データフィード

この設定は、[設定] → [処理] → [データフィード]にあります。

説明

フローデータソースは、ネットワークの個々の監視対象ポイントを表します。フローデータソースは、ライセンス制限の1つです(同時にアクティブにできるフローデータソースの数)。ネットワークの監視対象ポイントごとに、プラグインにフローデータソースを作成する必要があります。

設定

• 名前: 一意のデータソース名。

• 状態: データフィードの現在の状態。

• ロケーション: データフィードを実行する分散アーキテクチャーのノード。各ノードには一意の名前が必要です。分散アーキテクチャーがオフの場合は、localhostしかありません。

• プロファイル: 入力して使用されるプロファイルの名前。

• FPSの上限値/下限値の設定: データフィードに対する1秒あたりのフローの上限値/下限値。この上限値/下限値を超えて受信されたフローは処理されません。ライセンス制限や技術的な限界のため(十分なリソースがないなど)、FPSの上限値/下限値の真の値は、実際はそれぞれのデータフィードに設定されている値よりも低い可能性があります。すべてのアクティブなデータフィードで処理できるFPSの最大量は、使用されているライセンスで指定されている上限値/下限値によって制限されます。ライセンスの上限値/下限値と必要なアプライアンスリソースは、Flowmon ADSの仕様で確認できます。ライセンスの上限値/下限値の扱いは、処理の対象に基づいて異なります(詳しくは、このページの最後にある例を参照してください)。

  • BPATTERNSシグネチャの処理: ライセンスの上限値/下限値は、5分のデータバッチのハードリミットとして適用されます。処理開始時、ライセンスのハードリミットがアクティブなデータフィードに均等に分配されます。ユーザ定義のFPSの上限値/下限値により、この分配を調整できます。

  • 他の検知メソッドのストリーム処理: ライセンスの上限値/下限値は、1秒あたりのフローの1時間平均値が閾値を超えたときに適用されます。したがって、短期間のフローバーストやトラフィックスパイクは、上限値/下限値を超えていても処理されます。ユーザ定義のFPSの上限値/下限値を設定することで、合計で1時間平均を超えないよう、カスタムの上限値/下限値を設定できます。

• チャネル: アプリケーションの入力データとして使用されるチャネルを選択します。

• チャネルをスタンドアロンのデータフィードに分割: 新しいデータフィードを作成するか、既存のデータフィードを編集するとき、選択したプロファイルのチャネルのスタンドアロンデータフィードへの分割を有効にすることができます。各データフィードのデータは個別に処理されます。スタンドアロンデータフィードへのチャネルの分割を使用すると、検知メソッドのインスタンスにチャネルを割り当て、個別の優先度を設定することができます。アクティブなデータフィードの最大数には、ライセンスによって上限値/下限値が設定されています。スタンドアロンデータフィードへの分割が有効なデータフィードがアクティブ化されているにもかかわらず、ライセンスの上限値/下限値が設定されているため、選択したすべてのチャネルに対するデータフィードをアクティブ化できない場合、データフィードは部分的にアクティブ化されます。アクティブ化されたデータフィード数に関する情報は、データフィードステータスページに表示されます。スタンドアロンデータフィードの使用例は、以下の通りです。ISPは、ASNごとにデータフィードを作成し、グループごとに個別にトラフィック異常を分析できます。ASNグループごとにチャネルを含む新しいプロファイルを作成し、そのプロファイルをADSデータフィードに割り当てて、すべてのチャネルを選択して仮想ソースをアクティブ化するだけです。

• 重複排除: アクティブになっている場合、重複フローがスキップされます。重複と見なされるフローは、5つのタプル(送信元IP、宛先IP、送信元ポート、宛先ポート、プロトコル)が同一で、期間(フロー開始、継続時間)が重複しているフローです。

• SIPトラフィック処理: フローデータ処理とSIPエントリによって強化されたフローデータ処理を切り替えます。単一のデータフィードで両方(SIPエントリを含むフローデータとSIPエントリを含まないフローデータ)を一緒に処理することはできません。SIP処理がアクティブになっている場合、「SIP」プレフィックスの付いた検知メソッドのみが使用されます。

• 誤りのあるタイムスタンプをレポート: フローエクスポータの誤った時間設定のチェックを有効にします。着信フローのタイムスタンプが現在時刻と比較され、大幅な差がある場合に警告されます(警告を発する時差パラメータ参照)。

• 警告を発する時差: 警告すべき、受信フローと現在時刻の最小の時間差(秒)を指定します。

• サンプリングレート: 入力データのサンプリングレート。

• アクティブなプロキシ: 内側のフロー(クライアント → プロキシ)と外側のフロー(プロキシ → サーバ)の2つのフローを1つのフロー(クライアント → サーバ)に置き換える相関を有効にします。プロキシ相関が正しく機能するためには、内側と外側のフローのモニタリングが必要です。ネットワークは通常、ローカルネットワークの内部(プロキシサーバのクライアント側)と外部ネットワークの内部(プロキシサーバのパブリック側)の2か所でモニタリングする必要があります。この相関により、プロキシサーバを使用するネットワークでは実現困難だと思われる検知を、いくつかのメソッドで実行できるようになります。ただし、相関は対になっているフロー(バイフロー)にのみ適用され、すべての相関フローの処理は数秒間(エッジケースで最大70秒)遅延する可能性があります。データフィードの設定では、相互に関連付ける必要がある2つの特定のフロー間の許容されるデータ量の差異([データの差異の最大値])と、外側のフローで余分にかかる可能性があるミリ秒数([要求の延長時間]、[応答の延長時間])を設定できます。外側のインターフェースのIPアドレス([外部IP])、内側のインターフェースのIPアドレス([内部IP])、プロキシサーバのリスニングポート([内部ポート])、プロキシクライアント([クライアントフィルタ])を設定する必要があります。データフィードごとに複数のプロキシサーバを定義できます。最大数は、データフィードあたり20に制限されます。

FPSの上限値/下限値の分配の例

Flowmon ADS Ultimateのライセンスの上限値/下限値は、ストリームデータ処理については100.000フロー/秒(1時間平均)、振る舞いパターン処理については15.000フロー/秒(ハードな上限値/下限値)です。

2つのデータフィードを定義しましょう。1つ目はFPSの上限値/下限値に1.000を使用し、2つ目はFPSの上限値/下限値を使用しません。 ストリームデータ処理では、データフィード1から最大1.000 FPSが処理されます。データフィード2にはユーザによる上限値/下限値はありませんが、両方のデータフィードからのFPS (1時間平均)の合計がライセンスの上限値/下限値を超えてはなりません。データフィード2の1時間平均FPSは、最大99.000FPSになります。 振る舞いパターン処理では、データフィード1については最大1.000 FPS、データフィード2については最大14.000 FPSが処理されます。これは、ライセンスのハードリミットが設定されているためです。

FPSの上限値/下限値(1.000、20.000、および90.000)を持つ3つのデータフィードを定義しましょう。 ストリームデータ処理では、データフィード1から最大1.000 FPS、データフィード2から最大20.000 FPS、およびデータフィード3から最大90.000 FPSが処理されます。すべてのデータフィードからのFPS (1時間平均)の合計がライセンスの上限値/下限値を超えてはなりません。振る舞いパターン処理では、データフィード1から最大1.000 FPS、データフィード2および3から最大7.000 FPSが処理されます。これは、残りの上限値/下限値が均等に分配されるためです。

できる限り良い結果を提供するため、Flowmon ADSモジュールではフローエクスポータのアクティブおよびインアクティブタイムアウトに適切な値を設定する必要があります。エクスポータの設定の詳細については、Flowmonアプライアンスのマニュアルを参照してください。フローの粒度は検知メソッドの精度に影響します。エクスポータで生成されるフローの数を減らすためには、以下の値が適切です(Flowmonアプライアンスには、これらの値がデフォルトで設定されています)。

• アクティブタイムアウト – 300秒

• インアクティブタイムアウト – 30秒

アクション

• 検知メソッドに割り当て: すべての検知メソッドにデータフィードを割り当てます。[メソッド]設定で、特定のメソッドへの割り当てを手動で行うこともできます。