、プロファイル名は内部名と表示上の名前(GUIで設定したプロファイル名)の2つで管理されています。
表示上の名前は内部名のABC順で表示されており、内部名は後から変更することができません。
内部名は表示上の名前を英数字6文字で設定しますと、設定した値 + 乱数にて一意になるように生成されます。
この仕様を利用し、最初にプロファイルを作成する際に、アルファベットと数字でプロファイルを作成し、 作成後に名前を変更することで任意の順に表示させることが可能となります。

作成例は以下のとおりです。

(例)
内部名  表示上の名前
A00100   北海道
A00200   東京
A00300   大阪

プロファイル作成時に、上記の"内部名"のようにアルファベット+数字でプロファイル名を作成します。
作成後に"表示上の名前"のように漢字や平仮名へ変更します。
また、後から東京と大阪の間に名古屋を追加されたい場合は、内部名A00150で作成し、名古屋に名前を変えれば順番を後からでも制御することができます。


記事公開日:
プロファイルのグループ名の変更方法を教えてください。

プロファイルのグループ名を変更するためには別のグループに移動させることで対応します。

新しいグループ名に変更する場合は最初にグループを以下の方法で作成します。
Monitoring center > プロファイル > プロファイルの編集 > 変更したいプロファイルの「編集」をクリック。
「グループ」から「--新しいグループを作成--」 を選択し、新しいグループの名前を記入して、保存します。

グループに複数のプロファイルが登録されている場合は2個目以降は「グループ」から作成済のグループ名を選択しします。
プロファイルをすべて変更したいグループに移動すると、元のグループは削除されます。

グループの移動は保存されているデータ量によっては時間がかかる可能性がありますので、ご注意ください。


記事公開日:
編集したプロファイルを上書き保存することができません。

プロファイルの編集を行った場合、上書き保存できる項目と上書き保存できない項目があります。

以下の項目を編集すると上書き保存ができず、新規保存が必要なものは以下のとおりです。
・親プロファイルの変更
・開始日の変更
・粒度の変更


記事公開日:
1プロファイルに保存できるデータ量に上限は有りますか?

はい。
保存できるデータは以下のような仕様/設定により、上限が決まります。
・5分単位のプロファイル
 5分単位のフローデータおよびグラフ : 6カ月間
 1日単位のフローデータおよびグラフ : 5年間

・1分単位のプロファイル
 1分単位のフローデータおよびグラフ : 1カ月間
 1日単位のフローデータおよびグラフ : 1年間

・30秒単位のプロファイル
 1分単位のフローデータおよびグラフ : 1カ月間
 1日単位のフローデータおよびグラフ : 1年間


記事公開日:
プロファイルの保存期間を変更した場合、及びプロファイルのクォータ設定を削減した場合、溜まっているデータが削除されるタイミングはいつになりますか。

溜まっているデータが削除されるタイミングは「保存」ボタンを押した時です。
「保存」ボタンを押すと同時に古いデータの削除が始まります。
削除するデータ量によっては完全に削除が終わるまで、多少時間が掛かる場合があります。


記事公開日:
クォータ変更を実施したいのですが、シャドウプロファイルでも変更できますか。

シャドウプロファイルは実際にはディスクに領域を持たず、
親プロファイルとして設定されている実プロファイルを参照しているだけですので
クォータという概念がなくクォータの変更はできません。


記事公開日:
プロファイルのデータがクォータ設定や保存期間の設定にて削除された場合でも、親プロファイルにデータが保存されている場合はグラフの表示やデータの解析は可能ですか。

はい、可能です。
親プロファイルのデータが残っている限り、子プロファイルのデータが消えている期間でも親プロファイルからデータを取得できるため閲覧、解析が可能です。

しかし、以下の注意点があります。

  • 親プロファイルからデータを取得する場合、子プロファイル自体がデータを保有している時よりデータの表示や解析に時間がかかります。
    なぜならば、都度親プロファイルからデータを抽出するため、シャドウプロファイルと同様の動きになり 実プロファイルで作成していてもシャドウプロファイルと同等の表示や解析の速度になるためです。
  • 親プロファイルからデータを抽出するため ユーザーに親プロファイルへのアクセス権限が割り当てられている必要があります。
    ユーザーにプロファイルへのアクセスを制限をしている場合は、Configuration Center>システム>ユーザ設定>役割 にて該当の役割の、FMCタブの「割り当てられているプロファイル」に親プロファイルを追加してください。


記事公開日:
ユーザAが、「C」というプロファイルの一部のチャネルを表示しない設定をします。 この時、他のユーザBからは「C」というプロファイルを見ると全てのチャネルが表示されますか?

回答
ユーザAで設定した非表示のチャンネルは他のユーザBには影響せず、全てのチャネルが表示されます。

詳しくは以下になります。
※前提としてuserAとuserBは同じ役割(権限)を持っているものとします。
userAにおいて、「DNS Query Type」というプロファイルの一部のチャネルを表示しないを設定にします。
※「DNS Query Type」プロファイルは6つのチャネルがあり、4つのチャネルを表示するよう設定を変更します。
userBから「DNS Query Type」プロファイルを見ると全てのチャネルが表示されます。
よって、userAで設定した非表示のチャンネルはUserBの設定には引き継がれないことが確認できます。


記事公開日:
Office365等の任意のクラウドアプリケーションについて、サービス毎にトラフィック確認する方法を教えてください。

プリセット機能を使用することで、Office365のクラウドアプリケーションのサービス毎にトラフィックを確認するプロファイルやレポートを自動作成することができます。
なお、クラウドアプリケーションのサービス毎にトラフィックを確認できるのはプリセットに事前に登録されているものに限ります。
プリセットに登録されていないクラウドアプリケーションについてはフィルタに必要な情報を通信要件などから調べ、手動でプロファイル等を作成することでトラフィックを確認することができます。

プリセットの設定方法や注意点は以下を参照してください。

【Office365のプリセットを使用するための前提条件】
  • 本プリセットはHTTPホスト名の情報を使用するためホスト名でのフィルタを有効にしたい場合は、フローデータを生成する時にHTTPホスト名を含めている必要があります。
  • 本プリセットのレポートのチャプタの作成をする場合、フローデータを生成する際にAS番号を含めている必要があります。
  • HTTPホスト名のフローを生成できるネットワーク機器メーカは CISCO, Gigamon, IXIA, OneAccess, Flowmon(Probe)の対応製品のみです。
    ※前提条件はプリセットによって異なりますので、各プリセットをクリックし、「技術的な詳細」より、英語となりますが必要条件や詳細を確認してください。

【プリセットの設定手順】
  1. Dashboard and Reports>設定>プリセット>Office 365 の「選択」をクリック
  2. 「インストールに進む」をクリックする
  3. 「ユーザに進む」をクリックする
  4. プリセットが適用されるユーザを選択する
  5. 「設定に進む」をクリックする
  6. 「プロファイルオプションを設定」画面にて各種設定
  7. 「コンテンツに進む」をクリックする
  8. 「インポートする対象のプリセットのコンテンツを選択」画面にて作成したいプリセットの項目を選択してください。
  9. 「インストール」をクリックする
     プリセットの作成が開始されます。
  10. 作成が完了したら「完了」をクリックする
    上記の設定の手順8でプロファイルやレポートを選択することで、Office365のプロファイルやレポートが作成されます。
    例えば、プロファイルですとMonitoring Center>プロファイル にてOffice365のプロファイルが作成され、データの参照が可能となります。

【プリセットの注意点】
プリセット画面の下部にある更新ボタンをクリックすることによってプリセット自体は更新されることがあります。
※各プリセットをクリックした「追加情報」の「作成日」よりご確認いただけます。
但し、あくまでもプリセットのテンプレートが更新されているだけで作成済のプロファイルなどには反映されませんのでそれらは手動で更新する必要がございます。
プリセットで作成したプロファイルなどの更新を手動で行うには上記の【プリセットの設定手順】に従い、再度適用することで更新できます。
また、プリセットについての詳細はFlowmon GUIの右上にある「?」よりユーザガイドの「4.11 プリセット」を参照してください。
なお、Ver11ではCoufiguration Centerのプリセットでも上記と同様に設定が可能ですが、v12ではCoufiguration Centerのプリセットがなくなり、Dashboard and Reportsに移行されますので、Dashboard and Reportsにてプリセットを設定することを推奨します。


記事公開日:
Flowmonにおいて、IPv6 RA フローを抽出するフィルタの記述内容を教えてください。

IPv6 RA のフローはマルチキャストアドレス(ff02::1、ff02::2)でフィルタリングすることで、抽出することができます。
詳細な方法は以下のとおりです。
Monitoring Center>解析>高度な解析にて以下を設定して解析を実行してください。
期間:解析したい期間を指定します。
統計基準:IP通信
集約:送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポートIPプロトコル
フィルタ:ip in [ff02::1 ff02::2]

  • ※  ff02::1 とはルータアドバタイズメントであり、RSを受信したときに応答するメッセージです。
  • ※  ff02::2 とはルータ要請であり、IPv6対応ホストが、IPv6対応ルータに送信するメッセージです。


記事公開日:
最終更新日:2023.04.13
プロファイル登録時のチャネル設定にてチャネルのフィルタは、srcとdstのNWアドレスを記載してます。
このNWアドレスを誤って記載した場合にFlowmonへの影響を教えてください。
誤り例
・172.16.247.128/18 (NWアドレス誤り)
・172.16.247/18   (第4オクテット無し)

影響
・トラフィック表示にどのような影響が生じますか
・CPUやメモリ等のリソースへ影響ありますか

Flowmonはネットマスクが正しいという前提で、ネットワークアドレスが自動的に修正されます。
172.16.247.128/18は 172.16.0.0/18 として解釈されます。
172.16.247/18のような第4オクテット無しの場合は、 172.16.0.0/18 が正しいネットワークアドレスとして自動修正して解釈されます。
また、ネットワークアドレスが自動的に修正されても、Flowmonの負荷はかかりません。


記事公開日:
最終更新日:2023.07.04
旧ソースIPと新ソースIPの2つのソースIPを統合して1つのプロファイルにすることはできますか?

可能です。親プロファイルをAll Sourcesにしてすべてのソースを対象にしている場合は、
新ソースが追加されても特に対応は不要です。
しかし、特定のソースで限定してプロファイルを作成している場合は、新ソースを追加してプロファイルを作成し直す必要があります。
以下の手順で2つのソースIPのデータを1つのプロファイルに統合できます。

1.Monitoring Center>プロファイル>プロファイルの編集 にて「新しいプロファイル」をクリック
 ・親プロファイル:All SourcesなどのIPアドレスの変更前後のソースが入っているプロファイルを指定してください
 ・開始日:統合を開始したい日時を設定してください
 ・「継続プロファイル」にチェックを入れてください

2.「新しいチャネル」をクリックしてください
 ・フィルタ:既存のプロファイルと同様のフィルタを入力してください
 ・親チャネル:変更前後のIPアドレスのチャネルを選択してください

3.保存してください


記事公開日:
最終更新日:2023.07.04
nfsenに格納されているnfcapdデータは、他のツールでも見えますか。

nfcapdファイルは単なるバイナリファイルであるため、ファイルを保護する暗号化の機能はありません。
しかしFlowmonでは、nfcapdファイルの構造は、Flowmon以外の標準のnfcapdファイルと比較すると大幅に変更されているため、公開されている nfdumpツールで読み取り/アクセスすることはできません。


記事公開日:
最終更新日:2023.07.04
プロファイル作成時、プロファイルのグラフデータがどのくらい使用されるか教えてください。

プロファイルが作成された場合、5分プロファイルは1チャネルにつき31MBのグラフデータを使用し、 30秒/1分プロファイルは1チャネルにつき17MBのグラフデータを使用します。
しかし上記は切り上げられた値であり、切り上げ前の値は5分プロファイルは30.52 MB、30秒/1分プロファイルは16.33 MBです。
Monitoring Center>プロファイル>プロファイルの編集 画面では切り上げられた後の値が表示されます。

ディスク上の実サイズは切り上げ前の値であり、
Configuration Center>リソースマネージャ>クォータ管理 画面の「FMCプロファイルのグラフデータ」にも切り上げ前の実サイズが表示されます。

例えば、10チャネルの場合はプロファイルの編集画面では310MBと表示されますが、
リソースマネージャの画面では305.2MBと表示されます。


記事公開日:
最終更新日:2024.01.11
ソースをプロファイル化した後、「送信元の詳細」にて任意のインターフェース選択し(All Portsは外す)保存をすると、未プロファイルに戻ってしまいます。

All Portsの選択を外したことで発生する事象と考えられます。 任意のインターフェース選択する場合はAll Portsの選択を外さずに保存してください。

All Portsを解析時に表示させる必要がない場合は、 Monitoring Center>解析の上部に表示されるグラフ右下の「表示されているチャネルの変更」にて All Portsの選択を外してください。


記事公開日:
最終更新日:2024.01.11
表示されるプロファイルの順序は名称変更などによって変更されますか。 並び順の仕様は50音順のソートですか。

プロファイル名はユーザが設定を行った名前でソートされますので、

プロファイル名を変更/修正した場合、順番が変わる可能性があります。

また、漢字や平仮名を使った名称を付けた場合、意図しない順番で表示される可能性があります。※Flowmonに登録されている漢字の読み方が、日本語の正しい読み方と一致してるかは不明なため

漢字や平仮名を使用する場合は、プロファイル名の先頭に英数字(数字>大文字>小文字の順)を記載することで、任意の順番で表示をすることが可能です。


記事公開日:
最終更新日:2024.01.18
30秒粒度のプロファイルで運用をする場合は、アクティブタイマーも30秒にした方がよいですか。

正しくグラフを表示させるため、プロファイルの粒度とアクティブタイマーの時間は合わせていただく必要があります。

グラフの表示間隔より長い時間を設定するとそれまでの全トラフィックが一括して送信され、 受信した一つの表示間隔に集中して表示され過大なトラフィック表示となります。 逆に、このタイマーが小さい場合、頻繁にトラフィックをコレクタに送ることとなり、機器のパフォーマンスに影響します。 ※グラフ表示に影響はありませんが、Flow数が増加する分、保存期間が短くなり、機器の負荷が上がる可能性があります。

よって、30秒粒度のプロファイルで運用する場合はアクティブタイマーも30秒にしていただくことを推奨します。


記事公開日:
最終更新日:2024.01.18
プロファイルのIDの確認方法はありますか。

プロファイルのIDの確認方法は2つあります。

1.REST API、FMC analysis profilesにてGETをしていただき、”id”よりプロファイルのIDをご確認ください。                  

2.GUIにて同じプロファイルをマウスオーバーしていただきますと、ポップアップにて内部名が表示されます。  内部名はプロファイルのIDと同様ですので、こちらをご確認ください。


topへ戻る

メッセージ

SyslogやエラーメッセージなどFlowmonが出力するメッセージについての対応方法・仕様・機能

記事公開日:
下記のようなメッセージが出力されました。どのような対応をとればよいですか?

Your hard disk needs a consistency check, please go to Configuration Center -> System -> Maintenance and press Reboot & Check disk button.

又は

ハードディスクの一貫性のチェックが必要です

本システムメッセージは、FlowmonのベースOSであるLinuxが起動後180日を過ぎると自動的に表示するファイルチェックを要請するメッセージです。
※起動後というのは、開発元にてお客様の機器を初めて起動した日を起算日としています。
(電源OFF/通電停止後に時間カウントがリセットされるわけではございません。)

チェックディスクを行うか、メッセージを削除するまでは表示されて参りますので、Flowmonの状況に問題がなければ、お手数ですが都度「システムメッセージ」の一覧にて削除してください。

ディスクチェックを行う場合は、「Configuration Center」 >「システム」 >「メンテナンス」タブの「システム電源の管理」にて「再起動とチェックディスク」をクリックしていただければ実行することが可能です。

再起動及びチェックディスク中はFlowの生成及び収集は行われず、その期間のグラフも途切れて表示されますので、定期的に行うのではなく、ディスク上にご心配な点があった場合に行っていただく運用で問題ありません。

再起動の所要時間はディスクサイズやデータ量に応じて異なりますが、おおよそ10分~数時間程度となります。

なお、ほとんどの場合「ディスクの再起動とチェック」を実施する必要はないため、ver.12.01.00以降は本メッセージは表示されないように改善されております。


記事公開日:
Flowmonから以下のメッセージが表示されます。
このメッセージの意味を教えてください。

「Cannot validate ”services” server certificate: Failed connect to services. Flowmon.com:443; Connection timed out. New update packages will not be downloaded and other remote services will not work.」

本メッセージは、Flowmonがインターネットに接続していないなど
Flowmon社のサーバと通信することができず、アップデートパッケージが入手できないことを意味しています。
継続して発生していない限り、問題ありません。


記事公開日:
ソースプロファイルの解析中にリソース不足で解析を中止した旨のメッセージが表示されます。

ソースプロファイルはシャドープロファイルとして作成されています。
シャドープロファイルの検索には以下の理由により、大量のメモリを使用する場合がありますので、リソース不足が発生した場合は検索対象を限定したリアルプロファイルの作成を検討してください。

シャドープロファイルは実体がなく、AllSources全体を検索することになります。ディスクに保存しているデータは圧縮されていますのでメモリに展開時には3倍程度に膨れ上がります。


記事公開日:
下記のようなメッセージが出力されました。

Unable to copy 1file(s) to remote directory. Flie list:xxxxx.pdf

本メッセージはレポートを外部データストレージに送信するように設定されていたものの、Flowmonの外部データストレージ設定を解除するなどして外部データストレージにアクセスできないために発生しています。

レポート設定から外部データストレージへの送信設定を解除するか、外部データストレージを再設定してください。また、送信されていない古いレポートのキューを以下のコマンドで削除することでもエラーメッセージを止めることができます。

rm -f /var/www/backend/reports/remote/*


記事公開日:
下記、エラーがログで出力されているのですが
何か対応が必要でしょうか。

services.flowmon.com: Package Flowmon OS version xx.xx.xx was not deleted due to error.

バージョンアップ後、古いバージョンのパッケージを削除できなかったというメッセージです。 特に問題はなく、対処も必要ありません。


記事公開日:
下記、エラーがログで出力されているのですが
何か対応が必要でしょうか。

Process nfdump has been stopped to prevent a memory
overload.

メモリの圧迫の為、強制終了したというメッセージです。
一部のクエリが大量のメモリを消費すると、システムクラッシュやその他の予期しない動作を防ぐために、クエリが強制終了されます。

強制終了しても再処理時に自動的に起動しますので、現在通常通り解析を行えるようでしたら、対処の必要はありません。

なお本メッセージが頻発する場合は、
Configuration Center > 概要 よりメモリの使用量をご確認いただき、
常時高いようであれば、メモリ使用量を下げるため、以下をお試しください。

・定期レポートを削減する。
定期レポートを利用しますと、メモリが使用されます。
定期レポートが多数ある場合、多くのメモリを使用しますので、不要な定期レポートは削除してください。

・同時に複数の解析処理をしない。
同時に複数の解析処理を行いますと、多くのメモリを使用しますので、
同時に複数の解析を行わないようにして下さい。

・シャドープロファイルで長期間の解析をしない。
シャドープロファイルで解析を行う場合、もととなったプロファイルからデータを取得し、メモリ上に展開する為、多くのメモリを使用します。
その為、長期間の解析を行う場合、より多くのメモリを使用する為、シャドープロファイルで長期間の解析を控えるようにして下さい。


記事公開日:
以下のエラーメッセージが定期的に表示されます。

Cannot validate "services" server certificate: Could not resolve host:services.flowmon.com; Unknown error. New update packages will not be downloaded and other remote services will not work.

FlowmonにDNSサーバが正しく登録されていない可能性が有ります。
利用可能なDNSサーバが登録されているかどうか、下記の手順より確認してください。

①Flowmon Configuration Center>システム設定>DNSサーバ 「プライマリDNS」に任意のDNSサーバが登録されていることを確認します。
登録されていない場合は、適切なDNSサーバを登録をします。

②FlowmonのCLIに接続後、以下のコマンドを実行してDNSが利用できることを確認します。
nslookup services.flowmon.com

 例)172.16.0.1をDNSサーバとして登録した場合

Server:         172.16.0.1
Address:        172.16.0.1#53

Non-authoritative answer:
Name:   services.flowmon.com
Address: 89.185.224.79

③上記②でエラーが表示された場合、services.flowmon.comへの接続がファイアウォールでブロックされている、またはDNSサーバが正しく設定されていない可能性があります。
ファイアウォール接続がブロックされていないか、DNSサーバの設定に誤りが無いかを確認してください。


記事公開日:
Flowmonにて以下のシステムメッセージが表示されました。
Unable to fetch RRD data of channel チャネル名(profile プロファイル名). RRD error: could not lock RRD.

5分間隔ごとにRRDデータがRRDファイルに書き込まれます。
nfsenプロセスがRRDファイルに書き込む際に競合がある場合は、このようなメッセージが表示されます。
しかし、これは正常な動作であり、Flowmonデバイスの機能に影響はありません。


記事公開日:
プロファイルの編集画面に下記の注意メッセージが出力されます。
メッセージの内容を教えてください。
Parent profile cannot be changed because one or more channel have parent channels explicity set

1つ以上のプロファイルのチャネルの親チャネルが選択されている場合、既存の親プロファイルは変更できなくなるため、注意喚起のメッセージとして表示されます。

またチャンネルの定義で選択されたチャンネルのみが使用されている場合にも常に表示される標準的な情報メッセージですので、問題はありません。


記事公開日:
Flowmonのクォーターに関するログメッセージを確認することはできますか。

CLIより、sudo cat /var/log/daemon | grep quota | tail コマンドを実行しるすと、クォーターに関する最新のログメッセージが10件、以下のように出力されます。

[flowmon@localhost profiles-data]$ sudo cat /var/log/daemon | grep quota | tail
Feb 18 14:34:57 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 968.2M, quota 967.5M
Feb 18 14:36:04 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 968.2M, quota 967.5M
Feb 18 14:37:10 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 968.2M, quota 967.5M
Feb 18 14:45:47 localhost dsw[3614]: nfexpire process is running - quota management postponed
Feb 18 14:50:58 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
Feb 18 14:52:00 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
Feb 18 14:53:05 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
Feb 18 14:54:09 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
Feb 18 14:55:18 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
Feb 18 14:56:22 localhost dsw[3614]: Plugin fmc-ipmac: quota exceeded! Current size 967.6M, quota 967.5M
[flowmon@localhost profiles-data]$


記事公開日:
システムメッセージで「Process php-fpm has been stopped to prevent a memory overload.」が通知されます。

この対処法と、今後頻発しないための調整方法はありますか?

表題のメッセージはリソース不足のために発報されるメッセージです。

仮想版Flowmonをご利用の場合は、Configuration Center>概要 のメモリが慢性的に使用率が高い場合には、メモリの追加割り当てをご検討下さい。

またshadowプロファイルで長期間の解析を行いますと、メモリをより多く消費する傾向にある為、
そのような解析を行う場合もメモリをより多く割り当てるようにお願いします。


記事公開日:
Flowmonのシステムメッセージ関連のメール通知は誰宛てに送付されますか?
また、その設定はどこから確認することができますか?

Configuration Center > システム > ユーザの役割が「admin」に紐づくユーザのメールアドレスに重要なシステムメッセージがメールで送付されます。

通知されるメッセージについては以下のFAQもご確認ください。
Flowmon FAQ 223


記事公開日:
Flowmonが保持するログにはユーザアクティビティログとシステムアクティビティログがありますが、ログの保持期間やローテートのルールを教えてください。

Flowmonのログは5MB単位に4世代で管理されています。
システムアクティビティログおよびユーザアクティビティログは最大でも1種類辺り1ファイルが5MBに設定されています。
よって、ログは4世代まで保存されますが、ログのサイズが5MBに超えた際に、ローテーションされます。


記事公開日:
Flowmon側で○○月○○日に設定変更があったかを確認する方法はありますか。

○○月○○日のユーザアクテビティログがまだローテーションされない場合、GUIから設定変更を確認することができます。
Configuration center>ログ>ユーザアクテビティログにて以下を設定してください。

 ユーザ:すべてのユーザ、又は確認したいユーザ
 モジュール:変更を確認したい画面
 アクションタイプ:変更


記事公開日:
最終更新日:2023.04.13
システムメッセージに以下が出力されます。
Cannot validate ”services” server certificate: Could not resolve host:services.flowmon.com; Unknown error. New update packages will not be downloaded and other remote services will not work.

FlowmonにDNSサーバが正しく登録されていない可能性がございます。
利用可能なDNSサーバが登録されているかどうか、下記の手順によりご確認ください。

①Flowmon Configuration Center>システム>システム設定>DNSサーバ 「プライマリDNS」に任意のIPアドレスが登録されているかご確認下さい。
登録されていない場合は、登録をお願いいたします。

②FlowmonコンソールにSSHで接続します。
「Tera term」などのssh端末ソフトで、Flowmon管理コンソールのIPにアクセスします。
ホスト:FlowmonのIPアドレス
ユーザ:flowmon
パスワード:inv3a-t3ch(初期パスワード)
※実際の設定値は、パラメータシートにてご確認ください。
コマンドpwdでログイン後のパスが/home/flowmon/であることを確認してください。

③下記のコマンドを指定下さい。
nslookup services.flowmon.com

④表示されたServer:に①で登録されたIPアドレスが表示されるかご確認下さい。
※例:①でDNSサーバに172.16.0.3と登録した場合、Server:172.16.0.3と出力されます。

⑤次に、Non-authoritative answer:以下に下記が出力されるかどうかご確認下さい。
Name:services.flowmon.com
Address:89.185.224.79

上記⑤でエラー表示になった場合、services.flowmon.comへの接続がファイアウォールでブロックされている、またはDNSサーバが正しく設定されていない可能性がございます。 接続がブロックされていないかおよびDNSサーバの設定をご確認お願いします。


記事公開日:
最終更新日:2023.07.04
Flowmonのユーザアクティビティログにて以下が表示されます。
services.flowmon.com: Package Flowmon OS version 10.01.05 was not deleted due to error.
何か対処は必要ですか?

上記のログはFlowmonのバグです。
このメッセージによる影響はございませんので対処していただく必要はありません。

しかし、もしこのログを今後表示させたくない場合は弊社サポートまでお問い合わせください。


記事公開日:
最終更新日:2023.07.04
ChromeやEdgeでFlowmon OSへアクセスする際に、 「このサイトは安全に接続できません。<IPアドレス> ではサポートされていないプロトコルが使用されています。」
が表示され、Flowmonへのアクセスができません。

Flowmonで使用しているTLSが古い(恐らく TLS 1.0)ため、このようなメッセージが表示されます。
インターネットへアクセスする際に古いTLSの使用が許可される場合は、TLS 1.0, 1.2, 1.2を使用できるように設定し、本事象が改善されるかを試してください。


記事公開日:
最終更新日:2023.07.04
メージャーバージョンアップをする際に「You can not upgrade your Flowmon device without valid Gold Support!」が表示され、バージョンアップをできませんでした。

ライセンスの有効期限が切れているままでメージャーバージョンアップをすると、このようなメッセージが表示されます。
Configuration center>ライセンス画面にて、ライセンスの有効期限を確認してください。


記事公開日:
最終更新日:2023.07.04
probeで、新ライセンスを適用した直後に、下記のアラートメッセージが出力されています。
Unable to accelerate packet processing on some ports.
どのような対応が必要ですか?

ライセンスを適用した後、エクスポーターのサービスが正しく起動しなかったためエラーメッセージが表示されましたが、プローブを再起動することで、この問題を解決できます。

再起動方法:
Configuration center>システム>システム設定>メンテナンス>システム電源の制御の「再起動」

※再起動中はFlowの生成及び収集は行われませんので、その期間のグラフも途切れて表示されます。
※再起動の所要時間はディスクサイズやデータ量に応じて異なりますがおおよそ数分間となります。


記事公開日:
最終更新日:2023.07.04
「高度な解析」を行ったところ、下記のエラーメッセージが出て解析結果画面が出てきません。
「リクエストはデータを返しませんでした。フィルタ設定の変更をお試しください。」
メッセージの内容を教えてください。

本メッセージは条件に該当するデータが無いことを示しています。
フィルタの書き方に誤りがある、もしくはFlowデータにフィルタで絞り込んだ対象の情報がない場合に表示されます。


記事公開日:
最終更新日:2023.07.04
「フローソース<IPアドレス>が応答しません。」というシステムメッセージが表示される原因を教えてください。

このメッセージの主な理由は、フローソースに問題がある場合にユーザーに知らせるためです。
フローソースが正常に動作し、フローを生成しているかどうかを確認してください。
フローが生成されている場合、SNMPのレスポンスがタイムアウトを超えたことが原因である可能性が高いです。


記事公開日:
最終更新日:2023.07.04
システムメッセージで、「SMTP server did not accept RCPT TO:<宛先メールアドレス>」が表示されました。対策を教えてください。

送信サーバが宛先アドレス宛てにメールを送信できなかった旨のメッセージです。
SMTPサーバの設定が誤っている、あるいは宛先に問題があります。


記事公開日:
最終更新日:2024.01.10
以下のシステムメッセージが表示され、レポートのメール送信に失敗します。
原因と対処方法を教えてください。

xxxxxへの電子メールの送信に失敗しました。
SMTP 552 4.3.1 Session size exceeds fixed maximum session size

添付ファイルはbase64にエンコードされると容量が大きくなります。
添付ファイルのサイズと最大セッションの間に少なくとも30%の余裕があるようにする必要があります。

従って、SMTPサーバ−のしきい値を上げるか、
レポートのサイズを小さくするためにレポートを分けて作成してください。


topへ戻る

ライセンス

ライセンスについての仕様

記事公開日:
ライセンスを適用し、再起動完了後の正常稼働の確認方法を教えてください。

ライセンスの更新が完了すると、「新しいライセンスのアップロード」ボタンの右側に表示されるウェイティングカーソル(くるくる回る輪)が消え、「ライセンス」の画面上部に「ライセンスは更新されました」というメッセージが表示されます。

これを以てライセンスの適用によるサービスの再起動が完了し、正常に稼働し始めたとお考えください。
また、ビルトインコレクタが正常に再起動されますとSyslogに以下のメッセージが表示され始めます。これはFlowmonが各フローソースから受信したフローを5分間でどの程度処理したかを示しているものです。

Jul 10 14:20:00 hyper-v-test-collector nfcapd[6409]: stats – LogFlogSourcesStats – Ident: ‘192-168-70-212_NetFlowport3001’ Flows: 2079, Packets: 81192, Bytes: 73697024, Sequence Errors: 0, Bad Packets: 0 Exporters count: 2


記事公開日:
CLI上でライセンスの有効期限や種類を確認できるコマンドはありますか?

FlowmonにSSH接続後、以下のコマンドを実行してください。
cat /etc/flowmon/license


記事公開日:
仮想版のFlowmonを再構築する場合、新しいHWID用のライセンスを再発行することは可能ですか。

はい、可能です。
新しいHWID用のライセンスを申請する際には旧Flowmonを削除したことを証明するもの(VMWare/Hyper-V などの仮想化基盤のGUIの仮想マシン一覧より、旧Flowmon(古いHWID)の削除前後が写ったハードコピーなど)を合わせて送付していただく必要があります。


記事公開日:
最終更新日:2023.04.13
ライセンスが切れた際のFlowmonの動作を教えてください。

製品版の物理アプライアンスの場合は、ライセンスの有効期限が切れても、 基本機能(例 コレクタ:解析やレポート処理等、プローブ:フローの生成等)は変わらず使用可能です。 また、Flowmon OSのマイナーバージョンアップ(例:ver11.01.07→ver11.01.13)も可能です。

しかしながら、ライセンスの有効期限が切れますと、以下の制限があります。
・Flowmon OSのメージャーバージョンアップ(例 ver11.01.07→ ver 12.01.01)は不可能となります。
・Configuration center>バージョンにて「自動パッケージダウンロード」機能が有効になっている場合、バージョンアップモジュールのダウンロードは不可能となります。
・プリセット機能を利用している場合、プリセットの取得/更新はできなくなります。
・Flowmon ADSをご利用の場合、ADSのブラックリストの更新はできなくなります。


記事公開日:
最終更新日:2023.07.04
システムメッセージにて「BPATTERNSメソッドの署名リストを更新できません(ゴールドサポートまたはプラチナサポートでのみ利用可能)。」と表示されます。
このメッセージが表示される原因と必要な対応を教えてください。

ADSのBPATTERNSはゴールドサポートまたはプラチナサポートが有効な場合にダウンロード/適用が可能です。
Configuration Center>ライセンス にて、ライセンスが切れていないかを確認してください。
※現在、Gold SupportはStandard Support、Platinum SupportはExtended Supportに名称変更されています。
有効なライセンスが適用されますと、当メッセージは表示されなくなります。


記事公開日:
最終更新日:2023.07.04
システムメッセージでSupport service will expire soonのメッセージが表示されました。対策方法を教えてください。

30日以内にライセンス期限が切れる場合、本メッセージが表示されます。
新しいライセンスを適用しますと、本メッセージが表示されなくなります。


記事公開日:
最終更新日:2023.09.29
ライセンス単位をお教えてください。

コレクタならディスク容量、プローブならミラーポート数と回線速度でのライセンスおよびサイジングとなります。


topへ戻る

リソース

Flowmonのリソース、負荷状況についての仕様・機能

記事公開日:
Flowmonの負荷状況を確認する方法はありますか?

CLIコマンド[top]を使用していただくことで実行中のプロセスからCPU利用率の高いものを確認可能です。

topコマンドによって確認が可能なFlowmonの状態の詳細は以下の5つです。
その他のプロセスの負荷状況に関しては検出できません。

nfdump:クエリの計算、チャプタの計算
nfprofile:プロファイルの作成
flowmon-main:エクスポーター(モニタリングポート)プロセス
suricata-main:suricataプラグインプロセス
nfcapd-streamd:ビルトインコレクタのプロセス


記事公開日:
大きなプロファイルを削除した場合、関連してシステム内の他に関連するダッシュボードのウィジェット、レポート、アラートなどへの変更処理も連携し実行されるため、システム全体の負荷が上がります。これらの削除処理が完了したかどうかを確認する方法はありますか?

CLIコマンド[ps aux | grep rm]を実行していただくことで削除中のプロファイルを確認可能です。
以下はプロファイル(testprofile)を削除しているときの出力例です。

[flowmon@localhost ~]$ ps aux | grep rm
root 25580 17.0 0.0 107976 768 ? DN 11:40 0:00 /bin/rm -rf /data/nfsen/profiles-data/.testprofile-7833c0
flowmon 25626 0.0 0.0 112648 956 pts/1 S<+ 11:40 0:00 grep –color=auto rm [flowmon@localhost ~]$


記事公開日:
以下のシステムの使用状態はそれぞれ〇%超えを判断基準として考えればよろしいでしょうか?

  ・システム負荷
  ・メモリ
  ・データディスクの使用状況
  ・システムディスクの使用状況
  ・ブートディスクの使用状況

システムの使用状態の各項目は、目安として以下のような基準を超えないことを推奨します。

  ・システム負荷:70%
  ・メモリ:80%
  ・データディスクの使用状況:90%
  ・システムディスクの使用状況:80%
  ・ブートディスクの使用状況:80%

負荷状況はリアルタイムで変化します。
データディスクの使用状況以外の項目は、その時の負荷状況により、グラフの色が赤>オレンジ>緑のように負荷が高い順に変化します。
特にグラフが赤色の時は負荷が高い状況です。


記事公開日:
レポートのチャプターを新規作成後、そのチャプターを設定したレポートを表示すると新規作成したチャプターが「選択された期間に使用できるデータはありません。」と表示され、グラフなどが表示されません。
表示できるようになるまで、どのくらい時間がかかかりますか?

Monitoring Center>レポート>チャプター にて新しいチャプターを作成時に、再計算を1日/10日/30日から選択していただくことでその選択した日にち分の過去のグラフが表示されます。 「再計算しない」を選択すると、チャプターを作成した時点からのデータを取得するので過去のグラフは表示されません。

また、再計算を1日/10日/30日から選択した場合も、バックグラウンドで計算が終わるまではデータが無いためグラフは表示されません。
バックグラウンドで行われている計算状況は Configuration Center>FMC設定>レポート>基本設定 の「ジョブ計算の進捗状況」にて確認できます。
処理するジョブがある場合は、「キュー内のジョブ:xx」のように表示されます。
よって、バックグラウンドで計算が終わり次第、グラフが表示されることになります。


記事公開日:
Flowデータが多くなり、Flowmonの動作が遅くなりました。動作を軽くする方法を教えてください。

Flowmonの動作の重さを改善する一般的な方法をご紹介いたします。

・CPU使用率などが高く、全体的な操作が遅い
  ⇒  使っていないレポート、プロファイルがあれば削除して、バックグラウンドの処理を軽くする。

・解析が遅い
  ⇒  ・シャドウプロファイルはリアルプロファイルに変更する(ストレージの空き容量に注意が必要です)       ・フィルタの書き方を見直す。「or」 を使っている場合は、「in」 に変える。それでも遅い場合はカスタムAS番号を使った方法に見直す。
      ・解析期間を短くする。

・All Sourcesの解析画面の表示が遅い
⇒  登録しているFlow sourcesが多数ある場合は表示するソースの数を20個程度に絞る。


topへ戻る

レポート

レポートについての仕様・機能

記事公開日:
レポート画面に表示されるリスト内にある「最大ビット/秒」の具体的な算出方法を教えてください。

その時間帯に流れているトラフィック量を元に、平均bpsを算出してファイルに保存しています。
具体的には5分プロファイルであれば、5分間に取得したフローデータのバイト数を合算しbpsに変換後、300秒で割ることによって5分間あたりの平均bpsを算出しています。
「最大ビット/秒」はレポート作成期間の中で平均bpsが一番大きいものを表示しています。
プロファイルの粒度とファイルの生成間隔の違いは以下のとおりです。

  5分プロファイル:5分間隔でファイル生成
  1分プロファイル:30秒間隔でファイル生成
  30秒プロファイル:30秒間隔でファイル生成

注意:1分プロファイルでは30秒プロファイルと同様に30秒単位でファイルを生成し、最大ビット/秒は30秒平均で最大のものが表示されます。しかし、グラフの線画は30秒単位に作成したファイルを2つずつ合計し、1分として表示していますので、グラフ表示と「最大ビット/秒」の表示には乖離が発生します。


記事公開日:
最終更新日:2020.04.14
1つのレポートに登録可能なチャプチャー数を教えてください。

明確な上限値はありません。
但し、CPU/メモリ使用率及びレポートの生成時間はチャプタ数に比例して増加します。


記事公開日:
レポートの送信機能で期間に「月」を指定した場合、どのタイミングでレポートが送付されますか?

毎月1日 AM 01:25にレポートが生成され、送付されます。


記事公開日:
レポートに勤務時間を設定した場合の影響を教えてください。

チャプタのタイプによって異なります。
トップチャプタのレポートの場合、統計の取得範囲は設定された勤務時間帯のみに限定されます。
トラフィックチャプタのレポートの場合、統計の取得範囲としては期間指定した範囲(日次・月次・週次等)全体のものが含まれますが、勤務時間外の時間帯はグレーで時間外であることが示されます。


記事公開日:
PDFレポートを作成すると、「トップN」レポートのビット/秒が「0」になる箇所があります。
このような状態が生じる条件を教えてください。

フローソースのタイムスタンプに誤りがある可能性があります。

「Flowmon Monitoring Center」>「解析」>「高度な解析」>「フローのリスト」から該当期間のフローを表示し、"開始時間 ? 最終確認"の欄が空欄となっているデータがないか確認してください。
空欄となっているデータがある場合は、フロー送信元機器の時刻設定を確認してください。また、Flowmonとフロー送信元機器との時刻が同じであることを確認してください。

レポートのビット/秒のレートは、転送されたデータの量と期間を使用して計算されますので、時刻がずれていると正常に表示されません。


記事公開日:
レポート名に使用できない禁則文字は有りますか?

レポート名にはSAMBAデバイスでエラーが発生する事を防ぐために禁則文字が設定されています。
禁則文字をレポート名に使用した場合、以下のように削除またはアンダーバーに変換されます。

<削除される文字>

「 / 」 、「 ' 」 、「 ? 」

<「_」 へ変換される文字>

「スペース」、「 ; 」、「 - 」


記事公開日:
Dashboard and Reportsで、一部のレポートが、5日前までは表示されますが、6日以上前は一部の項目が表示されなくなりました。

Monitoring Centerでも同様に表示されず、"Not all data available. Showing available time interval."と表示されます。

レポート数の増加などにより現状のクォータ設定で保存できる統計情報の上限に達した可能性があります。
クォータの管理画面でレポートに割り当てているクォータを拡大し、必要な日数分の統計情報を保存できるように調整してください。


記事公開日:
CSVレポートの時間間隔がPDFレポートグラフの時間間隔と異なっている理由はなぜですか。
(例:PDFのレポートは24時間粒度、CSVレポートは5分粒度)

例えば、121日間分のPDFレポートグラフを5分粒度で表示すると34848本の線を引くことになりますが、
グラフが大きくなりすぎてそのまま表示するのは現実的ではありません。
そのため、24時間粒度に丸めて表示されます。
CSVでは5分粒度で多数の情報を出力することが可能なため、5分粒度のまま表示されます。


記事公開日:
レポートが送信・保存される時間を教えてください。

レポートは選択した曜日の翌日午前1:25頃に電子メールで送信または外部ストレージに保存されます。
まず、生成するレポートのリストが作成され、その後に、レポートが生成および送信・保存されます。

唯一の例外は、レポートの期間を「カスタム」に設定したレポートです。
このようなレポートは、定義した「終了」時間の約1時間15分後に送信・保存されます。
ご利用の環境によりこの時間は前後することがあります。

※ユーザガイドにはカスタム期間のレポートは「定義した時刻の約15分後に生成されます」と記載されていますが、上記については将来のバージョンにて修正される予定です。


記事公開日:
ユーザー設定の「ドメイン名解決」を無効にしているにも関わらず、
レポートの結果にIPアドレスではなくドメイン名が表示されます。
これは仕様ですか。

はい、Monitoring Centerのレポートの送信では、メールで送信したレポートと外部ストレージへ保存したレポートの場合は、ユーザーの「ドメイン名解決」の有効/無効に関わらずドメイン名解決が実行される仕様です。


記事公開日:
最終更新日:2023.07.04
チャプターのタイプをトップチャプターとして作成し、そのチャプターを使ったダッシュボードを作成しました。
トップチャプターを使った場合、ダッシュボードにデータが反映されるのは1時間に1回(毎時00分)ですか。
トラフィックのチャプターを使用したダッシュボードのように、リアルタイムで情報が反映する方法等ありますか。

レポートと同じくダッシュボードもトップチャプターのデータは1時間に1回に反映されます。
トラフィックチャプターのように5分毎にデータが反映され、ダッシュボードに表示することはできません。
※トラフィックチャプターはリアルタイムではなく、5分毎にデータが反映され、グラフ化します。


記事公開日:
最終更新日:2023.07.04
レポートで「すべてのデータを使用できるわけではありません。 利用可能な期間のみを表⽰しています。」と表示されます。
当メッセージが表示される原因を教えてください。

当メッセージが表示される原因は以下が考えられます。

・チャプタを最近作成された等、レポート表示指定期間分のデータが存在しない場合

例えば、5/9 10:00にチャプターを作成し、レポートの表示期間を5/8 12:00 – 5/9 11:00などに設定すると、 チャプターを作成した日時よりも前の日時が含まれているため当メッセージが表示されます。
なお、トップチャプターでは再計算をすることで最大30日までは過去のデータを参照できます。

・ディスク割り当て容量が枯渇していたことで、レポート表示指定期間分の一部データが存在しない場合

Configuration Center>リソースマネージャ>クォータの管理 にて、
「Flowmon Monitoring Centerのバックエンド」の「レポート」の 現在のサイズが設定しているサイズに達し、データが削除されている場合、当メッセージが表示されます。

しかしながら、ver12.02.04以前のバージョンではレポートの表示期間全体にデータが存在していても当メッセージが表示される不具合があります。
この不具合はFlowmon OSバージョン12.02.05で修正される予定となっており、 現状はメッセージが出力されていても、レポートに表示されるデータには影響はありません。

Monitoring Center>解析>高度な解析 にて、
レポートと同じフィルタや期間(数日間)を設定し、解析結果がレポートと同じであれば レポートの表示期間全体にデータが存在していることを確認できます。


記事公開日:
レポートはPDF以外にどのような形式があるのでしょうか。

CSV形式での出力も可能になります。


記事公開日:
最終更新日:2024.01.10
レポートでの過去の情報はどのくらい前の情報を表示できますか。

レポートデータはDB処理の為、生データに比べ長期的に保存できる傾向があります。
コレクタのモデルにもよりますが、1年以上保持されているケースが多いです。


記事公開日:
最終更新日:2024.01.10
DNSやDHCPなどの詳細設定を同時にレポート出力することは可能でしょうか。

フロー情報にDNSやDHCPなどの情報が含まれていれば表示可能です。


記事公開日:
最終更新日:2024.01.10
レポートの出力期間を教えてください。
エクスポートは何が出来ますか。

直近1時間~先月、もしくはカスタムから日付、時間を設定し出力することができます。
エクスポートはPDFもしくはCSVですることができます。(メール送信も可能)


記事公開日:
最終更新日:2024.01.10
レポート機能の円グラフに表示される項目が、レポートによって異なります。

以下の方法で表示する項目をカスタマイズすることが可能です。
Dashboards&enspand&enspReports>レポート>対象のレポートの右上歯車マーク>チャプターの編集>概要の円グラフ>概要にて、[その他]や[すべてのトラフィック]等必要なものを選択してください。


topへ戻る

不具合

既知の不具合と対処方法

記事公開日:
以下のメッセージが表示され、GUIにアクセスできません。
We’re sorry! The server encountered an internal error and was unable to complete your request. Please try again later. 
          error 500

キャッシュページからのページ生成に失敗している可能性があります。
CLIにアクセスし、以下のコマンドを実行してキャッシュされているファイルを削除してください。
rm -rf /var/www/temp/*
find /var/www/shtml/js -name "*.tr_??.js" -exec rm {}\;
find /var/www/shtml/js -name "@js-FM*.js" -exec rm {} \;
find /var/www/shtml/js -name "@less-FM*.cdd" -exec rm {} \;
rm -rf /var/www/shtml/css/generated


記事公開日:
リスニングポートが追加できません。

Flowmonのディスクの空き容量が無いと作業用領域不足のため、追加作業が完了しない場合があります。

Configuration Center > リソースマネージャ > クォータの管理 より、ディスクの使用率がなるべく90%以下となるようにクォータの設定を調整してください。


記事公開日:
チャプタ名を変更した結果、レポートで過去の期間を指定した場合にデータが表示されません。

チャプタ名を変更するとすでに計算されたトラフィックのグラフデータが損失します。
損失するのはチャプタ名が変更された時点からそれ以前のグラフデータです。

これは既知のバグであり、バージョン11.01.09で修正されています。

原因となる動作にはチャプタ名の変更だけでなく、TopNの設定、フィルタ内容の変更を含みます。
(チャプタタイプ、統計基準、並べ替え基準、チャプター列の変更は新しいアイテムとして保存する必要があるため原因となる動作に含まれません。)

グラフデータは再計算によって復旧することが可能ですが再計算は安易にできるものではなく、場合によっては開発元に再計算用のパッケージ作成を依頼する必要があります。
再計算はFlowmonへの負荷が高くサービスへの影響も懸念されるため、1度の再計算でパッケージが指定できるのは1か月分のトラフィックデータとなります。

チャプタ名の変更を必要とする運用をされている場合には、Flowmonのバージョンを最新の11.01.09にアップグレードしていただいたうえでチャプタ名を変更することを推奨します。


topへ戻る

仕様

全般的な仕様・機能

記事公開日:
Flowmonが正式に対応しているブラウザを教えてください。

Flowmonが正式に対応しているブラウザは下記の3つです。
––––
Google Chrome
Firefox
Microsoft Edge
––––
なお、FlowmonではInternet Explorerのサポートはしておりません。ご了承ください。


記事公開日:
宛先に指定できるメールアドレスは、最大何件まで設定可能ですか?

上限はありません。ですが、リソース等を消費するため、大量に宛先メールアドレスを設定しますと機器に負担をかける恐れがあります。


記事公開日:
Flowmonの管理インターフェース1と管理インターフェース2に同一セグメントのIPアドレスを割り当てることはできますか?

同一セグメントのIPアドレスを割り当てることはできません。
管理インターフェース1と管理インターフェース2はセグメントを分けてください。


記事公開日:
ダッシュボードをタブ単位で削除することはできますか?

「ダッシュボード」>右上の歯車マーク>対象のダッシュボードのごみ箱マーク をクリックすることでタグ単位に削除することが可能です。


記事公開日:
レポートの保存領域(クォータ)が一杯になった場合、どのような動作をしますか?

古いデータから削除していきます。削除のルールは以下のとおりです。

  • 1)1時間単位で丸1日分を削除します(少なくとも1時間単位で最後の7日間は残っている必要があります)
  • 2)上記の手順で十分な空き容量が得られない場合、1日単位で月全体を削除します(少なくとも先月は残っている必要があります)。
  • 3)上記の手順で十分な空き容量が得られない場合、1時間単位で残りの日を残り1日になるまで削除します。


記事公開日:
FlowmonのHDDは暗号化されていますか。

FlowmonのHDDは暗号化されておりません。


記事公開日:
SyslogサーバでFlowmonのSyslogメッセージを受信出来ません。

Flowmonはメッセージの内容に従って異なるファシリティコードで送信しますが、ファシリティコードを変更することが出来ません。
そのため、Syslogサーバ側で受け取るファシリティコードを限定していないかを確認してください。


記事公開日:
FlowmonはIPv4inIPv6トンネルをサポートしていますか?

FlowmonはIPv4inIPv6トンネルの解析をサポートしておりません。

IPトンネルを使用されている場合、Flowmon OSで解析できるのは最初のIPv6のL3ヘッダーまでです。
よって、カプセル化されたIPv4の情報およびアプリケーション情報を解析することはできず、IPv4のL3情報、ホスト名などの情報を解析することはできません。


記事公開日:
管理インターフェース1はFlowmonコレクタのFlow受信ポートとして利用していますが、管理インターフェース2はどのような用途で利用しますか?

管理インターフェース2の使用例としましては、FlowmonコレクタとFlowmonプローブを直結させたい場合、 管理インターフェイス1はGUI管理用に使用し、管理インターフェイス2はフロー収集用に使用します。

ただし、管理インターフェース2を使用する場合は下記の注意点があります。
  1. 管理インターフェイス1と管理インタフェース2を同じセグメントに設定することはできません。
  2. 管理インターフェース2の設定はIPアドレスとネットマスクのみですので、ゲートウェイは管理インターフェース1と同じになります。
 そのため、管理インターフェース2を使用する際には、管理インタフェース1向けのスタティックルートの設定、ネットワーク機器側へのルーティングの設定などが必要となります。
※基本的には管理インターフェイス1のみのご利用で問題ありません。お客様の運用ポリシーによって管理系通信とデータ系通信を分けたいなどのご要望に柔軟に対応できるように用意されているものです。


記事公開日:
プリセット(旧設定テンプレート)の機能と留意点を教えてください。

■プリセットとは
Flowmon Networks社から提供されるプロファイル、チャプター、レポートのテンプレートで、 これまでユーザが作成していたプロファイルやレポートを数クリックで利用可能となる機能です。
現状では十数個のプリセットが利用可能ですが、今後拡張されていく予定です。

■プリセットを利用して作成したプロファイルの更新について
プリセットの定義(フィルタ条件)は不定期に自動更新されます。
しかし、プリセットを利用した作成済みのプロファイルへの反映はされないため、手動で対応する必要が有ります。
なお、プリセットを適用し直すことで、プリセットで作成した既存のプロファイルのチャネル定義(フィルタ条件)を上書き更新することはできます。

■プリセットに更新があった場合の解析動作について
プロファイルを作成する際には、プロファイルタイプ(リアルプロファイル/シャドウプロファイル)によって、プロファイル定義更新前の期間を解析した場合の動作が異なります。
  ·リアルプロファイル
   定義更新前のデータを解析した場合、過去の定義にて解析が可能です。
   定義更新後のデータを解析した場合、現在の定義にて解析が可能です。

  ·シャドウプロファイル
   定義更新前のデータを解析した場合、現在の定義にて解析が実行されます。
   →現在の定義で過去のトラフィックを解析するため、トラフィックグラフと解析結果で整合性が取れなくなります。
   定義更新後のデータを解析した場合、現在の定義にて解析が可能です。

■プリセットを利用する場合の運用方法について
プリセットの定義は定期的に更新される前提のため、
プリセットを利用してプロファイルを作成する際には以下のプロファイルタイプを推奨します。
  ·Application protocols
  ·Infrastructure
   →基本的には更新がされない定義のため、シャドウプロファイルでの運用を推奨。
  ·Cloud applications and services
   →更新頻度が多いことが想定されるため、リアルプロファイルでの作成を推奨。


記事公開日:
Flowmonにウィルス対策ソフトを導入することは可能ですか?

ウィルス対策ソフトを導入することはできません。
導入をした場合、動作を保証することができず、サポートを提供することはできなくなります。


記事公開日:
Flowmon以外のCLI操作用のアカウントを追加することはできますか?

CLIの操作用アカウントはFlowmon固定のため、他のアカウントを追加/変更することはできません。


記事公開日:
フローデータ(プロファイル)が削除される条件を教えてください。

フローデータ(プロファイル)の削除条件は以下のとおりです。

  • 1)フローデータは5分単位のファイルで管理されているため、十分な空き容量(受信したフローデータを保存できる容量)が得られるまで古いデータを5分ごとに順次削除します。
  • 2)上記の手順で十分な空き容量が得られない場合、すべてのフローデータが削除される可能性があります。
    ※プロファイルの保存期間を設定されている場合は、保存期間を過ぎると古いデータから順次削除されます。

フローデータ(プロファイル)の削除処理はクォータと保存期間、ディスク使用状況で管理しています。
  • ① クォータ(最大サイズ)
    指定した最大サイズの上限値に達すると、古いデータから順次削除されます。
    クォータの設定をすることでディスク使用状況が大きくならないように抑えることができます。
  • ② 保存期間
    プロファイルに保存期間を設定されている場合、保存期間を過ぎたものから順次削除されます。
  • ③ ディスク使用状況
    通常はクォータ設定でデータを使用状況が大きくならないように抑えますが、不測の事態でディスク使用状況が95%を超える場合、強制的にクォータを小さく設定し、Flowmonに保存しておくデータをディスク使用状況が95%になるまで減らします。


記事公開日:
ファイアウォールはFlowmonにどのような影響を与えますか?

突然Flowmonが利用できなくなったという問い合わせをいただくことが有ります。
今まで利用できていた機能が以下のような症状によって利用できなくなった場合は、経路上のファイアウォールのポリシー修正によって、Flowmonが通信制限されていないか確認してください。

  • リスニングポートのポート番号を変更したらFlowソースからデータを受信できなくなった。
  • ソース画面に「現在のSNMPデータを読み込めません。」 と表示されるようになった。
  • バージョン画面でFlowonの最新モジュールをダウンロードできなくなった。
    特にFlowmonからDNSにアクセスする経路を遮断していないか確認してください。


記事公開日:
FlowmonをCRUDで表現する場合、Create(新規作成)、Update(更新)、Delete(削除)の各機能の権限にはどのようなものが有りますか?

Flowmonの権限はFlowmon configuration center>ユーザ設定>役割で管理されています。

役割はプラグイン、プロファイル、ソースデータ、ダッシュボードへのアクセス制限を管理するものです。
設定により、特定のユーザのみプロファイルやダッシュボードなどの作成、編集、削除が可能な権限を付けることができます。


記事公開日:
「Configuration Center -> ログ」は、Flowmonが管理している「データディスク」、「システムディスク」のどちらに保存されていますか?

「Configuration Center -> ログ」に表示されるログはデータディスクに保存されています。


記事公開日:
設定ファイルを複数回ダウンロードするとファイルサイズや中身が異なることが有るのは何故ですか?

実際にはより複雑ですが、分かりやすくする為に、細部を簡略化して説明します。

ユーザーが設定を変更する場合、
その設定は既存の設定に上書きせず、新しい設定として保存されます。
この際、一次的に新しい設定と古い設定が並行して存在する事になります。
これは、設定を上書きをする事により発生する不整合を防ぐ為の仕様です。

なお古い設定が残り続けると設定ファイルの容量が肥大化してしまうので、
定期的に古い設定を削除する処理が行われます。これは設定ファイルの作成処理とは別に行われます。
これはクリーニング処理と呼ばれます。
クリーニング処理は、毎正時から2分後に行われます。
なおクリーニング処理は、単純な削除ではない為、時間が掛かります。
また所要時間は、設定状況により異なります。

設定ファイル間にサイズの違いがでてしまう理由は、
設定を変更し、クリーニング処理が終了する前に、設定ファイルをダウンロードすると、
新しい設定と古い設定が共存している為、ファイルサイズが大きい状態になります。
この結果、クリーニング処理前後の設定ファイルと比べるとサイズに違いがでることになります。


記事公開日:
特定のフローを消してグラフデータに反映させる方法はありますか?
異常に大きな値のフローを受信してしまったため、他の時間のグラフ描写がグラフの下に偏って表示される状態を改善したいです。

特定のフローを消してグラフデータに反映させる方法はありません。
このような場合は対数Y軸を使用することを推奨します。

対数Y軸を使用することで、異常に大きな値がある場合にも、グラフの小さな部分を適切な目盛りで表示することができます。
対数Y軸の表示方法はmonitoring center>解析画面のグラフ右下にマウスオーバーすると表示されるズームボタンの近くに更にマウスオーバーすると表示されるオプションメニューから「対数Y軸」をチェックします。


記事公開日:
safariでFlowmonを利用することはできますか?

safariの利用を考慮した開発はされていないことからFlowmonとの信頼性がなく、正常なご利用を保証することはできません。
問題が発生することを避けるためにも推奨ブラウザであるGoogle Chrome、FireFox、Edgeのご利用をご検討ください。


記事公開日:
Flowmonでサポートされていないベンダー独自フィールドのフローを解析することはできますか?

Flowmon OS Ver13にてベンダー独自フィールドを自由にFlowmonに登録して解析できるようにする計画が有りますが、現状ではConfiguration Center>FMC設定>フローのデータベースフィールド にてサポートされていないベンダー独自フィールドを利用することはできません。


記事公開日:
インターネットにアクセスできない環境で以下のメッセージが定期的に表示されます。
表示を止める方法はありますか?

Cannot reach "services" server. New update packages will not be downloaded and other remote services will not work.

画面右上のベルマークから該当のメッセージを選択し、「メッセージの非表示」をクリックすることで表示を消すことができます。

本メッセージはFlowmonが更新可能なパッケージの有無を確認するためのサーバにアクセスできなかったことを示すものです。
なお、Configuration Center > バージョン より「自動パッケージのダウンロード」をOFFにする設定がありますが、本設定は更新可能なパッケージが見つかった場合には自動ダウンロードを実施しない。という機能です。更新可能なパッケージの有無の確認は無条件に実施されますのでご注意ください。


記事公開日:
FlowmonのCommunityストリングの設定仕様でAとBのCommunityストリングを2つ並行して設定をする事は可能ですか。

Configuration Center>システム>システム設定>SNMP>SNMPD.CONFの編集 より、新しいCommunityストリングを追加する事で、Communityストリングを2つ並行して設定をする事は可能です。
その他設定方法の詳細については、一般的なLinuxなどで動作するsnmpd.confと同様です。


記事公開日:
Flomownよりメールで通知されるイベントにはどんなものがありますか。

現時点で弊社が確認しているFlowmonからメールで通知されるイベントには以下のようなものがあります。

・Flowソースの異常
・nfdump異常停止
・メモリーオーバーロードによる異常停止
・アーカイブ(バックアップ)失敗
・レポートの外部ディスク失敗
・Flow転送先異常
・新バージョンリリース時

Flowmonのサービスに影響を及ぼすイベントにおける重大度の考え方は、一般的なSyslogの考え方に準拠しています。
メールで通知されるイベントはGUI画面右上のベルアイコン(通知ボタン)に表示される中でも、0~3の4つの重大度(コード)に該当するイベントです。

現在弊社で確認しているイベントの中でも、ディスク、クォータ、メモリに関してメールで送信されるメッセージは以下のとおりです。

・ディスクやクォータに関するメッセージ

"The system is not able to decrease disk usage, the disk is getting full." - 重大度 1
(システムがディスクの使用量を下げることができないため、ディスクがいっぱいになっています。)

"The system is not able to decrease disk usage, and the disk is full. Stopping collector." - 重大度 0
(システムがディスクの使用量を下げることができないため、ディスクがいっぱいです。コレクターを停止中です。)

・メモリに関するメッセージ

"Process %s has been stopped to prevent a memory overload." - 重大度 2
(メモリのオーバーロードを防ぐためプロセスは中止されました。)


記事公開日:
物理アプライアンスのデータディスクが不足した場合、データストレージを追加することはできますか。

いいえ。
物理アプライアンスのデータディスクは追加不可能です。


記事公開日:
以下脆弱性について、Flowmonに与える影響はありますか。

・CVE-2021-44224
・CVE-2021-44790

該当の脆弱性につきましては、Flowmonは影響を受けません。

該当脆弱性は、mod_proxy が使用されているときのみ、発生する脆弱性ですが、
Flowmonでは、mod_proxyは使用されておりません。

またRED HatのCVEによりますと、CentOS 7はこの脆弱性の影響を受けないとの事ですが、
Flowmonは、CentOS 7をベースに作成されています。

以上から、Flowmonは、該当脆弱性の影響を受けません。


記事公開日:
Flowmonアプライアンスのうち、iDRAC専用ポートが搭載されているモデルは何になりますか。

iDRAC専用ポートは、Enterprise版iDRACが搭載されているFlowmon Collector、Flowmon Probeに搭載されています。
なおExpress版のiDRACが搭載された機器は、iDRAC専用ポートは搭載されていませんが、
その場合、デフォルトでは管理ポートの番号が若い方が、iDRACポートと兼用になっています。


記事公開日:
Flowmonにて高度な解析で時系列表示した際に、統計基準を「IP通信」にした場合と「ポート」にした場合で、トラフィック量に差異が発生しますが、この動作は仕様ですか?

統計基準「IP通信」と「ポート」を時系列表示させた際にグラフの形は同じように見えますが、通信量が異なっているように見えます。

トラフィック量の差異は、仕様です。

IP通信の場合も、ポートの場合も、パケット/バイト/フロー数は期間中のパケット/バイト/フローの合計値を表示していますので、同じです。
しかしながら、それぞれが異なる基準での解析結果を表示していますので、時間ごとの合計は異なります。

IP通信の場合は、送信元IPアドレスと宛先IPアドレスの組み合わせを、ポートの場合は、ポートごとの通信を単位として集計した物の上位10位が掲載されます。それぞれ集約する基準が異なりますので、通信量の合計も異なります。
似たグラフですが、それぞれが別の解析結果を表示しています。


記事公開日:
特定時間帯での全てのトラフィックを確認したいのですが、指定が500位までしか選択できません。
通信データのすべてを一覧として照会する方法を教えてください。

Monitoring Centerの「より高度な解析」中の「統計情報」では、上位500位までのみ指定出来る仕様です。

すべてのデータを一覧として照会するためには、Monitoring Centerの「フローのリスト」を使用します。
「フローのリスト」は、「次に制限」のプルダウンで「制限なし」を選択することですべてのデータの一覧を生成することができます。
「制限なし」を選択された場合、結果は画面に表示されないため、「フローのリスト」の右側にある「以前の結果」からCSV形式のファイルとしてダウンロードしてください。
注意点として、CSV形式のため、グラフ表示には対応していません。
なお、CSVに出力する項目は「出力」の「新しい出力の作成」から項目を選択することで、出力した項目を変更することができます。


記事公開日:
Dashboard and Reportsで読み取り専用アカウント権限のユーザーにダッシュボードを参照させることは可能でしょうか。

admin権限のユーザーでDashboard and Reportsに作成したダッシュボードを読み取り専用ユーザーに共有するには、 ダッシュボード作成時に、「ダッシュボードを共有」にチェックを付けていただくと読み取り専用アカウント権限のユーザーでもダッシュボードを共有できます。
しかし、それだけではダッシュボードのウィジェットを全て共有することはできません。
ダッシュボードに追加したウィジェットも共有する場合には、読み取り専用ユーザーにウィジェットで利用しているプロファイルやソースを割り当てる必要があります。

プロファイルやソースの割り当て方法は以下です。

1.Configuration Center>システム>ユーザ設定>役割 にて該当の役割の「編集」ボタンを押す。
2.「FMC」タブの「割り当てられているプロファイル」と「割り当てられているソース」にて共有したいダッシュボードのウィジェットで使用しているプロファイルやソースを選択する。


記事公開日:
レポートのチャプターを新規作成後、そのチャプターを設定したレポートを表示すると新規作成したチャプターが「選択された期間に使用できるデータはありません。」と表示され、グラフなどが表示されません。
表示できるようになるまで、どのくらい時間がかかかりますか?

Monitoring Center>レポート>チャプター にて新しいチャプターを作成時に、再計算を1日/10日/30日から選択していただくことでその選択した日にち分の過去のグラフが表示されます。 「再計算しない」を選択すると、チャプターを作成した時点からのデータを取得するので過去のグラフは表示されません。

また、再計算を1日/10日/30日から選択した場合も、バックグラウンドで計算が終わるまではデータが無いためグラフは表示されません。
バックグラウンドで行われている計算状況は Configuration Center>FMC設定>レポート>基本設定 の「ジョブ計算の進捗状況」にて確認できます。
処理するジョブがある場合は、「キュー内のジョブ:xx」のように表示されます。
よって、バックグラウンドで計算が終わり次第、グラフが表示されることになります。


記事公開日:
Flowmonに設定しているDNSサーバーのIPアドレスの変更方法を教えてください。

Flowmon設定のDNSサーバーのIPアドレスは「コンフィグレーションセンター」→「システム」→「インターフェースの変更」にある
「プライマリDNS」/「セカンダリDNS」の設定から変更可能です。


記事公開日:
Flowmonのアプライアンスログは2種類ありますが、それらの違いを教えてください。

  1. アプライアンスログの「暗号化しないでダウンロード」は、ログの展開が可能であり、アプライアンスログの中身を確認可能です。
  2. アプライアンスログの「暗号化してダウンロード」は、開発元のみアプライアンスログの中身を展開・確認可能です。


記事公開日:
Flowmonが使用しているApacheのバージョンは何ですか。

FOS 12.01.01では2.4.6を使用しています。

Apacheのバージョンは以下のコマンドで確認することができます。
[flowmon@localhost ~]$ apachectl -v
Server version: Apache/2.4.6 (CentOS)
Server built: Jan 25 2022 14:08:43


記事公開日:
FlowmonのベースOSは何でしょうか?

FlowmonはCentOS Linux 7を使用しています。
詳細はFlowmonのCLIより hostnamectl コマンドを使用することで確認できます。
また、FlowmonOS Ver11以降の場合はcat /etc/redhat-release コマンドでも確認することができます。


記事公開日:
使用するDNSサーバの変更作業を計画しています。想定される作業影響は何か有りますか?
また、作業前後で確認した方が良いことは有りますか?

Flowmonは、参照するDNSサーバに登録されているIPアドレスのみをドメイン解決することが出来るため、DNSサーバに登録されている情報がDNS参照先の設定変更前と変更後で異なる場合(例えば、LAN内の機器を登録している内部用DNSから、外部公開用のDNSに変更した場合等)は、Flowmonで名前解決が出来るIPアドレスが変わる可能性があります。

作業前後に、ドメイン名解決を有効にして解析を実行することで、ドメイン解決が正常に行われているかを確認することができます。
ドメイン解決を有効にする方法は以下をご参照ください。
Configuration Center>Flowmon画面右上のアカウント名をクリック>ユーザ設定>「+解決」>「ドメイン名解決」にチェックを入れる上記の手順でドメイン名を有効にした後、Monitoring Center>解析>高度な解析 にて任意の設定で解析を実行し、IPアドレスがドメイン名で表示されていれば、ドメイン解決は正常に動作しています。
なお、FlowmonのDNSは1時間キャッシュされますので、設定変更後、1時間以内に動作確認を実施する場合はDNSキャッシュクリアも必要に応じて実施してください。

DNSキャッシュのクリア方法は以下のFAQを参照してください。 https://flowmonbp.orizon.co.jp/faqlist/flowmon-faq-342


記事公開日:
DNSのキャッシュをクリアする方法はありますか?

DNSのキャッシュはGUIもしくはCLIからクリアすることが可能です。

【GUIからDNSのキャッシュクリア】
Configuration Center>システム>システム設定>管理インターフェース1 にて「保存」ボタンの横にある「DNSキャッシュの消去」をクリックしてください

【CLIからDNSのキャッシュクリア】
Flowmonは、nscd.serviceを使用してDNSのキャッシュを行っていますので、nscd.serviceを再起動することでDNSのキャッシュをクリアすることが可能です。
手順は以下を参照してください。

  1. 1.FlowmonコンソールにSSHで接続します。
    「Teraterm」などのssh端末ソフトで、Flowmon管理コンソールのIPにアクセスします。
    ホスト:<FlowmonのIPアドレス>
    ユーザ : flowmon
    パスワード : inv3a-t3ch(初期パスワード)
     ※実際の設定値は、パラメータシートにてご確認ください。
    コマンド pwdでログイン後のパスが /home/flowmon/ であることを確認してください。

  2. 2.以下のコマンドを実行します。
    sudo /sbin/service nscd restart

ローカルDNSキャッシュの有効期限は1時間ですので1時間が経過するとキャッシュは更新されますが、すぐにキャッシュを更新されたい場合は上記の手順を実施してください。


記事公開日:
最終更新日:2023.04.13
設定ファイルをアップロードすると同じ状態に変更されますか?
設定ファイルをアップロードする際の条件があれば教えてください。
また、xmlファイルをテキストエディタ等で一部情報のみ変更し、その変更後のxmlファイルをアップロードした場合、Flowmonの設定もxmlファイルの情報が反映されますか?

設定ファイルアップロード時のモードによって設定ファイルアップロード後のFlowmonの状態が変わります。

Configuration Center>システム>メンテナンス>設定ファイル>アップロード にて、 設定ファイルを選択し、「アップロード」をクリックすると アップロードする項目を選択する画面が表示され、任意の項目のみをアップロードすることが出来ます。
最下部の「追加設定」にて、「追加して変更」もしくは「削除して作成」が選択できます。
「追加して変更」では対象の機器に元々存在してるソースやプロファイルに加え、設定ファイルに存在するソースやプロファイルが追加されます。 また、対象の機器に既に存在するソースやプロファイルは設定ファイルに従って変更されます。
「削除して作成」では対象機器に元々存在しているソースやプロファイルは一旦全て削除され、設定ファイルに存在するソースやプロファイルが作成されます。 ソースやプロファイルが削除されますと今まで受信したフローデータも削除されますのでご注意ください。
バージョンが異なるFlowmonに設定ファイルをアップロードする場合、保証されているのは前のバージョンの最後の安定版となります。 例えば、バージョン11.0.xからダウンロードされた設定ファイルは、バージョン11.1.yと互換性があります。
xmlファイルを修正し、それをアップロードするとその変更内容が適用されます。


記事公開日:
最終更新日:2023.04.13
SMTP認証のパスワードを入力して保存した際に、パスワード欄が空白となりますが、 この状態でパスワードの設定は反映されていますか?
Flowmonのメール通信は、Flowmonへログインするインターフェースと同様の管理用インターフェースから送信されますか?

メールの設定にてSMTP認証のパスワードを入力し保存するとパスワード欄は空欄となる仕様です。

管理インターフェース1のみを使用している場合は管理インターフェース1から送信されます。
もし、管理インターフェース2も使用している場合は、メールサーバへのルーティング設定に従ってインタフェースが選択されます。
従って、Configuration Center>システム>システム設定>管理インターフェース2 にて「IP設定の有効化」を有効にした際に表示される「スタティックルート」にてメールサーバ向けのスタティックルートが設定されていれば、管理インタフェース2から送信され、何もスタティックルートが設定されていなければ、デフォルトゲートウェイに従うため、管理インタフェース1から送信されます。


記事公開日:
最終更新日:2023.04.13
監視対象機器からのNetFlow送付を「サンプリング200」で計画していましたが「サンプリング無し」で送付する事になりました。
Flowmon側のリソース(秒間あたりのFlow数とDISK)枯渇を防止するため、 対策として、何か有効な手段はありますか。
例) Flowmon側でFLowデータを受信する際にサンプリングする、など

FlowmonコレクタではすべてのFlowを受信する仕様の為、Flowを間引きすることはできません。

Disk枯渇への処置として、すべてのトラフィックが保持されているAll sources領域を少し削減し、長期保持したい対象トラフィックで個別にプロファイルを作成することで、特定のトラフィックをある程度長期保存することはできます。 
※全体トラフィックの保持期間は減ります。

プロファイルの作成はmonitoring center>プロファイル>プロファイル編集>新しいプロファイルにて作成することができます。 プロファイルを作成する際に「実プロファイル」「最大サイズ」、「保存期限」を設定すると、 1つのプロファイルで保存できる最大データや保存期間を設定できます。

なお、サンプリングでFlow受信した場合には、サンプリングレートでパケットを間引くため、すべてのトラフィックがまんべんなく保持できます。
プロファイルの場合にはフィルタを指定し、あらかじめ特定のトラフィックで絞る必要がございますのでご留意ください。


記事公開日:
最終更新日:2023.04.13
LDAPについて、ユーザ追加の流れとして新規ユーザをローカルで作成し、役割等を割り当て、 ダッシュボードの設定をしたのちにLDAPの設定をしてAD連携する流れと理解しています。
この際追加するユーザが他のフロー可視化装置でLDAP設定してあった場合でも 新たに追加したフロー収集可視化装置のユーザはLDAP設定をするまでは ローカルユーザとして設定したパスワードでログインできるでしょうか。

LDAPの設定(AD連携)前にローカルでFlowmonユーザを作成した場合、ローカルユーザとして設定したパスワードでログインできます。
しかしながら、仕様上、ローカルで作成したユーザをADサーバ上で編集することができません。
よって、LDAP設定(AD連携)後には別途ADサーバのユーザを作成していただき、Flowmonにログインする必要があります。

ADサーバーと連携してユーザー作成を行う流れは以下になります。
1) ADサーバーにFlowmonで使用するユーザ及び、グループを作成します。
2) Configuration center>システム>システム設定>LDAP設定(AD連携)を行います。
3) Configuration center>システム>ユーザー設定>役割にてADサーバに作成したグループを役割として登録します。

ADサーバーで作成したユーザ(グループに所属している必要あり)でFlowmonにログインをした際に、ユーザが自動作成されます。


記事公開日:
最終更新日:2023.04.13
Configration Centerのリスニングポートの画面で 「欠落しているタイムスタンプの生成」→「アクティブタイムアウト」項目がありますが、こちらはどういう機能ですか。

リスニングポートの画面で「欠落しているタイムスタンプの生成」>「アクティブタイムアウト」機能は、フローソースがタイムスタンプを生成できない場合、Flowmonコレクタ自体がタイムスタンプを生成する設定です。
※タイムスタンプなしのフローを正しく受信するには、アクティブタイムアウト値を手動で設定する必要があります。


記事公開日:
最終更新日:2023.04.13
設定ファイルをアップロードする時の影響を教えてください。

アップロード中には設定ファイルをアップロードしたことによって(プロファイル数、ソース数)、システム負荷が上昇する場合がございますが、こちらはら一時的な現象です。

また、弊社の環境で確認したところ、アップロード中にはnfsenサービスが再起動されます。
※nfsenとはプロファイルの作成及びビルトインコレクタのプロセスを監視するものです。
nfsenの再起動により、一時的にトラフィックグラフが欠ける可能性があります。


記事公開日:
最終更新日:2023.04.13
Flowmonで受信したフローデータを他の製品(Flowmon以外)に転送することは可能ですか。

可能です。設定手順は以下をご参照ください。
【プローブの場合】
Configuration Center>モニタリングポート>使用したいポートの「ターゲット」タブの「新しいターゲット」にてフローデータの転送先IPアドレスを登録します。

Flowmon画面右上のはてなマークから展開できるユーザーガイドの 4.Configuration Center>4.3モニタリングポート の「ターゲット」にて詳細をご確認いただけます。

【コレクタの場合】
Configuration Center>FMC設定>ビルトインコレクタ>ターゲットの転送>新しい転送 にて転送先のIPアドレスと使用するリスニングポートを入力します。

Flowmon画面右上のはてなマークから展開できるユーザーガイドの 5.Flowmon Monitoritng Center>5.1 FMC設定 の「ビルトインコレクタ - 転送ターゲット」にて詳細をご確認いただけます。


記事公開日:
最終更新日:2023.04.13
①データベース機能を内包しているか
②ログを生成する機能があるか
 ※主にアクセスログとSQLログ。
③データベース内のデータは暗号化されているか
④機器の各種設定情報は、暗号化されているか

①Flowmonでは PostgreSQLを使用しています。

②Flowmon GUI及びCLIからではデータベースのログを生成することができませんが、データベースのログはアプライアンスログに含まれます。
※データベースへのアクセスログは記録していません。
データベースのログを確認したい場合、暗号化しないアプライアンスログをダウンロードしていただき、ログファイルを展開しますと、postgresフォルダの中にデータベースのログを確認いただけます。

③FlowmonのデータベースはFlowmonの設定、レポート、アクティブデバイス、ユーザ管理等を保存するために使用されます。
※フロー データはデータベースではなく、nfcapdファイルに保存されます。
そのため、データベースに保存されているパスワードのみが暗号化されます。
その他は暗号化されていません。

④パスワードのみが暗号化されますが、その他の設定情報は暗号化されません。


記事公開日:
最終更新日:2023.07.04
スクリプトファイルを/tmp/配下に置きたいのですが
①/tmp/配下に置いたファイルは再起動または一定の時間等、何らかのイベント発生で消えますか?
②スクリプトファイルを置きたい場合、/tmp/配下以外に読み書き等が可能なディレクトリはありますか?

①/tmp/配下、/var/tmp/配下にあるファイルは定期的に削除されます。
②スクリプトを置きたい場合は、/home/flowmonの配下に新しいディレクトリを作成し、そちらにスクリプトファイルを置いてください。


記事公開日:
最終更新日:2023.07.04
「プロファイル名」「グループ名」「チャネル名」で使用できる文字、また最大文字数を教えてください。

弊社で確認をしたところ、「プロファイル名」と「チャネル名」は英数字、日本語、空白、また以下の記号が使用可能です。
※全ての記号が網羅されているわけではありませんので使用されたい記号があれば弊社サポートまでお問い合わせください。

!”#$%&'()=~|<>?_{}[]-^\,./;:@「」

また、最大文字数は100文字です。
※プロファイル作成時は100文字以上入力可能ですが、保存すると100文字に省略されます。

「グループ(名)」に使用できる文字はa~z、A~Z、0~9のみです。
また、最大文字数は31文字です。※31文字以上は入力できません。


記事公開日:
最終更新日:2023.07.04
Flowmonにて、cronや/etc/rc.d/rc.localのチューニングを行っても問題ないでしょうか?

一般ユーザには/etc/rc.d/rc.localの書き込み権限がないので編集は出来かねます。
※rootパスワードは公開されておりません。
cronを編集することは可能です。
シェルを使用して、cronで定期的に実行するように登録することは問題ありませんが、
tcpdumpやシェル、cronについてはサポート対象外となります。


記事公開日:
最終更新日:2023.07.04
tcpdumpでパケットを取得する場合、どのディレクトリにファイルを保存すればよいですか。

弊社ではtcpdumpでパケットを取得する際に/home/flowmonにファイルを保存していただくように案内をしています。
( tcpdump -s0 -i <ネットワークインタフェース 例:eth0> host <ソースのIP address> -w <ファイル名>.pcap )
しかし、/home/flowmonの容量を消費しないように、tcpdumpファイルをローカルに保存した後、pcapファイルを削除するように推奨します。


記事公開日:
最終更新日:2023.07.04
nfcapdファイルの中身を確認する方法はありますか?

1.Flowmonコンソール(CLI)にログインしてください。
2.1.nfcapdファイルが/mnt/external/下にある場合、以下のコマンドを実行します。

/usr/local/bin/nfdump -R /mnt/external/<プロファイル名>/<チャネル名>/<年>/<月>/<日>/nfcapd.202104152350 -c ’20’
※ -c ’20’ はデータを20個まで出力されるオプション

2.2.nfcapdファイルがローカルにある場合
WinSCP等のssh コピー(SCP)機能を持ったソフトウェアで管理コンソールにアクセスして、nfcapdファイルを /home/flowmon/下に保存し、以下のコマンドを実行します。
/usr/local/bin/nfdump -R /home/flowmon/nfcapd.202101290005 -c ’20’ 


記事公開日:
最終更新日:2023.07.04
「アプライアンスログ」は「ログ」>「システムアクティビティログ」と同様のものですか。
「アプライアンスログ」、「システムアクティビティログ」それぞれのログの中身を教えてください。

アプライアンスログとシステムアクティビティログは別のものです。
システムアクティビティログは、アプライアンスログの中に含まれます。

◆システムアクティビティログ
上記はシステムログが表示され、Flowmonシステム内で発生するイベントが記録されます。
/var/log/daemon、/var/log/messages、/data/components/flowmonexp/log/flowmonexp.log、/var/log/li.log等が表示されます。

◆アプライアンスログ
上記はシステムイベントログ、Flowmonの設定ファイル、その他の重要な情報が含まれます。
アプライアンスログは基本的には開発元がトラブルシュートを行うために利用するログとなっており、含まれる情報については開示されていません。
しかし、アプライアンスログを暗号化しないでダウンロードすることによって、ログの中身を参照いただくことは可能です。


記事公開日:
最終更新日:2023.07.04
Flowmonが使用している内部のメールサーバを教えてください。

FlowmonにはPostfixがインストールされていますが、その機能は使用しておらず、
メール送信にはPHPの機能を使用しております。


記事公開日:
最終更新日:2023.07.04
フローデータのライブチェックは閾値を超えた場合、どのように通知されますか。

フローデータのライブチェックの通知はベルマークから確認できるシステムメッセージに表示され、 admin権限を持ったユーザーに設定されているメールアドレス宛にも通知されます。

また、Configuration Center>システム>システム設定にてSNMP TrapやSyslogが 有効になっている場合はフローデータのライブチェックのTrapやsyslog通知が可能です。
ただし、FOS12.02まではSNMP Trapが有効になっていてもフローデータのライブチェックのTrap通知されない不具合が発生しています。
この不具合はFlowmon OSバージョン12.03で修正される予定です。

回避策として、/var/www/libs/flowmon/にある「reporting.conf」を開き、 trap_server = ”localhost”と記載されている箇所を trap_server = ”お客様の送信先サーバのIPアドレス”に変更することで SNMP Trapが送信されるようになります。
※必要に応じてtrap_port、trap_ver、trap_cstringも変更してください。


記事公開日:
最終更新日:2023.07.04
証明書情報の削除方法を教えてください。

GUIで証明書情報を削除する方法はありませんが、Flowmonコンソールでの削除は可能です。
手順は以下の通りです。
1.FlowmonコンソールにSSHで接続します。
「Tera term」などのssh端末ソフトで、Flowmon管理コンソールのIPにアクセスします。

2.下記コマンドを入力してください。

sh restore_factory_settings.sh

※本コマンドは設定及びデータの初期化を行うため、以下の質問以外は「n」を入力してください。
「y」を入力すると設定及びデータが初期化されるため、ご注意ください。

Do you want to restore default HTTP and PostgreSQL SSL certificates? [Y/n]: y
(上記の質問を「y」に記載すると、HTTPとFlowmonで利用しているデータベースPostgreSQLの認証が初期化されます)


記事公開日:
最終更新日:2023.07.04
FCC>モニタリングポート>新しいターゲットにて、「このターゲットにフィルタを使用する」を有効にした際に表示される「サンプルフィルタの使用・変更」にフィルタを追加することは可能ですか。

いいえ、当箇所にフィルタを追加することは出来ません。


記事公開日:
最終更新日:2023.09.15
SWでの提供ですか?

SW、HWでの提供がございます。
SW版はVMwareやHyper-V、クラウド版をご用意しているので、環境を選ばずご利用いただけます。
Flowmonではスペックの高いHWを採用しているため、物理版の方がパフォーマンスも安定しおすすめですが、すでに仮想環境を利用している場合や、オンプレ環境を利用したくないといった場合に仮想版もご好評いただいております。


記事公開日:
最終更新日:2023.09.15
長期保存や大規模な場合、コレクタを推奨している理由を教えてください。

Collectorを推奨する理由として、処理性能がCollectorの方が優れているという点もございますが、Probeの機能制限によるところが大きいです。
ProbeはFlow生成専用機となりますが、1TBのストレージも同梱しており、単独でのFlow解析も可能です。
ただし、Probeは1TB以上のストレージはご用意がなく、自身が生成したFlow情報のみしか受信できないため、複数のFlow生成機のトラフィックを集約することができません。
これら制限を考慮すると、長期保存、大規模環境では不向きといえます。


記事公開日:
最終更新日:2023.09.15
Flowmonが正式に対応しているブラウザを教えてください。

Flowmonが正式に対応しているブラウザは3つです。
○Google Chrome
○Firefox
○Microsoft Edge

なお、FlowmonではInternet Explorerのサポートはしておりません。


記事公開日:
最終更新日:2023.09.15
スイッチからフロー統計データを出力させるとスイッチの負荷が上昇してしまうのではないでしょうか?

お客様環境のNW機器のスペックにもよりますが、10%~20%程度が一般的のようです。
フロー生成機のプローブを入れるとNW環境に負荷をかけずにフロー解析を始めることができるので、コレクタ+プローブでの導入がおすすめです。


記事公開日:
最終更新日:2023.09.15
プローブでプロファイルを作成し、容量を大きくとると、All Sourcesの領域が小さくなるのでしょうか。

プロファイルにはAll Sourceからデータをコピーして格納するリアルプロファイルと、フィルタだけを登録するシャドウプロファイル(データ自体はAll Sourceを参照)がございます。
前者の場合はストレージを消費しますので、All Source等に割り当てられるストレージ容量は少なくなります。


記事公開日:
最終更新日:2023.09.15
Flowmonと他製品との優位性は?

FlowmonProbeがあることが一つです。
これにより、一部L7情報を解析可能(HTTPホスト名や遅延値)となります。
また、SNMPやパケットキャプチャと比較すると、詳細データを長期保存して過去に遡って解析可能です。


記事公開日:
最終更新日:2023.09.15
物理版と仮想版の違いは?

プローブにつきましてはパフォーマンスとの兼ね合いから非常に高い割合で物理アプライアンスにてご検討・採用いただいております。

また、コレクタにつきましても監視対象のFlow(トラフィック)量次第とはなりますが、プローブ同様にパフォーマンスの観点、手離れの良さから物理アプライアンスにてご提案いただくケースが多いのが実情と言えます。(物理70%:仮想30%程度)
障害発生時の切り分けに関しても、物理版に分があるといえるかと存じます。


記事公開日:
最終更新日:2023.09.15
フロー受信ポートは?

Flowmonではデフォルトですと下記のポートが使える状態となっております。
一般的にNetFlowやsFlowは下記のポートでやり取りされるますので、別のポートを使われる場合はご注意ください。

Probeからのフロー →3000
NetFlow →2055もしくは9996
sFlow →6343
※全てUDPです


記事公開日:
最終更新日:2023.09.15
アラート機能における条件の〇は、条件を満たす場合、一回のみに設定した時、〇回しきい値を超えたら発行するという認識であってますか?

例えば閾値を100Mbpsとし、条件を2回とすると、2回閾値を超えた場合にアラートが発行されます。


記事公開日:
最終更新日:2023.09.15
アラート機能におけるサイクルの〇は、1であれば、5分間で〇回しきい値を超えたら発行、
2であれば、10分間で〇回しきい値を超えたら発行であってますか?

サイクルはアラートを抑制する間隔になります。
条件2回(2回閾値を超える)を1セットとし、サイクルが0(ゼロ)であれば条件を満たすごとに発行され、サイクルが1であれば、発行→抑制→発行というサイクルになります。


記事公開日:
最終更新日:2023.09.15
オンプレ版アプライアンスと仮想アプライアンス版では特に機能差異はないとの認識ですが、相違はありませんでしょうか?

処理能力がオンプレ版の方が高く、より快適な操作が可能となっております。
一方、仮想版には2ポート分のモニタリングポート機能があり、パケットを受信して自身でフローに変換することが可能です。


記事公開日:
最終更新日:2023.09.15
アラートのしきい値を超えているかの判定は、リアルタイム(1分毎)か一定周期のタイ ミングのどちらですか?
その際のトラフィックは、1分平均のデータ又は5分平均のデータで、しきい値を超えているか判断しているのでしょうか?

プロファイルの粒度によって異なります。
30秒/1分プロファイルの場合は1分毎での閾値判定、5分プロファイルは5分単位で閾値判定となります。


記事公開日:
最終更新日:2023.09.15
A系のフローとB系のフローを分けて情報を管理したい場合に、Flowmonコレクタはどういう構成を取れますか。

1台のコレクタで管理1、管理2のインターフェースを使ってフローを収集する方法があります。
A系とB系のフローを統合して見ることも出来ますし、別々に見ることも出来ます。
また、権限の設定で、AのアカウントはA系のデータのみ、BのアカウントはB系のデータのみを閲覧させるといったこともできます。


記事公開日:
最終更新日:2023.09.15
A系、B系別々にコレクタが必要だとした場合に、A系、B系まとめて情報を見ることができますか。 別に管理装置のようなものが必要でしょうか。

コレクタの分散時に、一元管理するためのマスターユニットというアプライアンスがございます。
2台のコレクタに加え、マスターユニットを入れていただくことでA系、B系のフローをまとめて見ることができます。
実際のフローデータは各コレクタに保存され、そこからマネージメントデータをマスターユニットに送ることで統合管理するというものです。


記事公開日:
最終更新日:2023.09.15
Flowmonのライセンスにおいて、監視ノード数などの制約事項はありますでしょうか。

Flowmonのライセンス形態はストレージ容量となりますので、監視ノード数の制限等はございません。


記事公開日:
最終更新日:2023.09.15
通信先IPアドレスの所属するAS番号は表示可能でしょうか。
表示可能な場合、利用のための条件(whoisを引くためにインターネット接続必須など)があれば教えてください。

Flowmonでは4つのAS番号を識別可能です。
・IPアドレスを基にASを判断
送信元/宛先AS:送信元/宛先IPアドレスの情報を基に、データベース内に保持しているASリストと突合し、AS番号を出力します。
AS番号はIANAでグローバルIPとともに管理されている為、グローバルIPに紐づいたグローバルAS番号が定義されています。
Flowmon内部ではリストを持っている為、すべてのグローバルIPに応じた一意のAS番号が割り当てられている認識です。リストの更新間隔はバージョンアップ毎になります。

・Flow情報内のAS番号基に判断
プリビアス/NextAS:ルータが生成するFlow情報にAS番号を付与します。Flow生成ルータの前後のAS情報を出力可能です。
ネットワーク機器がFlowを生成する際、IPアドレスやポート番号と同様に、AS番号も生成可能です。
その際、ルータの前後(プリビアス/Next)のAS番号をFlow情報に付与します。
Flowmonでは生成されたフローにおける前後のAS番号を表示可能です。
なお、AS番号についてはFlowmon内部で企業名とのリストを持っており名前解決を行い出力することが可能です。


記事公開日:
最終更新日:2023.09.15
SNMPサーバ+Syslogサーバの運用から、Flowmonのみの運用へ変更されている実例もあるという事でしょうか?

SNMP監視サーバとSyslogサーバ、Flowmonは用途が異なるため、置き換えではなく併用となります。
Syslog監視機能はFlowmonにはございません。
SNMP監視ツールはトラフィックの流量の監視、具体的にどんなトラフィック多く流れたのかを可視化するのがFlowによるトラフィック監視となります。


記事公開日:
最終更新日:2023.09.15
マルチテナント機能について説明してください。

マルチテナント機能は、FlowmonOSv11.00で実装された新機能となります。
マルチテナント機能により、テナント単位で分離されたユーザアクセス環境を構築できます。
テナント毎に管理者を作成し、テナント内でユーザと役割を管理します。
テナント管理者は、テナントの定義に従って、使用するフローソースやプロファイルをユーザーにを割り当てることができます。
デフォルトでは、現在の権限がすべてベーステナントで定義されています。
従来のユーザ、および役割(権限)は、デフォルトの単一テナントモード(ベーステナント)を使用することでそのまま引き継ぐことができます。


記事公開日:
最終更新日:2023.09.15
回線帯域に制限はありますか。

プローブのモニタリングポートの回線帯域であれば、1/10/40/100Gbpsに対応しております。
コレクタの管理ポート(Webアクセス/Flow受信用)はデフォルトでは1Gですが、10Gオプションがございます。


記事公開日:
最終更新日:2023.09.15
ネットワーク機器のリプレースが頻繁にある会社で合った場合、Flowmonでも何か設定変更しないといけないでしょうか?

Flowmonでは特に設定変更をする必要はございませんが、ネットワーク機器を用いてFlowを生成している場合は、リプレース後にネットワーク機器のFlow生成の設定を再度入れて頂く必要がございます。


記事公開日:
最終更新日:2023.09.29
解析結果をTXT、CSV、PDF、にダウンロードできるのはコレクタだけでも可能ですか?

解析結果のエクスポート機能はコレクタの機能となりますので可能です。
また、プローブにもミニコレクタの機能があるので、プローブにおいても可能です。


記事公開日:
最終更新日:2023.09.29
拠点別トラフィックを取得する場合、拠点毎にFlowmonが必要ですか。

拠点のトラフィックがDCに集約されている場合には、DCのトラフィックを取得いただくことで拠点単位での可視化が可能です。
ローカルブレイクアウトを行っている場合には、拠点単位でFlow生成を行う必要があります。


記事公開日:
コレクタで受信できるFlow生成機の数に制限はありますか?

明確な制限はございませんが、弊社実績といたしましては800台ほどの実績がございます。


記事公開日:
例えば、5拠点の詳細なトラフィック調査をする場合は、各拠点にプローブを導入する必要があるのでしょうか?
コレクターのみで対応出来るのでしょうか?

拠点のトラフィックがDCに集約されている場合には、DCでトラフィックを取得いただくことで拠点単位での可視化が可能です。
集約ポイントがない場合には、各拠点のNW機器でFlow生成を行か、Probeを設置いただく必要がございます。


記事公開日:
Flowmonは解析したい機器のミラーポートを使用するという認識ですが、2つのインターネットに繋がる各A、Bという機器を解析したい場合、Flowmonは2台必要となりますか。

Probeはモニタリングポートの数に応じていくつかのモデルがありますので1台で問題ありません。
また、ミラーポート毎のトラフィックは区別してFlow化されますので、それぞれの回線を区別して解析可能です。


記事公開日:
Flowを取得する本番環境から収集したデータを移送(USBメモリ等で)して、OA環境上に構築したFlowmonで解析するような使い方はできますか?

出来ません。
Flowmonのグラフ描画はFlowを受信したタイミングで描画される仕様の為、実際にトラフィックが流れた時刻とグラフ描画の時刻が異なることが想定されます。


記事公開日:
Flowmonでループ発生、LANケーブル断、スイッチ故障の検出は可能でしょうか?

トラフィック量の減少、フローが飛んでこないなどの要素であれば判断可能です。
しかしコレクタにFlowを送っているか、トラフィックをProbeに送っている機器の検出のみとなります。


記事公開日:
コレクタ或いはプローブのみでも運用は可能でしょうか?

可能です。
コレクタのみの場合、フロー生成を行う必要があるため、NW機器がFlow生成可である必要となります。
プローブのみ場合、物理版プローブのビルトインコレクタを使用することで、Flow生成およびFlow分析が可能です。


記事公開日:
ビルトインコレクタは通常コレクタと同じことができるのか?

機能に差異はございません。
ただしビルドインコレクタは1TBのみでのご提供、他のNW機器が生成したFlow情報を取得できない制限があります。


記事公開日:
プリセットのURLアップデートは自動的に更新されますか。

自動的にではございません。
アップデートされたら通知が届き、その後手動で更新する必要があります。


記事公開日:
HTTPホスト名が取得・表示されません。

下記設定内容のご確認をお願いします。
全ての設定内容に問題がないにもかかわらず取得及び表示ができない場合、弊社サポートへお問い合わせください。
#クラウドプロキシを使用されている場合はプロキシサーバより先のHTTPホスト名情報を取得することが出来ません。
■リクエストは取得できるが、戻りの通信で取得できない場合
 ・単一のモニタリングポートで両方向(IN/OUT)のミラートラフィックを受信しているか
 ・Configuration Center>モニタリングポート>グローバル設定>高度な設定において「有効化されたL2フィールドをNetFlow IDに追加する」を無効にする
  ホスト名はリクエスト通信にのみ含まれる為、戻りの通信のホスト名はFlowmonでFlowをペアリングし表示しています。
  その為、両方向のトラフィックをセットでFlowmonが処理する必要があります。

■生成/取得がされていない場合
 ・Configuration Center>モニタリングポート>グローバル設定>高度な設定において「IPFIXレコードのオプションのL7値」の「HTTP」項目にチェックを入れる
 ・Configuration Center>FMC設定>フローのデータフィールド画面にある「Flowmon独自フィールド(IPFIX)」の「HTTPフィールド」にチェックを入れる


記事公開日:
NPM情報が取得・表示されません。

下記設定内容のご確認をお願いします。
全ての設定内容に問題がないにもかかわらず取得及び表示ができない場合、弊社サポートへお問い合わせください。
#「COAP」、「SMB」、「VOIP」、「DHCP」、「MYSQL」、「PGSQL」、「MSSQL」のトラフィックでは取得不可となります。
■リクエストは取得できるが、戻りの通信で取得できない場合
・単一のモニタリングポートで両方向(IN/OUT)のミラートラフィックを受信しているか
・Configuration Center>モニタリングポート>グローバル設定>高度な設定において「有効化されたL2フィールドをNetFlow IDに追加する」を無効にする

■生成/取得がされていない場合
・Configuration Center>モニタリングポート>グローバル設定>高度な設定において「NETFLOWレコードのオプションのL3/L4値」の「NPM」及び「拡張NPM」項目にチェックを入れる
・Configuration Center>FMC設定>フローのデータフィールド画面にある「Flowmon独自フィールド(IPFIX)」の「ネットワークパフォーマンスメトリックフィールド」にチェックを入れる


記事公開日:
最終更新日:2024.01.10
Flowデータと統計や履歴の保存期間を別々に設定することは可能ですか。

Flowmonでは、Flowデータのサマリは行いませんが、統計や履歴としてレポートを作成可能です。
レポートはトラフィック量グラフや統計基準に応じたTOPNを出力できます。
Flowデータとレポートデータのストレージ割り当ては別々に行うことが可能です。


記事公開日:
最終更新日:2024.01.10
レポート設定を行うことにより、コレクタのディスク消費量を削減可能ですか。

ストレージ割り当ては別々に可能ですが、レポートデータはあくまで統計情報となり、詳細解析はできません。
レポートはDB処理となり、Flowデータに比べディスク使用量は少ない傾向にあるため、
コレクタのディスク消費量削減にはつながりません。


記事公開日:
最終更新日:2024.01.10
解析グラフと時系列グラフのタイプスタンプの違いはなぜですか。

解析グラフ:フローを受信した時間でグラフ描画します。
時系列グラフ:パケットに含まれる時間で描画します。


記事公開日:
最終更新日:2024.01.10
L7分析できるのはプローブだけで、コレクタでは出来ないでしょうか。

L7情報を可視化するためには、FlowmonプローブでFlow生成する必要があります。
コレクタはFlow収集機の為、プローブで生成したFlowを受信している場合には解析可、その他NW機器でFlow生成した場合には解析不可となります。


記事公開日:
最終更新日:2024.01.10
FCC>リソースマネージャ>クォータの管理の「ディスクの使用状況」のFreeが0になっても良いでしょうか。

Configuration Center>リソースマネージャー>クォーターの管理にて「ディスクの使用状況」が90%を超えないようにご調整をお願いしております。
※空き容量(Free)の10%はFlowmonの各種作業領域に使用します。

「ディスクの使用状況」が100%になった場合、Flowmonの作業領域不足のため以下のような不具合が発生する可能性がございます。

・Flowmonの動作が不安定になる
・Flowmonにアクセスできなくなる

ディスクがいっぱいなることを防ぐため、
ver11以降では、自動クォータのチェック・調整の機能が実装されております。
自動クォータ調整機能により使用量が最も多いプロファイルのクォータが小さくなり、
保存できる容量を下げることによって古いデータから削除されます。

また、空き容量(Free)が10%以下になるとFlowmon画面右上のベルマークに以下のようなシステムメッセージが表示されます。

・システムがディスクの使用状況を削減することができません。ディスクが間もなくいっぱいになります。
・ディスククォータが超過しています(超過:xxG)。ディスクスペースを節約するために現在のクォータが削減されました。[クォータの管理]を確認してください。


記事公開日:
最終更新日:2024.01.10
設定ファイルでエクスポートされない項目を教えてください。

次の項目はFlowmonの設定ファイルにエクスポートされませんので、復旧することができません。
設定ファイルから復元する際には手動での対応を行う必要があります。

・カスタムsnmpd
 Configuration center>システム>システム設定>SNMP>SNMPD.CONFの編集

・ヘッダー内のロゴ
 Configuration Center>FMC設定>レポート>ブランディング

・カスタムASlist
 Flowmonコレクタ:Configuration Center>FMC設定>AS>カスタム AS
 Flowmonプローブ:Configuration Center>モニタリングポート>グローバル設定/各ポート設定>高度な設定>カスタムAS


記事公開日:
最終更新日:2024.01.10
レポートで使用できるスクリプトの種類を教えてください。

コンソール (SSH) で実行できるスクリプトはすべて、FMC(レポート)でも使用できます。(PHPやC言語など) 特定の言語が使用可能かどうかは、SSHで確認してください。


記事公開日:
最終更新日:2024.01.10
ログインする際のパスワードの設定規則はありますか。

パスワードは4文字以上54文字以内です。禁止文字はありません。
54文字より多く入れると、54文字に省略されます。


記事公開日:
最終更新日:2024.01.11
プロファイルの編集画面からグループ変更ができません。 プルダウンがグレーアウトします。

Monitoring Center>アラートにて、特定のプロファイルにアラートを設定している場合、 グループ変更のプルダウンがグレーアウトします。


記事公開日:
最終更新日:2024.01.11
追加したリスニングポートが、リモートアクセスに自動的に追加表示されなくなりました。

FMC設定>リスニングポートに登録がされていれば、問題ございません。

以前のバージョンでは、追加されたリスニングポートがリモートアクセス>アクティブなファイアウォールルールの許可設定にて自動的に追加されておりましたが、現在は仕様が変更されています。


記事公開日:
最終更新日:2024.01.18
リスニングポートを削除/追加した際の影響はありますか。

リスニングポートを削除/追加した際はnfsenが再起動されます。 nfsenとはプロファイルの作成及びビルトインコレクタのプロセスを監視するものです。 nfsenの再起動により、一時的にフロー収集が停止する可能性がございます。 なお、リスニングポートにフローが流れ始めたタイミングではnfsenは再起動されません。


記事公開日:
パケット損失が原因でリスニングポートの表示が黄色の警告マークになっています。どのくらいパケット損失がある場合に黄色の警告マークになるのですか。

損失したパケットが受信しているパケットの5%以上になると、リスニングポートの状態が黄色い警告マークで表示されます。


topへ戻る

仮想アプライアンス

仮想アプライアンスについての仕様・機能

記事公開日:
仮想アプライアンス版の仮想マシンの構成(メモリサイズやCPUの設定など)をvSphere Clientから変更することは可能ですか?

CPUとメモリの構成変更は可能です。
ただし、ストレージについては現在使用しているハードディスクをそのまま拡張することはできません。
新しいハードディスクを追加し、Flowmon上で付け替えてください。
VMの構成の変更方法については、VMware社にお問い合わせください。


記事公開日:
仮想アプライアンス版でストレージの拡張はできますか?

仮想版アプライアンスでストレージの拡張はできません。ストレージを新規作成しなおす必要があります。作り直したストレージは「Configuration Center」>「システム」>「データストレージ」の内部ストレージから作り直したハードディスクを選択し直し、再起動することで拡張できます。なお、再起動時に古いハードディスクの内容を新しく選択したハードディスクにコピーしてから起動されるため、データ量によって起動までに長時間を要します。
起動されるまでの間、新しいフローデータの受信は止まりますのでご注意ください。

記事公開日:

仮想アプライアンス版でストレージの縮小はできますか?

ストレージを新規作成しなおす必要があります。
クォータの管理で使用しているサイズを縮小後、作り直したストレージを「Configuration Center」>「システム」>「データストレージ」の内部ストレージから作り直したハードディスクを選択し直し、再起動することで縮小できます。なお、再起動時に古いハードディスクの内容を新しく選択したハードディスクにコピーしてから起動されるため、データ量によって起動までに長時間を要します。
起動されるまでの間、新しいフローデータの受信は止まりますのでご注意ください。

記事公開日:
データストレージ(内部ストレージ)がデプロイ時の約40GBのまま拡張されません。

仮想化基盤の機能を使用して直接ストレージ拡張を行った場合、Flowmonには反映されません。

Configuration Center > 概要 よりデータディスクの使用状況の合計サイズが約40GBで表示され、Configuration Center > システム > データストレージ > 内部ストレージ に40GBのストレージが存在せずに、認識されない大きなストレージが存在する場合は、仮想化基盤側でFlowmonが利用中のストレージを直接拡張した可能性が高いです。

Flowmonでは仮想化基盤 の機能を使用してデータストレージ(内部ストレージ)を拡張する動作は保証しておりません。
最悪の場合、データを損失する恐れがあるため手順書通りに新しいストレージと付け替える方法で拡張を行ってください。

なお、仮想化基盤の機能を使用して直接拡張を行った場合はアプライアンスログを取得し、開発元にて修正できるか否かを確認する必要が有ります。(修正が可能な場合は修正用のパッケージが提供されますが、別用途に再利用はしないでください。都度確認が必要となります)


記事公開日:
仮想基盤のサーバの更新を計画しています。CPUが変わるとFlowmonに影響しますか?

CPUが変わっても、その変更が仮想基盤自体に影響を与えない場合、Flowmonにも影響はありません。

ただし、仮想マシンをあるプラットフォームから別のプラットフォームに移行する場合は、FlowmonのHWIDが変更される可能性があります。
FlowmonのライセンスはHWIDに紐づいていますのでHWIDが変わりますと、新しいHWID用のライセンスを再発行するまでFlowmonを利用できなくなります。


記事公開日:
Flowmonのバージョン画面でopen-vm-tools バージョン:10.0.5 が存在しています。
open-vm-tools バージョン:10.0.5 はどういったものですか。

open-vm-toolsとは、VMware Tools の Linux ゲスト OS 用オープン ソースとして実装されたものであり、仮想マシンを最適化するためのツールです。
詳しくは以下のVMware社の情報を参照してください。
https://docs.vmware.com/jp/VMware-Tools/11.3.0/com.vmware.vsphere.vmwaretools.doc/GUID-28C39A00-743B-4222-B697-6632E94A8E72.html
https://docs.vmware.com/jp/VMware-Tools/11.3.0/com.vmware.vsphere.vmwaretools.doc/GUID-C48E1F14-240D-4DD1-8D4C-25B6EBE4BB0F.html

FlowmonのベースOSはLinuxであり、VMWare上にインストールしますと、open-vm-toolsもインストールされます。


記事公開日:
Hyper-V上にFlowmonをデプロイした後、システム負荷の値が100%になります。

Flowmonをデプロイした直後には重くなる場合もありますので、その原因でシステム負荷の値が100%となる可能性があります。

Hyper-V上にlowmonをデプロイすると、CPUはデフォルトでは1個のみ割り当てられます。
デフォルトのままで使用されている場合、システム負荷の値が100%となります。
Flowmon仮想アプライアンスをデプロイする時は各モデルの最小構成に従って各リソースをHyper-Vから割り当てる必要があります。
最小構成はスペックシートを確認してください。


記事公開日:
最終更新日:2023.04.13
Vmware上でFlowmonを導入する時、ディスクを追加する際に「シックプロビジョニング」と「シンプロビジョニング」選択があります。
上記の違いについて教えてください。

・シックプロビジョニング
 指定した容量の領域サイズを確保します。
 仮想ディスク作成時に指定した容量の領域サイズを確保しています。
 よって、シックプロビジョニングはパフォーマンスが高いです。

・シンプロビジョニング
 仮想ディスク作成時には最低限の領域のみ確保し、必要に応じて増加します。
 よって、シンプロビジョニングはシックプロビジョニングよりのパフォーマンスは低いです。

 ※パフォーマンスの具体的な違いについてはVmwareのサポートにご確認をお願いいたします。


記事公開日:
最終更新日:2023.04.13
Hyper-Vの統合サービスであるボリュームシャドウコピー(VSS)はサポートしていますか。

現在のHyper-Vの仮想アプライアンステンプレートには既にHyper-Vのツールが含まれておりますので開発元の検証環境では正常に動作しました。(商用環境での検証は行っておりません。) ボリュームシャドウコピーを実施する際にはデータの破損を避けるため、Flowmonの電源を切った状態で実施することを推奨いたします。


記事公開日:
最終更新日:2023.07.04
Hyper-Vで仮想HDDの移行を行う際、 現仮想HDD(チェックポイント有り)から追加仮想HDD(チェックポイントなし)への移行は可能ですか。

開発元が検証をしたところ、チェックポイントありの仮想HDDからチェックポイントなしの仮想HDDへの移行は成功しました。
また、移行後にチェックポイントを適用するとFlowmonは元のディスクを使用する事となります。


記事公開日:
最終更新日:2023.07.04
仮想環境としてNutanix(ニュータニックス)AHVに、仮想版コレクタの構築を希望しています。

VMware/Hyper-V/KVMなどはスペックシート内に構築可能な仮想環境として記載されておりますが、NutanixAHVに構築可能か/サポート対象として問題ないか教えてください。

Nutanixは公式にサポートされているプラットフォームではありません。
Nutanix環境でFOSが動作するかどうかは確認できていません。


記事公開日:
Flowmonを仮想マシン(VM)として導入することは可能でしょうか。
また仮想マシンとして導入することが可能な場合、注意すべき点はございますでしょうか。
特にcollectorの場合、コアスイッチのモニターポートからのトラフィックを受け取る必要があるため、ハイパーバイザーの設定が必要になる認識ですが、如何でしょうか。

仮想アプライアンス版もご用意がありますので、VM上で構築することが可能です。
注意点として、機能の差分はありませんが、性能面では物理版に比べて総じて低い性能となります。
Flow情報は通常のトラフィックと同様に転送されますので、VM上に構築したFlowmonに対してコアスイッチから疎通が取れる状態であれば問題はありません。


topへ戻る

保守内容

保守サポートについての仕様

記事公開日:
ハードウェアのEOS(保守期限)はありますか?

原則として保守契約後、5年間です。
保守契約時に6年保守などをご契約いただいた場合はその年数となります。


記事公開日:
HW障害時の保守部品の受け取りと回収にはお客様の立ち合いが必要ですか?

お客様の立ち合いが必要です。
交換用パーツは事前に運送業者によって配送されます。また、障害パーツは作業後に運送業者が回収を行います。
エンジニアによるパーツの持ち込み/持ち帰りは行っておりませんのでパーツの受け取り/受け渡しはお客様にてお願いします。


記事公開日:
最終更新日:2023.09.15
サポート体制はどのようになっていますか?

弊社にてFlowmonについてのお問い合わせ対応をいたします。
平日9時~17時内でメールでの障害対応や、技術サポート、アップデートなどへのサポートをいたします。
HWについては、翌営業日オンサイト対応や部品交換を、HW保守ベンダに委託しております。
また、Flowmonの開発元はチェコに拠点がありますがGUIやユーザガイドは日本語化しておりますので、安心してご使用いただけます。


記事公開日:
最終更新日:2023.09.15
価格はどれくらいですか?

パートナー制度を用いてFlowonをご提供しておりまして、価格もオープンプライスとなっています。
御見積につきましては、パートナー様経由でご提供しておりますので、弊社HPに掲載しているパートナー会社様一覧をご確認ください。
当方宛てにパートナー会社様をご連絡いただければ、ご希望に沿って対応させていただきます。


記事公開日:
最終更新日:2023.09.15
保守への加入は必須ですか?

初年度は必須です。
アプライアンスは買い切りの為動作に影響はありませんが、保守サポート窓口のご利用、バージョンアップはできなくなります。
9割以上のお客様は継続して保守サポートをご契約いただいております。


記事公開日:
最終更新日:2023.09.15
1.契約形態と値頃感を教えて下さい
2.導入支援のサービスはありますでしょうか

1.アプライアンスとして販売しておりまして、本体費用と年間保守費用が必要になります。
これは物理アプライアンスと仮想アプライアンスのどちらも同じです。

2.導入作業の役務としてご用意がございます。
導入やエンドユーザ様への提案をご検討でしたら、まずは弊社営業までご相談ください。


記事公開日:
最終更新日:2023.09.29
御社から直接購入可能でしょうか。

パートナー制度を用いてFlowonをご提供しておりますので、弊社より直接販売は行っておりません。
御見積につきましては、パートナー様経由でご提供しておりますので、弊社HPに掲載しているパートナー会社様一覧をご確認ください。


topへ戻る

時刻同期

時刻同期についての仕様・機能

記事公開日:
フローが持つ時間とFlowmonの時間が大きくずれている場合でも、フローは正常に取得できますか?

解析はできますが、グラフと解析結果に正規時刻とのずれが生じてしまい、より正確な解析はできなくなってしまいます 。そのため、時刻同期設定を必須とさせていただいております。


記事公開日:
Flowmonの時刻を手動で設定することはできますか?

Flowmonは手動で時刻を設定/修正することはできません。
ネットワークの可視化という製品の都合上、正確な時刻を必要としますので、NTPサーバと同期する必要があります。


topへ戻る

監視

Flowmonの監視についての仕様・機能

記事公開日:
FlowmonのOSで動作しているプロセスで監視しておくべき項目はありますか?

FlowmonのOSで動作しているプロセスで監視しておくべき項目につきましては、お客様のご利用方法にて異なりますが、主要な項目については以下になります。

nfdump:クエリの計算、チャプタの計算プロセス
nfprofile:プロファイルの作成プロセス
folwmon-main:エクスポーター(モニタリングポート)プロセス
nfcapd-streamd:ビルトインコレクタのプロセス
suricata-main:suricataプラグインプロセス


記事公開日:
ストレージ容量をCLIコマンドで監視する方法を教えてください。

CLIにてストレージ容量を監視する場合はLinuxコマンドのdfを使用します。

Flowmonの監視を行う場合は以下のようにrootディレクトリ(OSのルートパーティション)と/var(フローデータを含むデータパーティション)を監視してください。
閾値はどちらもUse%が90%以下(10%の空きを確保)を推奨します。

df /
df /var


記事公開日:
FlowmonのCPU、メモリをSNMPで監視する方法を教えてください。
(Flowon OS Ver11.00.11以外の場合)

FlowmonではCentOSをベースとしているため、一般的なLinuxサーバの監視と同じ方法でCPUとメモリを監視することができます。

以下のMIBを参照してください。

・UCD-SNMP-MIB     CPU、メモリ関連
・HOST-RESOURCES-MIB    ディスク関連

次に"CPU使用率(システム負荷)"及び"メモリ使用率"につきましては以下OIDをご利用ください。

■CPU使用率
・hrProcessorLoad 論理プロセッサ毎の直近1分間のCPU使用率(%) OID: .1.3.6.1.2.1.25.3.3.1.2
 CPU使用率(%) = (各論理プロセッサのCPU使用率の合計) / 倫理プロセッサ数

■メモリ使用率
・memTotalReal 搭載実メモリの総容量(Kbyte) OID: .1.3.6.1.4.1.2021.4.5
・memAvailReal 空き実メモリ容量(Kbyte) OID: .1.3.6.1.4.1.2021.4.6
・memBuffer バッファメモリ総容量(Kbyte) OID: .1.3.6.1.4.1.2021.4.14
・memCached キャッシュメモリ総容量(Kbyte) OID: .1.3.6.1.4.1.2021.4.15

なお、メモリ使用率は、以下の計算式で求める必要があります。

メモリ使用量 = (memTotalReal) - (memAvailReal) - (memBuffer) - (memCached) OID: (.1.3.6.1.4.1.2021.4.5.0) - (.1.3.6.1.4.1.2021.4.6.0) - (.1.3.6.1.4.1.2021.4.14.0) - (.1.3.6.1.4.1.2021.4.15.0)

メモリ使用率[%] = メモリ使用量 / memTotalReal (メモリの総容量) × 100


記事公開日:
FlowmonのpostgresやhttpsのプロセスをSNMPで監視していると「notRunnable(3)」を検出するときがあります。
Flowmonに異常はありますか?

Flowmonに異常は無いと考えられます。
notRunnable(3) とは"プロセスがロードされているがイベント待ち"の状態を意味します。
このようなステータスが発生した際にもFlowmon自体に異常を示すログが記録されていたことはありません。そのため、正常動作の過程で発生するものと想定されます。
なお、PostgreSQL、Apache及びCentOSなどはFlowmon社で独自開発しているソフトウェアではないため、「notRunnable(3)」になる詳細な条件は開発元でも分かりかねます。


記事公開日:
FlowmonでサポートされているSNMPオブジェクト以外のOIDは使用できますか。

FlowmonはCentOSに基づいているため、任意のOIDを使用できます。
ただし、FlowmonとしてサポートされているSNMPオブジェクト以外のOID値の意味や発生するタイミング等についてのサポートは出来かねます。
FlowmonでサポートしているSNMPオブジェクトは以下をご確認ください。

https://support.kemptechnologies.com/hc/en-us/articles/4406088157581-Flowmon-SNMP-MIBs


記事公開日:
下記のプロセスをSNMPで監視しているとタイムアウトが発生することがあります。
現状は復旧していますが、Flowmonの正常性を確認する必要は有りますか?

プロセス監視
・nfsen
 OID:.1.3.6.1.4.1.39499.333.3.10.11
・flowmonexp
 OID:.1.3.6.1.4.1.39499.333.3.10.13

これらのサービスのステータスを読み取るのには時間がかかる為、Flowmonの負荷状況によってはOIDへの応答が遅くなり、タイムアウトが発生することがありますがFlowmonには何の問題もありません。

なお、各プロセスの意味と正常性の確認方法は以下のとおりです。

・nfsen
プロファイルの作成とビルトインコレクタのプロセスを監視するものですので、
Flowmonにてプロファイルの作成及びフローの受信が確認出来るようであれば正常と判断して問題ありません。

・flowmonexp
フローのエクスポート(モニタリングポート)を監視するものですので、
Flowmonでフローを生成できている様であれば、正常と判断して問題ありません。
もしFlowmonでフローの生成機能を使用していない場合は利用されませんので無視していただいて問題ありません。


記事公開日:
FlowmonのGUIにアクセスしたログを見ることは可能ですか。

FlowmonへのアクセスログをGUI画面で見る場合は、Configration Center>ログ>「ユーザアクティビティログ」にて参照が可能です。
アクションタイプで「ログイン」を選択するとログイン履歴のみを表示することができます。

Apacheのアクセスログ「ssl_access_log」、「ssl_request_log」を確認したい場合は以下の方法でアプライアンスログを取得して確認してください。
Configuration Center>システム>システム設定>メンテナンス にて、アプライアンスログを「暗号化しないでダウンロード」し、ダウンロードしたアプライアンスログを解凍すると、/logs/log/配下に各種ログが保存されています。

なお、SSHにログインしてアクセスログを直接確認するにはroot権限が必要になりますので、操作はできかねます。


記事公開日:
最終更新日:2023.07.04
Zabbixで監視をしたいのですが、ZabbixのAgentをインストールしても問題ないですか?

Flowmonにはzabbixエージェントが組み込まれています。
以下は弊社の環境でzabbixエージェントのバージョンを確認した結果です。

[flowmon@localhost ~]$ /usr/sbin/zabbix_agentd -V
zabbix_agentd (daemon) (Zabbix) 3.0.3
Revision 60173 18 May 2016, compilation time: May 23 2016 09:02:47
以下省略


topへ戻る

粒度

グラフ線画の粒度についての仕様

記事公開日:
レポートの表示範囲や期間によって変動するプロット粒度の仕様を教えてください。(CSVレポート)

CSVレポートは、約半年まで5分の粒度で作成されます。


記事公開日:
レポートの表示範囲や期間によって変動するプロット粒度の仕様を教えてください。(PDFレポート)

レポート/解析期間設定ごとのグラフ粒度は以下のとおりです。

~8時間
  
  
グラフ粒度:30秒平均(※プロファイルで30秒粒度を設定時のみ)
最大ビット/秒:30秒平均の最大値
~16時間
  
  
グラフ粒度:1分平均(※プロファイルで1分粒度を設定時のみ)
最大ビット/秒:1分平均の最大値
~100時間
  
  
グラフ粒度:5分平均
最大ビット/秒:5分平均の最大値
~15日と8時間(368時間)
  
  
グラフ粒度:30分平均
最大ビット/秒:5分平均の最大値
~110日と17時間(2657時間)
  
  
グラフ粒度:120分平均
最大ビット/秒:5分平均の最大値
180日と00:00以上
  
  
グラフ粒度:24時間
最大ビット/秒:5分平均の最大値


記事公開日:
最終更新日:2023.09.15
表示可能な最小の取得間隔を教えてください。
何秒間隔でしょうか。

Flowmonにおけるグラフ描画の既定値は5分単位でございますが、「プロファイル」の設定次第で、30秒粒度、1分粒度のグラフ描画を行うことが可能です。


記事公開日:
最終更新日:2023.09.29
ダッシュボードや期間を絞った場合のトラフィック量(グラフ)の粒度はいくつでしょうか。
例:5分平均値や5分間最大値など
また、期間によって表示される粒度は変わるでしょうか。

グラフの粒度は5分平均、1分平均、30秒平均で表示可能です。これはプロファイルの設定に依存します。
また、選択期間によって表示される粒度は異なります。
(詳しい仕様につきましては弊社営業へご相談ください)


記事公開日:
5分粒度というのは5分平均値でしょうか。

5分平均となります。


記事公開日:
親/子のプロファイルの粒度はどの様な関係でしょうか?

親プロファイルの粒度よりも子プロファイルの粒度が同じか小さければ問題ございません。
親プロファイルより大きい粒度の子プロファイルは不可となります。


topへ戻る

解析

「Flowmon Monitoring Center」の「解析」についての使い方・仕様・機能

記事公開日:
解析結果の一部がIPアドレスではなく、ドメイン名表示となっているものがあります。
これはFlowmon本体に設定しているDNSに対して、Flowmonが問合せを行った結果なのでしょうか?

FlowmonがDNSに問い合わせして名前解決をした結果です。
ドメイン名解決を止めたい場合は、以下の対応をお願いします。
「Configuration Center」>「ユーザ設定」>ドメイン名解決を止めたいユーザを「編集」>「ドメイン名解決」のチェックを外す。


記事公開日:
解析画面のフィルタを保存した場合、異なるユーザにも共有されますか?

ユーザに割り当てられている役割によって異なります。
フィルタの共有自体は、FMCの権限を持っていれば可能です。
全てのプロファイル・ソースに対して、保存したフィルタを利用したい場合には、「フルアクセス」権限が必要です。
権限が「フルアクセス」でない場合は、割り当てられたプロファイル及び割り当てられたソースのみ、保存したフィルタを利用可能です。


記事公開日:
特定のトラフィックが多く発生しています。
送信元の端末のIPアドレスを確認する方法を教えてください。

送信元の端末のIPアドレスは、「Flowmon Monitoring Center」の「解析」で確認できます。

「解析」よりそれぞれの該当ソースプロファイルを選び、「高度な解析」から下記条件で解析してください。

解析期間
「任意の期間」
統計基準
「送信元のIPアドレス」
フィルタ
src port <送信元ポート番号>又は dst port <宛先ポート番号>
※「ポート番号」を複数選択する場合は、「and」又は「or」で連結できます。


記事公開日:
5分間隔のフローの収集を実施している場合に、特定期間(例えば1日)のトラフィックにおいて、最大値のレートなどを見る方法はありますか?

特定期間内の最大値を確認するには、レポート機能をご利用ください。
表内の最大ビット数がレートの最大値となります。解析機能で最大値を確認する場合には期間を設定いただき、表示されたグラフにマウスオーバーしていただくと詳細なレートが確認できます。一番突出しているグラフのレートが最大値となります。


記事公開日:
最終更新日:2021.03.29
Flowmonで解析したトラフィックグラフが他システムで作成したグラフと異なります。何を確認すればよいか教えてください。

Flowmonのトラフィックグラフは送られてきたFlowを基に生成しています。
ネットワーク機器側のFlow生成の設定が他のシステムと同等のトラフィックの情報を生成する設定となっているかご確認ください。
また、サンプリングを行っている場合は、機器側のサンプリングの設定が正しいかご確認ください。Flowmon側でサンプリング値を固定で設定している場合は、機器のサンプリング値と同じ値を設定がされているかご確認ください。


記事公開日:
最終更新日:2021.03.29
収集したフロー情報からFQDNを確認するためには、Flowmon プローブが必要ですか?

はい。FQDNを確認するためにはFlowmonプローブを用いてL7レベルのフローを生成する必要があります。
なお、Cisco社の製品を使用している場合は、AVC機能を有効にすることにより、FQDNを取得することが可能です。設定方法の詳細についてはネットワーク機器ベンダーにご確認ください。


記事公開日:
解析結果に表示されるポート番号はウエルノウンポートの場合、ポート番号ではなくDNSやhttpなどの言葉に置き替わりますが、これを数字のまま表示することはできますか?

ポート番号やIPアドレス等はユーザ毎に名前解決をする項目を指定することができます。

  • (1) Flowmonの右上に表示されているログインユーザ名をクリックして表示されるメニューから「ユーザ設定」を選択し、該当ユーザの編集画面を開きます。
  • (2)「+解決」をクリックします。
  • (3)「ポート名解決」のチェックを外して「保存」します。


記事公開日:
フロー数が多い場合、セッション数が多かったと考えることはできますか?

フロー数とセッション数は同じではありませんが、似た傾向にありますので、フロー数が多い場合はセッション数が多いと考えられます。
フローは送信元ポート番号、送信先ポート番号、送信元IPアドレス、送信先IPアドレス等の属性が同じ場合に1つのフローとして生成されます。
TCPの場合は行きと戻りの通信があるため、1回の通信で2フロー生成されます。但し、フローはアクティブタイムアウトとして設定された時間を超えると強制的にフローとして生成されますので、大きなファイルのダウンロードなど時間の掛かる通信ではフロー数は実際のセッション数よりも多くなる傾向があります。


記事公開日:
最終更新日:2029.08.26
フィルタを多数記載すると検索に時間が掛かります。検索が早くなる記載方法はありませんか?

フィルタに「or」を使って同じ構文を繋げると検索等の処理に負荷が掛かり、時間が掛かります。
以下のように「in」を使用した書き方をすると検索時の負荷が軽減されるため、検索時間/CPU負荷の改善が見込まれます。
なお、本書き方はFlowmonOS v10.01以降よりご利用できます。

【検索効率の悪い書き方の例】
src net 192.168.1.0/24 or src net 192.168.10.0/24 or src net 192.168.15.0/24 or src net 192.168.30.0/24

【検索効率の良い書き方の例】
src net in [ 192.168.1.0/24 192.168.10.0/24 192.168.15.0/24 192.168.30.0/24 ]


記事公開日:
NetFlow v9でFlowを送信していますが、解析を行ってもポート番号が0で表示されます。

フローソースが以下のNetFlow v9フィールドを使用してポート番号を送信している場合、現在のFlowmonではそれらのフィールドをサポートしていない為、ポート番号を表示できません。

182 tcpSourcePort
183 tcpDestinationPort

Flowmonは、以下の標準フィールドをサポートしていますので、恐れ入りますがフローソース側の設定変更をご検討ください。

7 NF9_L4_SRC_PORT
11 NF9_L4_DST_PORT


記事公開日:
解析画面のグラフ上でグレーに表示されている期間の解析ができません。

グラフ上でグレーに表示されている部分はストレージの空き容量又はクォータで設定された上限に達したためにFlowデータが削除されていることを示しています。そのため、グレーで表示されている期間は解析をすることができません。


記事公開日:
Cisco ASAからFlowを送信していますが、Zabbixで作成したトラフィックグラフと乖離があります。

Cisco ASAはNSELを使用してフローを送信しています。
NSELはFWのログを送信することを主目的としているため、通常のフローを送信する仕組みとは以下のような点が異なっており、他の方式と比べて正確にトラフィック量等を表示することが難しい規格です。

  1. 1つのフローで入出力バイトとパケットを送信しています。
    次のようにFlowmonの設定を変更することで改善が見込めますが、通常のフローと同じようには表示できません。
    「Configuration Center」>「FMC設定」>「フローのデータベースフィールド」  NETFLOW V9フィールドより以下の4つをチェックします。

     ・出力バイトのカウンタ
     ・集約フローのカウンタ
     ・NEL共通ブロック
     ・NEL変換IPv4/IPv6アドレス

  2. フローの送信タイミングはFWのログを送る時です。通常のフローは通信が終了した時、アクティブタイムアウト(5分などFlowmonの線画間隔に設定されます)を経過した時などに送られてきます。この違いにより、グラフに偏りが発生します。


記事公開日:
解析画面の上部のグラフと高度な解析の時系列グラフの縦軸に大きな差が出ます。

解析画面の上部のグラフと高度な解析の時系列グラフは表記に利用するタイムスタンプが異なるため、縦軸が異なる場合が有ります。

解析画面の上部のグラフはフローを受信したFlowmonの受信時間で表記しています。
高度な解析の時系列グラフは受信したフロー内のタイムスタンプ(ネットワーク機器等のフロー作成装置がフローデータを受信した時間)に基づいて表記しています。


記事公開日:
同様条件でプロファイルに対してレポートを作成した際に、
レポートで表示した1ヶ月分の合計バイト数と、解析をした時の合計バイト数が同じ数値にならないのですが理由として何が考えられますか?

レポートで使用するタイムスタンプと解析で利用するタイムスタンプが異なるため、バイト数が異なる場合が有ります。

レポートで使用するタイムスタンプはフローを受信したFlowmonの受信時間を利用します。
解析で利用するタイムスタンプは受信したフロー内のタイムスタンプ(ネットワーク機器等のフロー作成装置がフローデータを受信した時間)を利用しています。


記事公開日:
SNMPで取得した別サービスの帯域と比べてFlowmonの解析結果がとても少ないのですが原因は何が考えられますか?

IPv6のトラフィックが流れている場合はフローソース側のNetflowでIPv6用の設定がされているかをご確認ください。
IPv6プロトコルはIPv4プトコルとは別に設定する必要がございます。
設定が無い場合、回線に流れているIPv6のトラフィックがNetflowに反映されず、トラフィックが減少してしまいます。


記事公開日:
SNMPで取得した別サービスの帯域と比べてFlowmonの解析結果が少ないのですが原因は何が考えられますか?

SNMPとNetFlowでは以下のような差があります。
NetflowはIPおよびIPペイロードをカウントしており、パケットに含まれるMacPreamble 8Byte、MAC address 12Byte、Type 2 Bytes、Frame CheckSequence 4Byte の 合計26Byte がFlowに変換した際に除かれます。
従って 1パケットにつき26バイトの差が発生します。
ショートパケットが多い環境ではSNMPとNetFlowのグラフは差が開く傾向にあります。


記事公開日:
ユニキャスト単位にフィルターをかけて通信状況を確認することはできますか?

ユニキャスト単位にフィルタを掛けることは出来ません。


記事公開日:
「高度な解析」にて、統計基準をIP送信とした際に「双方向」のチェックをした場合としなかった場合で表示結果が異なる場合があります。

「双方向」のチェックを行いますと、IPアドレス以外にもポート番号等が行きと帰りで全て一致している場合に、1行に集計して表示されます。
行きと帰りでポート番号等に不一致がある場合、別々に集計されるため、複数行で表示されます。
また行きの通信に一致する帰りの通信が無い場合は、「0」として表示されます。
その為、「双方向」をチェックした場合と、しない場合とで表示が異なります。


記事公開日:
解析結果でByteは存在するのに、bpsが0のレコードが有るのは何故ですか?

bpsは 1秒間に流れたビット数を表したものですので、以下の計算式によって求められます。

bps = Byte × 8 ÷ 期間

期間(Duration)が0の場合は0で除算をすることはできませんのでbpsも0として表示されます。

なお、期間は以下の式で計算されます。
期間 = Date last seen - Date first seen


記事公開日:
解析結果でByteよりもbpsが大きく表示されるものがあります。異常では有りませんか?

bpsは 1秒間に流れたビット数を表したものですので、以下の計算式によって求められます。

bps = Byte × 8 ÷ 期間

よって、Byte数が小さくても期間(Duration)が0.5秒などのように短時間の通信であった場合にはbpsは大きくなります。


記事公開日:
ソースプロファイルでインターフェース単位にトラフィックを取得できるように設定後、解析画面でチャネル統計情報を確認すると、以下のようにAll portsが他のポートの合計よりも少なく見えます。
All portsで出力される値はどのように解釈すればよいですか?

All portsのトラフィック量 < 各ポートのトラフィック量の合計

All portsはフロー送信元の機器全体としてお考えいただくと分かり易いかと思います。

eth1のインターフェース(チャネル)から1MBの通信が入力され、eth2のチャネルから出力されるスイッチの例で説明します。
一つフローにはインプットインターフェース(eth1)およびアウトプットインターフェース(eth2)が含まれています。
Flowmonはインターフェース単位に着信通信と発信通信を解析できるようにするため、以下のようにトラフィックをカウントします。従って、1MBの通信(All ports)はinおよびoutで別々にカウントされ、合計すると2倍となります。

 eth1のinに1MBをカウント
 eth2のoutに1MBをカウント
 機器全体としてのAll portsに1MBをカウント

この結果として All portsのトラフィック量 < 各ポートのトラフィック量の合計 となります。

なお、フロー送信元にてフローをeth1のin方向のみで作成する設定をしていたとしても、フローにはeth2に出力したことが記録されていますので、上記のようなカウントをすることができます。


記事公開日:
TCP通信で再送処理が発生するとFlowmonではどのような動作となりますか?

ネットワーク機器で生成されたフローには再送処理が記録されていないため、通常は再送処理が無い通信と同様の動作となります。
Flowmonプローブで生成したフローの場合はAVG RTR(再送の平均)を解析し表示することができます。

再送処理の解析が必要な場合はFlowmonプローブのNPM(ネットワークパフォーマンスモニタ)機能を使用してフローを生成してください。

【参考:フロー生成のルール】
原則として宛先情報(ポート番号、IPアドレス等)と受信情報が変わらないため、
再送処理があった場合でもフローは1つとして生成されます。

アクティブタイムアウトが設定されている場合には、再送処理に関わらず、アクティブタイムアウトのタイミングでフローが分割されます。
ACKが返らず、RSTもFINも無い場合はインアクティブタイムアウトに設定した時間が経過したときフローが生成されます。


記事公開日:
戻り通信にHTTPホスト名が表示されず、hhostでフィルタ/検索することができない場合があるのは何故ですか?

hhostを使用する場合は行きと戻りの通信のMACアドレスが一致している必要が有ります。
HSRP等を使用したネットワーク構成では行きと戻りの通信でMACアドレスの不一致が発生します。
このような環境でhhostを使用する場合はMACアドレスの使用を無効にする以下の設定が必要になります。

Flowmon Configuration Center>モニタリングポート>
 グローバル設定:高度な設定タブ
  「NetFlowレコードに対し有効化されたL2値をキーフィールドに追加」を無効にする。

(注意)
  • 本設定をしますとMACアドレスを使用した解析はできなくなりますので、どちらの情報を優先されたいかを判断の上、設定してください。
  • 行きと戻りのMACアドレスが異なり、且つ上記MACアドレスが有効になっている場合は、片方の通信(クライアント⇒ホストの通信)のみにhhost(HTTPホスト名)が表示されます。


記事公開日:
解析結果のHTTPホスト名の前後の文字が削除され途中の31バイトしか表示されません。

HTTPホスト名は以下の条件によって長い文字列は31文字に切り捨てられる仕様です。

SNIフローのフィールドは64バイトです。このフィールドにはNull文字で終端させる必要があるため、実際に格納できるサイズは63バイトになります。
溢れた文字は後ろの文字列から切り捨てられます。(本来はホスト名と同様に先頭の文字列から切り捨てるべきのため、将来修正される予定です。)

ホスト名のフローフィールドの長さは32バイトで、同様にNull文字で終端させる必要があるため、実際に格納できるサイズは31バイトになります。
溢れた文字は先頭の文字列から切り捨てられます。

以下の69バイトのホスト名を例に実際に切り捨てられる流れを説明します。
internal-abcdefgh-ijklmnop-123456789.ap-southeast-1.elb.amazonaws.com

  1. ホスト名は最初にSNIフローフィールドに保存されるため、以下のように後ろの文字が切り捨てられ、63バイトになります。
    internal-abcdefgh-ijklmnop-123456789.ap-southeast-1.elb.amazona
  2. 更にSNIフローフィールドからホスト名のフィールドにコピーされるときに先頭の文字列から切り捨てられて31バイトになるため、最終的には以下のようになります。
    6789.ap-southeast-1.elb.amazona


記事公開日:
特定のソースプロファイルのみ解析を行うと左側に数時間分の空白ができます。

Flowを送ってくるネットワーク機器とFlowmonの時刻が有っていない可能性が考えられます。
NTPサーバを使用してネットワーク機器とFlowmonが同じ時刻を共有しているか確認してください。


記事公開日:
古いデータ(グラフがグレーで表示されている期間)を解析するとadminユーザでは解析できますが、一部のユーザでは解析結果が表示されないプロファイルが有ります。

親プロファイルの参照権限を持っていないユーザで解析対象のプロファイルがクォータの上限に達し、既にデータが削除されている期間(グラフがグレーで表示されている期間)を解析すると解析結果を表示することができません。

プロファイルのデータが削除されている場合、親プロファイル(一般的にはALL Sources)がデータを持っている場合は親プロファイルのデータを参照して古いデータの解析結果を表示しています。

よって、対処法としましては、解析結果が表示されないユーザに親プロファイルを参照する権限を付与するか、 古いデータを保存できる期間分のクォータを確保し、解析したい日付からプロファイルを作り直してください。


記事公開日:
Monitoring Center>解析>高度な解析にて解析した結果の期間の項目が0秒のものがあります。
通信が0秒なのは何故ですか?

期間は選択された範囲で最初に該当する通信が確認された時間から最後に該当する通信が確認された時間の差を示します。
※期間はFlow送信機器から送られてくるLast SwitchからFirst Switchの時間を引き算した値です。
よって、通信量が少ないなどの理由により、通信時間が短い場合、単一のパケットまたは最初の通信と最後の通信は同じ時間となり、期間が0秒になることが有ります。


記事公開日:
5分のプロファイルで解析した時系列表示が5分間隔ではなく、1分間隔で表示されています。
何故1分間隔で表示されたのですか?

高度な解析の時系列グラフは1分単位に計算をし直す機能ですので、
5分のプロファイルを使用する場合も、「時系列で表示」をする場合は1分間隔で表示されます。
※グラフは1分間の平均値で表示されます。
しかし、表示期間が1日や1週間等広くなると画面表示の都合で表示間隔は広くなります。


記事公開日:
ネットワーク機器の「入力インターフェース」単位に解析することはできますか?

フィルタを指定することで対応できます。方法は2つあります。

1つは入力インターフェースの情報(GigabitEthernetx/xなど)を使う方法です。
1つはインターフェースのindex番号を使う方法です。

1.入力インターフェースの情報を使う方法。

Flowmonからネットワーク機器に対してSNMPを用いてインターフェースの情報を取得している場合には以下のような構文にてフィルタが可能です。

方向指定がない場合の例
sourceport "xxx.xxx.xxx.xxx (機器名)":" GigabitEthernetx/x"

方向を指定する場合
inの例:in sourceport "xxx.xxx.xxx.xxx (機器名)":"GigabitEthernetx/x"
outの例:out sourceport "xxx.xxx.xxx.xxx (機器名)":"GigabitEthernetx/x"

sourceport を記載後、スペースを入力することでリストよりソースを選択することが可能です。
さらにソースを選択後、スペースを入力することでインターフェースをリストより選択することが可能です。

2.インターフェースのindex番号を使う方法。

方向指定がない場合の例
router ip xxx.xxx.xxx.xxx and if <番号>

方向を指定する場合
inの例:router ip xxx.xxx.xxx.xxx and in if <番号>
outの例:router ip xxx.xxx.xxx.xxx and out if <番号>

xxx.xxx.xxx.xxxはフローを送ってくるネットワーク機器のIPアドレスです。

・index番号を確認する方法について

FlomownでSNMPを利用してインターフェースの情報を取得している場合には以下の手順でindex番号を確認出来ます。

Flowmon Monitoring Center>ソース>任意のソース(IPアドレス、機器名)>▼より展開した一覧の任意のポートに記載される白抜きの番号

Flowmonでインターフェースの情報を取得できない場合にはネットワーク機器側でindex番号を調べることができます。

index番号はネットワーク機器にて以下のコマンドを実行していただくことで確認が可能です。
結果から参照する番号はif index以降に続く番号です。

(Cisco社製品のコマンド例)
show snmp mib ifmib ifindex

結果の例:
GigabitEthernet2/0: Ifindex = 2

この場合のindex番号は2です。


記事公開日:
高度な解析画面で時系列表示のグラフが表示されません。

フローソースの時刻とFlowmonの時刻がずれていると時系列のグラフを表示することができません。

解析結果の「開始時間 - 最終確認」列と実行ボタンの右端に表示されている解析範囲の時刻が合っていない場合、フローソースとFlowmonの時刻がずれている疑いが有ります。
高度な解析画面の時系列表示のグラフは、受信したフロー内のタイムスタンプ(ネットワーク機器等のフロー作成装置がフローデータを受信した時間)に基づいて表示しています。

このため、フローソースのタイムスタンプがFlowmonの選択した時間範囲を超えている。または満たない場合にはフローデータが破棄されるため、時系列のフラフが表示されなくなります。

Flowmonで解析を行う場合は必ずフローソースと時刻を合わせてください。


記事公開日:
Monitoring Center で、ICMP、ICMP6 のセッション数/秒 の統計情報を表示することはできますか?

ICMPはセッションという概念が有りませんので、厳密にはICMPのセッション数/秒の統計情報を取得することできませんが、
ICMP通信のパケット情報である「Echo reply」と「Echo request」をセッションの開始と終了として扱うと、セッション数/秒に近い結果を取得することができます。

検索方法は以下の通りです。

・Monitoring Center>解析>高度な解析>統計情報タブにて以下を設定してください。

 ・「高度な解析」の右の期間設定欄にて、解析したい期間を入力する
 ・トップ:表示させたい数を選択する
 ・並べ替え基準:「パケット /秒」を選択する
 ・統計基準:「IP通信」を選択する
 ・集約:「双方向」にチェックを入れる
 ・フィルタ:以下のフィルタ文を入力する
       icmp-type 0 or icmp-type 8
  ※「icmp-type 0」が「Echo reply」、「icmp-type 8」が「Echo request」を示します。
 ・「実行」をクリックする

表示される結果テーブルの「パケット/秒」列にセッション数/秒に近い数値が表示されます。


記事公開日:
解析の実行結果に表示されるIPアドレスを右クリックし「名前の変更」を行いましたが、解析を再実行すると変更前の値に戻ってしまいます。

v12.00.02 未満のFlowmonではIP解決キャッシュが無効化されていないため、解析結果からIPアドレスの「名前の変更」を行っても変更後の名前は即座には反映されません。
時間が経過すると変更後の値が反映されますが、使用するブラウザによっても反映時間は異なるため、反映にかかる時間を正確に予測することは出来ません。
変更前の名前が表示された場合は、ブラウザのキャッシュを利用せずに再読み込みを行う「Ctrl+F5」を操作すると変更が反映されますのでお試しください。


記事公開日:
解析画面で指定した日の範囲とは異なる日付のデータが表示されることが有ります。
例:2022-08-01 10:00 から 2022-08-01 13:00に解析を行った時に、解析結果は 2022-08-01 17:14などで表示されました。
どのような原因が考えられますか?

フローソースの日付がずれていることが考えられます。受信しているFlowのTCPDUMPを取得し、以下の点を確認してください。

SysUptimeというデバイスのブート/フローエクスポートの初期化からの時間(秒)の値を確認し、フローソースが最近再起動を実施していないか確認してください。
フローソースが最近、再起動されている場合は、再起動が発生する前はフローのタイムスタンプは正しい時間では生成されていなかった可能性が有ります。

・生成されたフローソースがNetflow ver9であり、フローのタイムスタンプにrelative timestampsが使われてる場合は、 フローソースの起動からの相対的な時間を基に時刻を計算をするため、IPFIXで使用されるようになった現在の時刻を絶対値で表すabsolute timestampほど効果的ではない場合があります。 よって、正確な時刻を取得できるabsolute timestampを使用することを推奨しています。


記事公開日:
フローソースをリプレースしたらトラフィックの取得ができなくなりました。

リスレース後の新しいフローソースが作成するFlowの内容がリプレース前と同じか、フローソースの仕様及び設定を確認してください。
特にトラフィックはFlowの「バイト」フィールドを使用しますが、Netflow9の仕様では以下の二つのIDがバイトの転送用に定義されています。

ID 1 (octetDeltaCount) ・・・ Flowmon対応
ID 352 (layer2OctetDeltaCount) ・・・ Flowmon非対応

ID 352のlayer2OctetDeltaCount についてはVer12.1現在、Flowmonは対応していませんので、
ID 1 octetDeltaCount を使用してFlowを生成するようにフローソース側が設定されているか、ご確認ください。


記事公開日:
解析にて、MACアドレスに関する「統計基準」の違いが分かりません。
MACアドレスに関するフィルタ構文と統計基準の組み合わせについて教えてください。

意図する結果を表示させるには統計基準とフィルタの組み合わせが重要になります。 統計基準とMACアドレスに関するフィルタ構文の組み合わせは以下です。

任意の送信元MACアドレス :  src mac
任意の宛先MACアドレス   :  dst mac
任意の入力MACアドレス   :  in mac
任意の出力MACアドレス   :  out mac
出力側宛先MACアドレス   :  out dst mac
入力ー送信元MACアドレス :  in src mac
入力ー宛先MACアドレス   :  in dst mac
出力側送信元MACアドレス :  out src mac


記事公開日:
解析した結果の右上に表示される「統計情報のコマンド」について、バージョンによる差異はありますか?

全てのコマンドを確認したわけではありませんが、FOS v10.03.09と最新バージョンのFOS v12.01.01ではコマンドの差異はありません。


記事公開日:
Flowmonのプリセット機能でインストールしたトラフィックはいつから表示されますか?

通常は取得したトラフィックは、プリセットを適用する際に選択した履歴の設定によります。

履歴には「計算なしで作成」と「1日の履歴を再計算(デフォルト)」の選択肢があります。
「計算なしで作成」を選択すると、プリセットが適用された時点からトラフィックを取得します。
「1日の履歴を再計算(デフォルト)」を選択すると、プリセットが適用される1日前からのトラフィックが表示されます。

もし、2日以上前のトラフィックを表示したい場合は、以下の方法を実施してください。
  1. 選択したプリセットのプロファイルが作成された後、Monitoring center>プロファイル>プロファイルの編集 に移動します。
  2. プリセットで作成されたプロファイルを編集します。
  3. プロファイルの編集画面の「開始日」をトラフィックを表示したい過去の日付から選択し、「新しいアイテム」として設定を保存します。
    例:「開始日」を2022/09/15 から 2022/09/14に変更し、新しいアイテムとして保存すると、2022/09/14からのトラフィックが取得されます。
  • ※本方法では親プロファイルにデータが存在している範囲で日付を遡って再計算することができます。「開始日」に表示されたカレンダーにはデータの存在している範囲がクリック出来るようになっています。
  • ※「新しいアイテム」として保存すると、プロファイルが複製されますので、古いプロファイルが不要な場合は、削除してください。


記事公開日:
インターフェース速度より遥かに大きい値が、flowmon上で表示されます。

受信したフローの形式に問題が有る可能性が考えられます。

通常は各フローにはバイト数の情報を持つフィールドが1つ、パケット数の情報を持つフィールドが1つ設定されるべきですが、各フローのバイト数とパケット数の情報を持つフィールドが2つずつ設定されている場合、トラフィック量が正しく表示されない可能性が有ります。

NetFlow v9のバイト数とパケット数のフィールドには4バイト長または8バイト長の2つの「Input Length」のフォーマットがあり、いずれかを設定します。
Flowmonコレクタは両方の値が設定されている場合、8バイト長の方のみを使用しますが、8バイト長のフィールドに正しくない値が含まれていると想定外の値が表示されます。

tcpdumpを取得していただき、フローにバイト数とパケット数の情報を持つフィールドが2つ設定されていないかご確認ください。
フローにバイト数とパケット数の情報を持つフィールドが2つ設定されていた場合は、NW機器側のフロー生成の不具合と考えられますのでNW機器のベンダーにお問い合わせください。


記事公開日:
以下のような事象が発生しています。

  1. 統計基準:HTTP URL(フィルタ:設定なし)で解析した結果の「入力バイト」合計と「バイト」が一致しない。
  2. 統計基準:任意のIPで解析した結果の「入力バイト」の合計が「バイト」よりも2倍大きくなる。
  3. 統計基準:送信元IPアドレスで解析した結果の「入力バイト」の合計が「バイト」と同じ

Flowmonプローブでフローを生成される場合、入力/出力に関わらず、すべてが「入力バイト」としてフローが生成されます。
各条件時の入力バイトの詳細は以下のとおりです。

フッターのバイト:
解析のパラメータに関係なく(例:HTTP URLの通信、メールの通信、SNMPの通信等)、 指定の解析期間内のすべてのフローの値です。(フローが集約されません)
※解析のパラメータを変更しても指定の解析期間を変更しない限り、バイトの値は変わりません。

入力バイト:
指定の解析期間内のすべてのフローと選択したパラメータを集約され、選択したパラメータを含んだフローのみが選択され「入力バイト」として出力されます。

解析のパラメータ(統計基準)について
■統計基準:HTTP URL(フィルタ:設定なし)
上記の場合、「入力バイト」は解析の期間内に「HTTP URL」を含んだフローが出力されます。
 出力した値は集約されるので、「入力バイト」を合計しても、「フッターのバイト」と一致しない場合があります。
HTTP URLの「入力バイト」合計が「フッターのバイト」の値と一致しない理由は 「フッターのバイト」の値はパラメータに関係なく解析期間内のすべてのフローであり、 HTTP URLの「入力バイト」値は、パラメータ HTTP URL を持つフローのみが選択され出力されるためです。
また「入力バイト」の結果にある 「%」値 は「フッターのバイト」から計算され、その入力バイトは全体フローに対しての割合を示した値になります。

■統計基準:HTTP URL(フィルタ:設定あり)
上記の場合、「入力バイト」は解析の期間内に「HTTP URL」を含んだフロー、且つ、指定したフィルタのフローのみが出力されます。
そのため、「入力バイト」の値と「フッターのバイト」の値は一致します。

■統計基準:任意のIP
上記の場合は、送信元と送信先として 2 回フローに含まれますので、「入力バイト」の合計はバイトの2倍になります。
よって、「入力バイト」の合計は「フッターのバイト」と一致しません。

■統計基準:送信元IPアドレス
「入力バイト」は解析の期間内に「送信元IPアドレス」を含んだフローが出力されます。
「入力バイト」の合計は「フッターのバイト」とほぼ同じです。
 ※統計基準:宛先IPアドレスも同じ


記事公開日:
統計基準、集約の項目にTLSに関する項目を選択して解析したところ
TLSの項目が全て「N/A」で表示されました。
Flowmon Probe と Flowmon Collector利用してTLSに関する情報を表示する方法を教えてください。

TLS情報の解析はFlowmon Probeで作成したフローのみに対応しています。
ネットワーク機器で生成したフローを解析した場合、TLSはN/Aで表示されますのでご注意ください。

また、Flowmon プローブと Flowmon コレクタ側でTLSの情報を取得するように以下の設定後に生成/受信したフローが必要です。

【プローブ側】
  • プローブ側でキャプチャしている通信はRXとTX(行きと戻りの通信)の両方の通信をFlowmonの1つのポートに入れている必要があります。
  • Flowmon Configuration Center>モニタリングポート>グローバル設定項目:
    高度な設定タブ:「IPFIXレコードのオプションのL7値」内の解析したいTLS項目をチェックしてください。
    ※すべてをチェックする必要はありません。必要な項目のみチェックを入れてください。
    ※詳しくはユーザガイドの「5.2 フローのデータベースフィールド」章をご確認ください。
     ユーザガイドは画面右上「?」マークから表示が可能です。

【コレクタ側】
Flowmon Configuration Center>FMC設定>フローのデータベースフィールドFlowmon独自フィールド(IPFIX):TLSフィールド内の解析したい項目をチェックしてください。
※すべてをチェックする必要はありません。必要な項目のみチェックを入れてください。
※詳しくはユーザガイドの「5.2 フローのデータベースフィールド」章をご確認ください。


記事公開日:
解析の結果に表示される「期間」が解析時間よりも長くなるのはなぜですか?

解析の結果に表示される「期間」とは、高度な解析にて設定した期間中に確認されたフローの終了時間と開始時間の差を表します。
FlowmonのTOP統計は、フロー内のタイムスタンプを使用しており、解析にて選択した期間にコレクタに到達したフローデータを集約した結果が表示されます。
解析対象の時間を跨ぐフローがある場合、そのフローも集約対象に含まれるため、指定した解析時間よりも長くなる場合があります。


記事公開日:
Flowmonにおいて、IPv6 RA フローを抽出するフィルタの記述内容を教えてください。

IPv6 RA のフローはマルチキャストアドレス(ff02::1、ff02::2)でフィルタリングすることで、抽出することができます。
詳細な方法は以下のとおりです。
Monitoring Center>解析>高度な解析にて以下を設定して解析を実行してください。
期間:解析したい期間を指定します。
統計基準:IP通信
集約:送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポートIPプロトコル
フィルタ:ip in [ff02::1 ff02::2]

  • ※  ff02::1 とはルータアドバタイズメントであり、RSを受信したときに応答するメッセージです。
  • ※  ff02::2 とはルータ要請であり、IPv6対応ホストが、IPv6対応ルータに送信するメッセージです。


記事公開日:
一部のアプリケーションでNBAR2アプリケーションタグの表示がIDのまま表示されてしまうアプリケーションがあります。
Flowmon Collector側でID表記のままになってしまっている理由と解決策はありますか?

Flowmon内部に保持しているNBAR2のタグ情報を記載したリストを基にアプリケーション名に変換されますので、Flowmon内部のリストにNBAR2のタグ情報がない場合はID表記のままになります。

現在のところ内部リストを自由に修正/追加することはできません。

なお、Flowmon OS v12.01.01は以下のCisco Protocol Pack 60.0.0の情報を基に、IDからアプリケーション名に変換するリストが作成されています。

【Cisco Protocol Pack 60.0.0】
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_nbar/prot_lib/config_library/pp6000/nbar-prot-pack6000.html

※最新のCisco Protocol Packの反映はFlowmon OSのバージョン XX.YY.ZZ のYYが更新される際に実施されます。


記事公開日:
最終更新日:2023.04.13
解析にてfrom/toのIPアドレスが0.0.0.0と表示されるものがあります。
from/toのIPアドレスが0.0.0.0となるのはSNMP設定によるものですか。

IPアドレス0.0.0.0とSNMP設定には関係ありません。
理由はSNMPはFlowmonを操作運用する上で便利にする機能を提供するために使っているものであり、Flowの受信や解析には影響ないためです。

また、IPアドレス0.0.0.0とは無効または不明なターゲットを記述するルーティング不可能なアドレスであり、IPアドレスがFlowに記録されないプロトコルやポート等が取得される可能性があると考えられます。
例として以下のようなプロトコルなどがございますと、IP0.0.0.0が表示されます。
UDP 67/68・・・DHCP
IGMP・・・マルチキャスト
ARP

IPアドレスが0.0.0.0になる通信やプロトコル番号0の通信を実際にされていないか、NW機器の設定に不足がないか、生成したフローに不具合が無いか、ご利用しているNW機器のサポートにご確認ください。


記事公開日:
最終更新日:2023.04.13
Active Deviceタブで、検索した後に表示される”ホスト名”は検索条件の期間内のものですか、それとも現時点のホスト名ですか。

検索した後に表示された「ホスト名」は現時点のホスト名になります。
アクティブデバイスではホスト名は保存されていません。
ユーザ設定にて「ドメイン名解決」を設定されている場合は、アクティブデバイスの一覧を表示する際にIPアドレスをDNSサーバに問合せた結果を表示しております。


記事公開日:
最終更新日:2023.04.13
1分/30秒粒度プロファイルでそれぞれの粒度でグラフ表示可能なのは解析実行時の日付の30日前までです。
それ以上前だと24時間単位になってしまいます。
1分/30秒粒度プロファイルで、30日より前でもそれぞれの粒度でグラフを表示することは可能ですか。

1分粒度のプロファイルをバックアップ、リストアしていただくことで、30日より前の1分粒度のグラフを描画することは可能です。
バックアップ、リストアが可能なのはリアルプロファイルとなります。

なお、リストアを行う際、ファイルの容量によっては多くの時間を要しますので 過去のグラフを参照したい期間のみ(2~3日を推奨)をリストアしてください。


記事公開日:
最終更新日:2023.04.13
グラフの「集約機能の最大値」を選択するとどのような動作をするのでしょうか。

Monitoring Center>解析>画面上部の時系列グラフでは 5分プロファイルの場合100時間以内であれば5分、100時間~15日と8時間であれば、30分で集約されます。
30分で集約されたグラフの場合、「集約機能の最大値」にチェックを入れるとその30分間で最大の5分平均値が表示されます。

プロファイルの場合、Monitoring Center>プロファイル>任意のプロファイルのグラフを表示し、右上の「集約機能の最大値」を選択します。
解析の場合、Monitoring Center>解析にて画面上部に表示されるグラフの右下にマウスオーバーし、「集約機能の最大値」を選択します。
レポートの場合、Monitoring Center>レポート>概要にて表示されたグラフをマウスオーバーし、「集約機能の最大値」を選択します。
また、メールや外部ストレージに送信しているレポートの場合、Monitoring Center>レポート>レポート>レポートの編集にて追加したトラフィックチャプタの「グラフオプション」にて「最大値」を選択します。


記事公開日:
最終更新日:2023.07.04
Flowmon側からHTTPのレスポンスコードレベルの情報を取得することはできますか。

解析の項目に「HTTP結果コード」があります。
それを選択しますと、HTTPのレスポンスコードレベルの情報を確認することができます。

Monitoring center>解析>高度な解析にて
統計情報:HTTP結果コード

補足情報:
HTTP(S)情報を取得するためには以下の設定が必要です。
Configuration center>モニタリングポート>グローバル設定>「IPFIXレコードのオプションのL7値」の「HTTP」のチェックを付けてください。

また、HTTPホスト名を解析するためには、
コレクタ側でConfiguration center>FMC設定>フローのデータベースフィールド>「HTTPフィールド」のHTTP項目を付けてください。
例:HTTPホスト名、HTTPメソッドおよび結果、HTTP URL、HTTP OSおよびアプリケーション情報


記事公開日:
最終更新日:2023.07.04
高度な解析を実行する際に下記のメッセージが表示されました。
メッセージの内容を教えてください。

「別のプロセスがすでに実行中です。新しいプロセスが長期間実行され、システムに過負荷をかける可能性があります。このプロセスを実行してもよろしいですか?」

本メッセージは別の端末や別のブラウザで同じタイミングで解析を実行した場合や、同じブラウザで解析の実行中に再度実行ボタンをクリックすると表示されます。


記事公開日:
最終更新日:2023.09.15
VPN接続しているユーザのNW使用状況を可視化することは可能でしょうか?
可能な場合は、具体的な手順を教えていただけますか?

VPNで割り当てているIPアドレスのレンジでフィルタやプロファイルを作成することで、対象のトラフィックに絞りグラフ化し可視化することが可能です。


記事公開日:
最終更新日:2023.09.15
社内LANからWANへ抜ける経路上で一部の通信はProxyを通しており、
もう一方はProxyを経由しない通信を行っている場合、
どの通信がProxyを経由しているFlowmon(Probe)で判別可能なのでしょうか?

宛先のIPをプロキシのIPで絞り込めば判別可能です。
また、Probeを使えば同時にhttpホスト名も表示できますので、どこ向けの通信かも可視化できます。


記事公開日:
最終更新日:2023.09.15
送信元機器の情報をフィルタリングする場合、MACアドレスでフィルタリングすることは可能なのでしょうか?

可能です。
MACアドレスはProbeを使わなくとも、NW機器からの標準フローで取得可能です。
ただし、端末のMACを取得するためには、ルーティングされる前のポイントでフローを生成いただく必要があります。
(ルータなどでルーティングされますと、そのルータのMACアドレスが取得されてしまうため)


記事公開日:
最終更新日:2023.09.15
httpsを利用した通信であっても宛先IPアドレス/ホスト名を特定することは可能でしょうか?

可能です。
httpsの通信であっても、送信元/宛先IPアドレスやプロトコルといった情報は取得可能です。
(名前解決が可能であればホスト名でも表示できます)
また、ProbeでFlow生成を行うことでhttpのホスト名が可視化可能です。
これは、HTTPホスト名はHTTPヘッダーのGetリクエストに含まれるSNIから取得しているためです。


記事公開日:
最終更新日:2023.09.15
Microsoft TeamsのトラフィックもZoomのようにTeamsのみのトラフィックを解析できるということでしょうか?

可能です。
プローブを導入いただくことでホスト名を指定したフィルタを使用いただくことが可能となりますので、個別にTeamsのホスト名指定をしていただきプロファイルを作成することでTeamsについてのトラフィックを解析いただくことが可能となります。
また、そのほかに新機能のテンプレート設定機能を使用し、Office365のテンプレートプロファイルを作成いただくことでTeamsについて個別にトラフィックを解析できるテンプレートプロファイルが作成されますので、そちらもプローブをご導入いただくことで使用いただけます。


記事公開日:
最終更新日:2023.09.15
DSCP別のデータ量は表示可能ですか。

Flowmonでは「DSCP値」と明示された解析基準はございませんが、「TOS値」にて代用し、表示することが可能です。


記事公開日:
最終更新日:2023.09.15
TOS値ごとに解析やレポートは可能でしょうか。

TOS値での解析は可能でございます。
送信元宛先を区別しないTOS、送信元TOS、宛先TOSの統計基準にて解析することができます。


記事公開日:
最終更新日:2023.09.15
データ解析はリアルタイムにできるのでしょうか?

Flowmonはリアルタイムではなく基本的に5分毎での解析となります。
ただし、設定を行うことで、1分または30秒毎での解析が可能となります。


記事公開日:
SSL通信でも解析は可能なのでしょうか。

復号化は行いませんが、ヘッダー情報から解析可能です。


記事公開日:
ボトルネックの解析はどのように行うことができますでしょうか。

Flowmonではトラフィックの総量はもちろん、その内訳のいつ誰がどこに通信しているのかを可視化することで迅速なボトルネックの追及をすることが出来ます。


記事公開日:
フィルターにはどのような文字列入力ができるのでしょうか。

Flowで取得している情報であればすべてフィルタ条件とすることが可能です。
例:IPアドレス、ネットワークレンジ、ポート、HTTPホスト名
詳しくはWebGUI右上部の「?」より、ユーザーガイドをご参照ください。


記事公開日:
最終更新日:2024.01.10
トラフィック量等に対してフィルタをかけることが出来ますか。

可能です。
解析時のフィルタ構文でパケット・バイト・ビットでフィルタをかけることができます。
また、アラート機能を利用し閾値を設定することで、異常なトラフィック発生を検知できます。


記事公開日:
最終更新日:2024.01.10
Flowmonで受信できるIPアドレスについてFWでNAT構成になっている時、その場合でもIPアドレス単位でプロファイル作成等できますか。

IPアドレス単位でのプロファイル作成は可能ですが、変換前のIPアドレスを解析することはできません。


記事公開日:
最終更新日:2024.01.10
解析で右クリックして表示される項目内の「L7アプリケーション」ではどういった情報が表示されるのでしょうか。

NBAR2のアプリケーションタグが表示されます。
NW機器またはプローブでFlow生成を行う際にNBAR2をFlowに含める必要があります。


記事公開日:
最終更新日:2024.01.10
解析グラフに出力できる期間を教えてください。

期間から「直近12時間」~「直近3か月」の間で選択し表示することができます。
また、開始・終了から日付、時間を設定し任意の期間を表示することができます。


記事公開日:
最終更新日:2024.01.10
解析の「my filter」とは何ですか。

利用頻度の高いフィルタを保存しておくことで、「my filter」から選択して解析することができます。


記事公開日:
最終更新日:2024.01.11
解析結果の宛先IPアドレス等に国旗のマークが表示されますが、表示をさせないようにする方法はありますか。

国旗の表示をOFFにすることが可能です。

1.解析画面の右上にあるユーザー名(例:admin)をクリックしてください。

2.「ユーザー設定」を選択し、ユーザー編集画面にて「解決」を展開し、IPジオロケーション」のチェックを外し、設定を保存しますと、国旗が表示されなくなります。


記事公開日:
解析結果に「0」と表示されるのはどのような時ですか?

解析結果にて「0」が表示される原因は2つあります。
1つ目は、ある項目で集約した結果、集約対象外の項目に複数の値が含まれる場合に0と表示されます。
例えば、フローのリストで集約にて「送信元IPアドレス」と「宛先IPアドレス」を設定し実行すると、「送信元IPアドレス」と「宛先IPアドレス」が同じものがまとめられた結果、送信元ポートには80や443等の複数の値が含まれることになるため、「0」と表示されます。

2つ目は、NW機器にて生成されたフローに「INPUT_SNMP」と「OUTPUT_SNMP」のフィールドが含まれていない場合、インデックスが0と表示されます。
NW機器の設定によって「INPUT_SNMP」と「OUTPUT_SNMP」のフィールドが含まれていない、またはIN方向とOUT方向を同時に生成できないなどのNW機器の仕様の可能性がありますのでNW機器のベンダーにご確認ください。


topへ戻る

電源

電源についての仕様・機能

記事公開日:
Flowmonの停止・起動手順を教えてください。
また、コレクタとプローブはどちらを先に停止、起動したほうが良いですか?

1.Flowmonの停止と起動について
停止は、「Configuration Center」>「システム」>「システム設定」タブにて「システム電源の制御」項目から、「シャットダウン」をクリックします。

FlowmonのGUIにアクセスできないなど、Flowmonからシャットダウンができない場合は、iDRACからの停止も可能です。
1)iDRACにログイン後、ダッシュボード画面を表示します。
2)「正常なシャットダウン」を押すと、電源が切れます。

その他、電源ボタンを長押しする場合でも電源を切ることができます。しかしながら、Flowmonの画面にアクセスできないなど事情がない限り、FlowmonのConfiguration Centerからのシャットダウンを推奨します。

起動は、本体のボタンを押すことで行えます。
または、iDRACのダッシュボードで「システムの電源を入れる」を押すことでも、電源が入ります。

2.コレクタ・プローブの起動・停止の優先順位について
コレクタとプローブの起動および停止は基本的にはどちらからでも構いません。
しかしながら、フロー情報を生成するプローブをコレクタよりも先に起動することで、より早くフロー情報を生成することができますので、若干ですがプローブを先に起動する方がメリットがあります。
ただし、コレクタが起動する間に生成されるフロー情報は、コレクタには保存されません。
停止は、どちらを先にしても、変わりはありません。


記事公開日:
最終更新日:2023.07.04
モニタリングセンターでモニタリングポートの再起動ボタンを押した時と同じ処理を CLIで実施するコマンドを教えてください。

モニタリングポート(エクスポーター)の再起動には以下のコマンドが有効です。
GUIでモニタリングポートの再起動ボタンをクリックすると、以下のコマンドが実行されています。

sudo service flowmon restart

なお、CLIではポート1のみといった個々のモニタリングポートの再起動は出来ず、
上記のコマンドを実行すると全てのモニタリングポートが再起動されます。


記事公開日:
最終更新日:2023.07.04
Flowmonの再起動に関してのデメリットを教えてください。

再起動中はFlowの生成及び収集は行われず、その期間のグラフも途切れて表示され、解析もできません。

Flowmonのディスク量やルートパーティション量が一杯になっている状態でFlowmonを再起動しますと、Flowmonにアクセスできなくなる場合があります。
しかし、これは非常に稀なケースであるため通常発生はしませんが、過去の事例として上記のような事象が報告されています。


topへ戻る