Difference between revisions of "Pandora: Documentation ja: Netflow"

From Pandora FMS Wiki
Jump to: navigation, search
(設定)
(フィルタ)
Line 217: Line 217:
 
<br>
 
<br>
 
</center>
 
</center>
 +
 +
Here are other examples of advanced filters:
 +
 +
*Capture traffic to or from 192.168.0.1:
 +
host 192.168.0.1
 +
*Capture traffic to 192.168.0.1:
 +
dst host 192.168.0.1
 +
*Capture traffic from 192.168.0.0/24:
 +
src net 192.168.0.0/24
 +
*Capture HTTP and HTTPS traffic:
 +
(port 80) or (port 443)
 +
*Capture all traffic except DNS:
 +
port not 53
 +
*Capture SSH traffic to 192.168.0.1:
 +
(port 22) and (dst host 192.168.0.1)
  
 
== レポート ==
 
== レポート ==

Revision as of 15:53, 22 January 2013

Pandora FMS ドキュメント一覧に戻る

1 Netflow

1.1 概要

バージョン 5.0 の Pandora FMS から、NetFlow プロトコルを使って IP 通信をモニターできます。通信のパターンおよび全体のデータを見ることができ、とても便利です。

Netflow は、Cisco Systems により開発された IP 通信の情報を収集するためのネットワークプロトコルです。Netflow はネットワークトラフィックモニタリングの業界標準になっており、現在では Cisco IOS および NXOS、Juniper デバイス、Enterasys Switches、そして Linux, FreeBSD, NetBSD, OpenBSD といった OS など複数のプラットフォームでサポートされています。


Netflow architecture.png

1.1.1 Net flow

Netflow に対応したデバイス(netflowプローブ)は、情報の小さなかたまりで構成される netflow レコードを生成します。それは中央デバイスまたは netflow サーバ(netflowコレクタ)へ送信され、情報が保存、処理されます。

データは、UDP または SCTP にて Netflow プロトコルにより送信されます。netflow レコードは小さなパケットで、流れている全通信内容ではなく、接続に関する統計情報のみを含んでいます。

オリジナルの仕様から異なり追加情報を含んだいくつかの Netflow 実装がありますが、ほとんどの場合少なくとも次の情報を含んでいます。

  • 発信元 IP アドレス
  • 宛先 IP アドレス
  • 発信元 UDP または TCP ポート
  • 宛先 UDP または TCP ポート
  • IP プロトコル
  • インタフェース (SNMP ifIndex)
  • サービスのタイプ

いくつかのベンダでは、異なる名前で似たようなプロトコルを定義していますが、目的は同じです。

  • Juniper Networks の Jflow または cflowd
  • 3Com/H3C|HP の NetStream
  • Huawei の NetStream
  • Alcatel Lucent の Cflowd
  • Ericsson の Rflow
  • AppFlow
  • sFlow

1.1.2 Netflow コレクタ

Netflow コレクタは、ルータやスイッチから送られた全ての Netflow 情報を収集するためにネットワーク上に置かれたデバイス(PCやサーバ)です。

Netflow サーバは、データを受け取り保存するために必要です。Pandora FMS は、この目的に nfcapd を利用しています。Pandora FMS が Netflow データを処理できるようにするには、これをインストールする必要があります。Pandora FMS は、必要なときに自動的にこのサーバを起動・停止します。

1.1.3 Netflow プローブ

プローブは、通常 Netflow に対応したルータで、Netflow データを Netflow コレクタ (我々の場合、nfcapd が動いている Pandora FMS サーバです) に送信するように設定されたものです。


NewNetFlowApproach.png

1.2 インストールと必要要件

Pandora FMS は、全ての netflow 通信を処理するためにオープンソースのツールである nfcapd を利用します。このデーモンは、Pandora FMS サーバにより自動的に起動されます。このシステムは、データを特定の場所のバイナリファイルに保存します。Netflow を使うには、nfcapd をインストールする必要があります。nfcapd のデフォルトの待ち受けポートは 9995/UDP です。ファイアーウォールがある場合は、このポートを開ける必要があることに注意してください。

1.2.1 nfcapd のインストール

nfcapd は、手動でインストールする必要があります。Pandora FMS 自身は nfcapd をインストールしません。インストール方法の詳細は、nfcapd プロジェクトの公式ページを参照してください。

Pandora FMS はデフォルトで、Netflow データを保存するのに /var/spool/pandora/data_in/netflow ディレクトリを利用します。Pandora FMS サーバによって起動されるときに、nfcapd にこのディレクトリが指定されます。何を行っているかがわからない場合は、変更しないでください。

Pandora FMS では、Netflow データを処理するのに nfdump バージョン 1.6 が必要です。

nfcapd の手動での動作確認には次のようにします。

nfcapd -l /var/spool/pandora/data_in/netflow -D

Pandora FMS コンソールが動いているウェブサーバプロセスから Netflow データファイルを読むために、/var/spool/data_in/netflow へアクセスできる必要があることに注意してくだい。

1.2.2 Netflow プローブのインストール

Netflow に対応したルータが無く、Linux サーバをルータとして利用している場合は、netflow 情報を Netflow サーバへ送信するソフトウエアの Netflow プローブをインストールできます。

Linux では、fprobe というプログラムがあり、トラフィックを取得し Netflow サーバへ送信します。このプログラムで、次のようにインタフェースを通る Netflow トラフィックを生成することができます。

/usr/sbin/fprobe -ieth0 -fip 192.168.70.185:9995

トラフィックが生成されたら、次のコマンドでトラフィックの状態を見る事ができます。

nfdump -S -R /home/netflow_data/

次のような情報が表示されます。

Aggregated flows 1286
Top 10 flows ordered by packets:
Date flow start          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
2011-12-22 20:41:35.697   901.035 TCP     192.168.60.181:50935 ->     192.168.50.2:22        2105   167388     4
2011-12-22 20:41:35.702   900.874 TCP       192.168.50.2:22    ->   192.168.60.181:50935     1275   202984     4
2011-12-22 20:48:15.057     1.347 TCP       157.88.36.34:80    ->    192.168.50.15:40044      496   737160     1
2011-12-22 20:48:14.742     1.790 TCP     91.121.124.139:80    ->    192.168.50.15:60101      409   607356     1
2011-12-22 20:46:02.791    76.616 TCP      192.168.50.15:80    ->   192.168.60.181:40500      370   477945     1
2011-12-22 20:48:15.015     1.389 TCP      192.168.50.15:40044 ->     157.88.36.34:80         363    22496     1
2011-12-22 20:46:02.791    76.616 TCP     192.168.60.181:40500 ->    192.168.50.15:80         303    24309     1
2011-12-22 20:48:14.689     1.843 TCP      192.168.50.15:60101 ->   91.121.124.139:80         255    13083     1
2011-12-22 20:48:14.665     1.249 TCP     178.32.239.141:80    ->    192.168.50.15:38476      227   335812     1
2011-12-22 20:48:21.350     0.713 TCP     137.205.124.72:80    ->    192.168.50.15:47551      224   330191     1

Top 10 flows ordered by bytes:
Date flow start          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
2011-12-22 20:48:15.057     1.347 TCP       157.88.36.34:80    ->    192.168.50.15:40044      496   737160     1
2011-12-22 20:48:14.742     1.790 TCP     91.121.124.139:80    ->    192.168.50.15:60101      409   607356     1
2011-12-22 20:46:02.791    76.616 TCP      192.168.50.15:80    ->   192.168.60.181:40500      370   477945     1
2011-12-22 20:48:14.665     1.249 TCP     178.32.239.141:80    ->    192.168.50.15:38476      227   335812     1
2011-12-22 20:48:21.350     0.713 TCP     137.205.124.72:80    ->    192.168.50.15:47551      224   330191     1
2011-12-22 20:48:15.313     1.603 TCP       89.102.0.150:80    ->    192.168.50.15:52019      212   313432     1
2011-12-22 20:48:14.996     1.433 TCP     212.219.56.138:80    ->    192.168.50.15:36940      191   281104     1
2011-12-22 20:51:12.325    46.928 TCP      192.168.50.15:80    ->   192.168.60.181:40512      201   245118     1
2011-12-22 20:52:05.935    34.781 TCP      192.168.50.15:80    ->   192.168.60.181:40524      167   211608     1
2011-12-22 20:41:35.702   900.874 TCP       192.168.50.2:22    ->   192.168.60.181:50935     1275   202984     4

Summary: total flows: 1458, total bytes: 5.9 M, total packets: 15421, avg bps: 49574, avg pps: 15, avg bpp: 399
Time window: 2011-12-22 20:40:46 - 2011-12-22 20:57:21
Total flows processed: 1458, Records skipped: 0, Bytes read: 75864
Sys: 0.006s flows/second: 208345.2   Wall: 0.006s flows/second: 221177.2  


ここまでの動作確認ができたら、次はそれを利用できるようにするための Pandora FMS の設定です。

1.3 Pandora FMS における Netflow の動作

Pandora FMS は、Netflow データをデータベースには保存しません。情報は、レポートを表示する時にオンデマンドで処理されます。

Pandora FMS は、フィルタ を使って Netflow データを処理します。フィルタは、通信パターンにマッチするルールのセットです。ルールは、'サブネット 192.168.70.0/24 からの通信すべて' といったように簡単です。また、pcap の書式も利用できます。

フィルタを作成したら、フィルタにマッチした情報をどのように表示するか(グラフや表)および時間範囲をレポートで定義する必要があります。Netflow レポートは、他の Pandora FMS レポートと同様にオンデマンドでのアクセスです。

Netflow のレポートは、Pandora の一般的なレポートのメニューからレポートとして表示されます。そのため通常のレポートに組み込むこともできます。

また、通信の分析や素ぽーっとでルールを作成したり修正するためのライブ Netflow ビューワがあります。これは、問題を調査したり、保存しない一時的なグラフを表示するのにするのにとても便利です。

1.3.1 Enterprise 版: Pandora での分析

Enterprise版では、Pandora FMS のモジュールとして、フィルタリングした平均トラフィックを保存することができます。これにより、アラートを設定したり、重ね合わせグラフを生成したり、他の Pandora FMS モジュールと共に利用することができます。より詳細は、以下を参照してください。

予測サーバによる Netflow モニタリング

1.3.2 設定

まず最初に、Netflow を操作(Operation)およびシステム管理(Administration)メニューからアクセスできるようにする必要があります。


600px

システム管理(Administration)メニューの、設定(Configuration)の中に、Netflow オプションがあります。そこで、Netflow 通信で取得したファイルを置くパスを指定します。例えば、/tmp/netflow です。また、nfcapd デーモンのパスも正しく設定されている必要があります。



Netflow manager.png



The following configuration options are available:

  • Data storage path: Directory where netflow data files will be stored.
  • Daemon interval: Time interval in seconds after which data files are rotated.
  • Daemon binary path: Path to the nfcapd binary.
  • Nfdump binary path: Path to the nfdump binary.
  • Maximum chart resolution: Maximum number of points that a netflow area chart will display. The higher the resolution the lower the performance. Values between 50 and 100 are recommended.

Once netflow configuration is enabled, Pandora FMS server must be restarted to start nfcapd server. This server must be accesible on system path and properly installed. Check server logs on any doubt. This server will not appear in Pandora FMS server view because it is not a Pandora server.

1.4 フィルタ

フィルタの作成と編集は、"システム管理 -> Netflow -> フィルタ" で行います。ここでは、すでに作成済みのフィルタ一覧があり、変更や削除ができます。

Netflow フィルタは、ここで説明するいくつかの機能を定義することができます。

  • 名前(Name): フィルタの名前です。解りやすいものを定義してください。
  • グループ(Group): 1ユーザは、アクセス可能なグループの一つのフィルタのみ作成または編集できます。
  • フィルタ(Filters): フィルタには、基本と拡張の 2つのタイプがあります。拡張フィルタは、nfdump と同じフォーマットの拡張表現が利用できます。基本フィルタは、発信元IP、宛先IP、発信元ポート、宛先ポートで通信をフィルタできます。カンマで区切った IP またはポートリストが利用できます。
  • 集約: 通信が次の基準で集約されます:

発信元 IP(IP Origin): 異なる発信元 IP ごとに通信を表示します。
宛先 IP(IP Destination): 異なる宛先 IP ごとに通信を表示します。
発信元ポート(Origin Port): 異なる発信元ポートごとに通信を表示します。
宛先ポート(Destiny Port): 異なる宛先ポートごとに通信を表示します。
プロトコル(Protocol): 異なるプロトコルごとに通信を表示します。
全て(Any): (全データ)

  • 出力フォーマット: 次の出力が表示されます:

パケット数
バイト数
通信速度(bps)
バイト数/パケット数

基本ウェブ通信フィルタの例:


Netflow filter normal.png

拡張イントラネット通信フィルタの例:


Netflow filter advanced.png

Here are other examples of advanced filters:

  • Capture traffic to or from 192.168.0.1:
host 192.168.0.1
  • Capture traffic to 192.168.0.1:
dst host 192.168.0.1
  • Capture traffic from 192.168.0.0/24:
src net 192.168.0.0/24
  • Capture HTTP and HTTPS traffic:
(port 80) or (port 443)
  • Capture all traffic except DNS:
port not 53
  • Capture SSH traffic to 192.168.0.1:
(port 22) and (dst host 192.168.0.1)

1.5 レポート

レポートの作成および編集は、"システム管理 -> Netflow -> レポート管理" から行います。ここには、作成済みのレポート一覧があり、編集や削除ができます。

レポートを作成するときは、名前、グループ、説明といった一般的な情報を定義します。


600px

一度保存すると、右上のアイテムエディタやアイテム一覧からレポートに要素を追加できるようになります。 アイテムの作成では、次の設定ができます。

  • 間隔(Interval): 表示する時間間隔
  • フィルタ(Filter): 事前に作成したフィルタを選択 (フィルタの項を参照)
  • 最大値(Max. Values): フィルタ設定がある場合に、表示される値の最大数です。
  • グラフ種類(Chart type): グラフまたは表の種類。フィルタでアイテムが設定されている場合、設定可能なタイプは、塗り潰しグラフ、円グラフ、表のいずれかです。ただし、フィルタで集約を設定していない(全てを選択している)場合は、塗り潰しグラフのみです。

レポートに追加したい複数の要素を選択することができます。


600px

1.6 レポート表示

作成したレポートを表示するには、"操作 -> Netflow" へ行きます。レポート一覧が表示されるので、そこから見たいレポートを選択します。ここで、レポートの日時を調整することができます。


600px

1.7 Netflow ライブビュー

フィルタした情報は、"操作 -> Netflow -> ライブビュー" から表示できます。このツールで、フィルタの変更のプレビューおよび、好みの出力結果を保存できます。設定したフィルタをロードし編集することもできます。


Netflow live view.png

Pandora FMS ドキュメント一覧に戻る