Flowmon ナレッジベース-フローソース
フロー送信元についての仕様・機能
Flowフィールド
Flowフィールドについての仕様
記事公開日:
最終更新日:2020.07.10
最終更新日:2020.07.10
Flowmonで期待するレコードが取れません。
Flowmonで期待するレコードが取得できないケースとしては以下が考えられます。
・ネットワーク機器が該当のレコード出力に対応をしておらず、Flow生成が行えない
・Flowmonが該当Flowフィールドに対応しておらず、Flow受信を行うことができない
Flowmonが対応しているFlowフィールド一覧の詳細は、こちらをご参照ください。
・ネットワーク機器が該当のレコード出力に対応をしておらず、Flow生成が行えない
・Flowmonが該当Flowフィールドに対応しておらず、Flow受信を行うことができない
Flowmonが対応しているFlowフィールド一覧の詳細は、こちらをご参照ください。
記事公開日:
統計基準、集約の項目にTLSに関する項目を選択して解析したところ
TLSの項目が全て「N/A」で表示されました。
Flowmon Probe と Flowmon Collector利用してTLSに関する情報を表示する方法を教えてください。
TLSの項目が全て「N/A」で表示されました。
Flowmon Probe と Flowmon Collector利用してTLSに関する情報を表示する方法を教えてください。
TLS情報の解析はFlowmon Probeで作成したフローのみに対応しています。
ネットワーク機器で生成したフローを解析した場合、TLSはN/Aで表示されますのでご注意ください。
また、Flowmon プローブと Flowmon コレクタ側でTLSの情報を取得するように以下の設定後に生成/受信したフローが必要です。
【プローブ側】
【コレクタ側】
Flowmon Configuration Center>FMC設定>フローのデータベースフィールドFlowmon独自フィールド(IPFIX):TLSフィールド内の解析したい項目をチェックしてください。
※すべてをチェックする必要はありません。必要な項目のみチェックを入れてください。
※詳しくはユーザガイドの「5.2 フローのデータベースフィールド」章をご確認ください。
ネットワーク機器で生成したフローを解析した場合、TLSはN/Aで表示されますのでご注意ください。
また、Flowmon プローブと Flowmon コレクタ側でTLSの情報を取得するように以下の設定後に生成/受信したフローが必要です。
【プローブ側】
- プローブ側でキャプチャしている通信はRXとTX(行きと戻りの通信)の両方の通信をFlowmonの1つのポートに入れている必要があります。
- Flowmon Configuration Center>モニタリングポート>グローバル設定項目:
高度な設定タブ:「IPFIXレコードのオプションのL7値」内の解析したいTLS項目をチェックしてください。
※すべてをチェックする必要はありません。必要な項目のみチェックを入れてください。
※詳しくはユーザガイドの「5.2 フローのデータベースフィールド」章をご確認ください。
ユーザガイドは画面右上「?」マークから表示が可能です。
【コレクタ側】
Flowmon Configuration Center>FMC設定>フローのデータベースフィールドFlowmon独自フィールド(IPFIX):TLSフィールド内の解析したい項目をチェックしてください。
※すべてをチェックする必要はありません。必要な項目のみチェックを入れてください。
※詳しくはユーザガイドの「5.2 フローのデータベースフィールド」章をご確認ください。
記事公開日:
WANからLANへの通信のHTTPホスト名や RTTやSRTのNPM情報が取得できないの場合に考えられる原因はありますか?
Configuration Center >モニタリングポート>グローバル設定>高度な解析 の「有効化されたL2フィールドをNetFlow IDに追加する」が有効になっている場合は無効にしてください。
本設定は通信中のネットフローで MAC アドレスの変更を検出する必要がある特別な場合(例えば、ロードバランサーや同様のアプライアンスがネットワークに導入されている場合など)に有効にしますが、この設定はフローを変更(SRC IP、DST IP、SRCポート、DSTポート、L4プロトコルをMACアドレスごとに拡張)するため、一部の NPM メトリクスが含まれなくなる場合があるためです。
本設定は通信中のネットフローで MAC アドレスの変更を検出する必要がある特別な場合(例えば、ロードバランサーや同様のアプライアンスがネットワークに導入されている場合など)に有効にしますが、この設定はフローを変更(SRC IP、DST IP、SRCポート、DSTポート、L4プロトコルをMACアドレスごとに拡張)するため、一部の NPM メトリクスが含まれなくなる場合があるためです。
記事公開日:
最終更新日:2023.04.13
最終更新日:2023.04.13
各メーカーやFlowmon独自で対応しているフィールドについて分かる資料があれば教えてください。
Configuration Center>FMC設定>ビルトインコレクタ>フローのデータベースフィールドにて
各メーカーやFlowmon独自で対応しているフィールドをご確認いただけます。
また、フィールドの詳細が記載されている資料は以下のURLから参照したいバージョンの 「Download Document」をクリックしていただくことでダウンロードしていただけます。
https://support.kemptechnologies.com/hc/en-us/articles/4405949707789-Flow-standards-specifications
上記資料の「Probe Configuration」欄にてプローブで対応している否かをご確認いただけます。「Name」の欄が「IPFIX_INVEA_」もしくは、「IPFIX_FLOWMON_」から始まっているものはProbeで独自に生成しているフィールドです。
また、フィールドの詳細が記載されている資料は以下のURLから参照したいバージョンの 「Download Document」をクリックしていただくことでダウンロードしていただけます。
https://support.kemptechnologies.com/hc/en-us/articles/4405949707789-Flow-standards-specifications
上記資料の「Probe Configuration」欄にてプローブで対応している否かをご確認いただけます。「Name」の欄が「IPFIX_INVEA_」もしくは、「IPFIX_FLOWMON_」から始まっているものはProbeで独自に生成しているフィールドです。
SNMP
SNMPについての仕様・機能(Flowmonを監視する場合、Flowmonから監視する場合を含む)
記事公開日:
最終更新日:2020.07.10
最終更新日:2020.07.10
FlowmonコレクタへFlow情報を送出するため、ルータにNetFlowの設定追加を行ったところ下記のエラーがルータから発生するようになりました。このメッセージの意味を教えてください。
「%SNMP-3-AUTHFAIL: Authentication failure for SNMP req from host xx.xx.xx.xx」
※xx.xx.xx.xxはFlowmonコレクタのIPアドレス
「%SNMP-3-AUTHFAIL: Authentication failure for SNMP req from host xx.xx.xx.xx」
※xx.xx.xx.xxはFlowmonコレクタのIPアドレス
FlowmonからのSNMPリクエストの認証に失敗していることを示すメッセージです。
Flowmonは新しくFlowを送信してくる機器が追加されるとその機器に対してSNMPを定期的に実行し、ホスト名やインターフェース情報の取得を試みます。
デフォルトのコミュニティ名は「public」です。
本事象が発生した場合は以下の何れかの方法でFlowmonのSNMP設定を見直してください。
Flowmonは新しくFlowを送信してくる機器が追加されるとその機器に対してSNMPを定期的に実行し、ホスト名やインターフェース情報の取得を試みます。
デフォルトのコミュニティ名は「public」です。
本事象が発生した場合は以下の何れかの方法でFlowmonのSNMP設定を見直してください。
- A.ルータとFlowmonのSNMP コミュニティ設定を合わせる。
「Flowmon Monitoring Center」 > 「ソース」 > エラーが表示されているソースの「編集」を選択 > 「Communityストリング」欄にルータと同じコミュニティ名を設定して保存する。 - B.Flowmonからソースに対するSNMP情報の取得を停止する。
「Flowmon Monitoring Center」 > 「ソース」 > エラーが表示されているソースの「編集」を選択 > 「ソース情報を設定するためにSNMPを使用する」のチェックを外して保存する。
グラフ描画
グラフ描画についての仕様
記事公開日:
最終更新日:2020.07.10
最終更新日:2020.07.10
トラフィックグラフが歯抜けになり、極端な凹凸が散見されました。
アクティブタイムアウト値の設定によるものと考えられます。
Flow生成機のFlow生成タイミングの定義は、アクティブタイムアウトと呼ばれるパラメータで行っています。
Flowmonではアクティブタイムアウト値は300秒以内を推奨しておりますが、当パラメータが正常な値となっていない場合(30秒~300秒以内)、Flow生成タイミングとFlowmonのグラフ描画タイミングの仕組みから、極端な凹凸グラフとなります。
目安として、ご利用いただくプロファイルの粒度(5分、1分、30秒)以下になるよう調整してください。
アクティブタイムアウト値を変更いただくことで、正常なグラフ出力を行うことが可能です。
Flow生成機のFlow生成タイミングの定義は、アクティブタイムアウトと呼ばれるパラメータで行っています。
Flowmonではアクティブタイムアウト値は300秒以内を推奨しておりますが、当パラメータが正常な値となっていない場合(30秒~300秒以内)、Flow生成タイミングとFlowmonのグラフ描画タイミングの仕組みから、極端な凹凸グラフとなります。
目安として、ご利用いただくプロファイルの粒度(5分、1分、30秒)以下になるよう調整してください。
アクティブタイムアウト値を変更いただくことで、正常なグラフ出力を行うことが可能です。
記事公開日:
最終更新日:2021.03.29
最終更新日:2021.03.29
新規フローソースを追加しましたが、しばらくソース画面のグラフが生成されません。
新規に追加したフローソースのFlowに含まれるテンプレートが未だ受信できていないための事象と考えられます。
Flwomonでは、Flowソースから転送されるFlowテンプレートを基に、Flowレコードに定義されている情報を認識しています。
新規にフローソースを追加し、FlowをFlowmonに転送した際、Flowmonではテンプレートを受信するまでの間、Flowレコードの定義を認識できない為、グラフ生成を行うことができません。
Flowテンプレートの送信タイミングはFlow生成機で制御可能ですが、当パラメータが正常な値となっていない場合(300秒程度)、それまでの間ソース画面のグラフ生成はできませんので、テンプレート情報を受信するまでお待ちいただくか、Flow生成機にてFlowテンプレートの送信タイミングをご調整ください。
なお、解析画面のグラフ表示は、ソース画面が表示される前に表示される可能性があります。
Flwomonでは、Flowソースから転送されるFlowテンプレートを基に、Flowレコードに定義されている情報を認識しています。
新規にフローソースを追加し、FlowをFlowmonに転送した際、Flowmonではテンプレートを受信するまでの間、Flowレコードの定義を認識できない為、グラフ生成を行うことができません。
Flowテンプレートの送信タイミングはFlow生成機で制御可能ですが、当パラメータが正常な値となっていない場合(300秒程度)、それまでの間ソース画面のグラフ生成はできませんので、テンプレート情報を受信するまでお待ちいただくか、Flow生成機にてFlowテンプレートの送信タイミングをご調整ください。
なお、解析画面のグラフ表示は、ソース画面が表示される前に表示される可能性があります。
サンプリング
フローのサンプリングについての仕様・機能(フローソースを含む)
記事公開日:
最終更新日:2021.03.29
最終更新日:2021.03.29
サンプリングを使用する場合、キャプチャファイル数(送信されるフロー数)を教えてください。
サンプリング値の内の1パケット(1/値)が解析されフローとして送信されます。
例えばサンプリングレートに100を指定した場合、残りの99は解析されず、そのうちの1パケットが解析されフローとしてコレクタに送信されます。従って、パケット数/100個のフローが送信されます。
例えばサンプリングレートに100を指定した場合、残りの99は解析されず、そのうちの1パケットが解析されフローとしてコレクタに送信されます。従って、パケット数/100個のフローが送信されます。
記事公開日:
最終更新日:2020.07.10
最終更新日:2020.07.10
Flow生成時にサンプリングをしている 機器への負荷が上昇する原因としては、何が考えられますか?
サンプリングレートを低い値に指定した場合、サンプリング→コレクタへ送出の処理間隔が短くなるため、機器のCPU負荷、Memory使用率は上昇する傾向にあります。また、トラフィックの増加に伴いフローを送信するインターフェースの負荷も増加します。
記事公開日:
最終更新日:2023.04.13
最終更新日:2023.04.13
FlowmonとZabbixで通信量に差があります。
NW端末でFlowを生成する際、1/250でサンプリングしています。
PCAPを見ると、オプションテンプレートは送付されているので、 サンプリングレートをFlowmonが受信できるはずですが、Flowmonがサンプリングレートを正しく判断できていないのでしょうか。
NW端末でFlowを生成する際、1/250でサンプリングしています。
PCAPを見ると、オプションテンプレートは送付されているので、 サンプリングレートをFlowmonが受信できるはずですが、Flowmonがサンプリングレートを正しく判断できていないのでしょうか。
オプションテンプレートのobservation domain IDがフローデータと異なる為、サンプリングが検出されていません。
リスニングポートでサンプリングレートを手動で設定することで解決できます。
リスニングポートでサンプリングレートを手動で設定することで解決できます。
フロー
フローについての仕様・機能
記事公開日:
最終更新日:2020.07.10
最終更新日:2020.07.10
sFlow / NetFlow / J-Flowの違いは何ですか?
大きな違いはサンプリングの考え方です。
また、取得できる項目はNetFlowの方が多いため、分析の幅が広がります。
- ・sFlow:
- サンプリングが必須であるため一部のパケットからFlowが生成されます。Flowを生成する機器の負担は軽くなります。
- ・NetFlow:
- すべてのパケットからFlowを生成することができます。サンプリングをすることもできますが、ノンサンプリングがCisco社の推奨です。
- ・J-Flow:
- すべてのパケットからFlowを生成することができますが、機器に負荷が掛かるためサンプリングすることをJuniper社は推奨しています。
記事公開日:
最終更新日:2023.07.04
最終更新日:2023.07.04
TCPフラグをフローデータに加えるようルータの設定をすると、フローデータ内にTCPフラグがある場合とない場合で、データ量はどの程度差がありますか。
NetflowのTCPフラグのInput Length(bytes)は1byteです。
よって、フローデータ内にTCPフラグを含まれると、1Flowあたり1byte増えます。
よって、フローデータ内にTCPフラグを含まれると、1Flowあたり1byte増えます。
記事公開日:
最終更新日:2023.09.15
最終更新日:2023.09.15
Flowmonコレクタで対応しているフローを教えてください。
標準的なsFlow/NetFlow v5/NetFlow v9/IPFIXに加え、jFlow、Netstreemなど様々なFlowに対応をしております。
記事公開日:
最終更新日:2023.09.15
最終更新日:2023.09.15
L7情報とは具体的にどのような情報が取得可能でしょうか。
CiscoのNBAR2の情報も読み取れますか?独自アプリ識別でしょうか?
CiscoのNBAR2の情報も読み取れますか?独自アプリ識別でしょうか?
L7情報として頻繁にご案内させていただく情報はHTTPホスト名となります。
ホスト名解析が可能となると、Proxyサーバを経由してインターネットに抜けていく通信のホスト名が可視化可能となるため、トラフィックがより詳細に可視化可能となります。
そのほかにも、NBAR2やDNS、SMTP通信等が取得可能です。
ホスト名解析が可能となると、Proxyサーバを経由してインターネットに抜けていく通信のホスト名が可視化可能となるため、トラフィックがより詳細に可視化可能となります。
そのほかにも、NBAR2やDNS、SMTP通信等が取得可能です。
仕様
全般的な仕様・機能
記事公開日:
ポートチャネルを利用してのフロー生成は可能ですか。
フロー生成機器によって異なります。
ポートチャネルでフローを取得すると正しくフローを生成出来ないネットワーク機器があるという報告がありますのでご利用のネットワーク機器のサポートに仕様を確認してください。
ポートチャネルでフローを取得すると正しくフローを生成出来ないネットワーク機器があるという報告がありますのでご利用のネットワーク機器のサポートに仕様を確認してください。
時刻同期
時刻同期についての仕様・機能
記事公開日:
最終更新日:2020.07.10
最終更新日:2020.07.10
Flow生成機の時刻設定は問題ありませんが、解析結果に出力される時刻が正しくありません。
Flowmonの解析結果に出力される開始時刻/終了時刻は、Flow情報に含まれる時間を基に出力をしています。
そのため、正常なパラメータが設定されていない場合、1970年や未来日などの不正な値が出力されてしまいます。
Flowレコードには以下バージョンに応じて、適切なパラメータをFlow生成機のコンフィグへ指定する必要があります。
collect timestamp sys-uptime first
collect timestamp sys-uptime last
または
collect timestamp absolute first
collect timestamp absolute last
collect timestamp absolute first
collect timestamp absolute last
※Cisco社製品の記載方法の例です。
そのため、正常なパラメータが設定されていない場合、1970年や未来日などの不正な値が出力されてしまいます。
Flowレコードには以下バージョンに応じて、適切なパラメータをFlow生成機のコンフィグへ指定する必要があります。
- NetFlowVer9の場合
collect timestamp sys-uptime first
collect timestamp sys-uptime last
または
collect timestamp absolute first
collect timestamp absolute last
- NetFlowVer10(IPFIX)の場合
collect timestamp absolute first
collect timestamp absolute last
※Cisco社製品の記載方法の例です。