ホスト名で誤検知除外をしたいのですが、設定が反映されていませんでした。
通信が長い場合、フローが分割されます。
インアクティブタイムアウトによってフローが分割されることがあり、 ホスト名は最初のフローにのみ含まれ、2つ目以降のフローにはホスト名が含まれないため、 ホスト名が含まれていない2つ目以降のフローでイベントが発生した可能性がございます。
通信は、アクティブタイムアウトとインアクティブタイムアウトによってフローが作成されます。
アクティブタイムアウトとは、通信中に設定した時間が経過した場合に、一旦フローを作成するための設定です。
例えば、アクティブタイムアウトが300秒で設定されている場合、300秒が経過するとフローが作成されます。
インアクティブタイムアウトとは、設定した時間内に通信が無ければフローが終了したとみなすための設定です。
例えば、インアクティブタイムアウトが30秒で設定されている場合、30秒間通信がなければその通信が終了したとみなします。
ホスト名はTLSハンドシェイクでのみ送信されるTLS SNIフィールドから取得されます。
通信が継続しない状態(ACKが返らず、RSTもFINも無い状態)がインアクティブタイムアウトで設定した時間を経過した場合、フローが作成されます。 その後に通信が再開しても新しいTLSハンドシェイクは含まれていないので、ホスト名を取得することはできません。
インアクティブタイムアウトを延ばすことは可能ですが、
インアクティブタイムアウトを延ばすことでより多くのメモリを必要とします。
※仮想コレクタのモニタリングポートでフローを生成している場合は、Configuration Center>モニタリングポート>グローバル設定>ターゲット のインアクティブタイムアウトから変更することが可能です。
※Flowmon Probeでフローを作らずにNW機器で生成したフローでホスト名を取得している場合は、NW機器のインアクティブタイムアウトの変更方法はNW機器のベンダーにご確認ください。
インアクティブタイムアウトによってフローが分割されることがあり、 ホスト名は最初のフローにのみ含まれ、2つ目以降のフローにはホスト名が含まれないため、 ホスト名が含まれていない2つ目以降のフローでイベントが発生した可能性がございます。
通信は、アクティブタイムアウトとインアクティブタイムアウトによってフローが作成されます。
アクティブタイムアウトとは、通信中に設定した時間が経過した場合に、一旦フローを作成するための設定です。
例えば、アクティブタイムアウトが300秒で設定されている場合、300秒が経過するとフローが作成されます。
インアクティブタイムアウトとは、設定した時間内に通信が無ければフローが終了したとみなすための設定です。
例えば、インアクティブタイムアウトが30秒で設定されている場合、30秒間通信がなければその通信が終了したとみなします。
ホスト名はTLSハンドシェイクでのみ送信されるTLS SNIフィールドから取得されます。
通信が継続しない状態(ACKが返らず、RSTもFINも無い状態)がインアクティブタイムアウトで設定した時間を経過した場合、フローが作成されます。 その後に通信が再開しても新しいTLSハンドシェイクは含まれていないので、ホスト名を取得することはできません。
インアクティブタイムアウトを延ばすことは可能ですが、
インアクティブタイムアウトを延ばすことでより多くのメモリを必要とします。
※仮想コレクタのモニタリングポートでフローを生成している場合は、Configuration Center>モニタリングポート>グローバル設定>ターゲット のインアクティブタイムアウトから変更することが可能です。
※Flowmon Probeでフローを作らずにNW機器で生成したフローでホスト名を取得している場合は、NW機器のインアクティブタイムアウトの変更方法はNW機器のベンダーにご確認ください。