ストリーム処理

Flowmon ADSモジュールバージョン11は、新しい異常検知エンジンを搭載しています。このエンジンではストリーム処理を使用して、エンジンで受信したフローを受信後すぐに処理します。この方法では、以前よりもずっと高速にネットワーク異常を検知し、ネットワークの異常を早期に知らせることができます。また、長期間のFlowデータを分析できるため、検知の質も高まります。本ユーザガイドで言及している新しいコンセプトの中には、ストリーム処理によって実現したものがいくつかあります。この章では、それらについて説明します。

イベントトリガーとイベント更新

監視対象ネットワークでネットワーク異常が検知されると、イベントが作成されます。各イベントは、次の5つの主な属性で定義されます: 送信元(異常が発生したIPアドレス)、イベントタイプ、サブタイプ(詳細については、共通機能を参照してください)、検知のためのFlowデータの送信元となったデータフィード、イベントを検知したメソッドインスタンス。イベントトリガーという用語は、ネットワーク異常が検知され、同じ属性のイベントが現在アクティブでない場合に使用されます。この場合、新しいイベントが作成されます。一方、同じ属性のイベントが現在アクティブである場合には、新しいイベントは作成されず、既存のイベントのステータスが現在の情報で更新されます。この場合、イベント更新という用語が使用されます。

インアクティブタイムアウトと更新間隔

インアクティブタイムアウトと更新間隔は、イベントトリガーおよびイベント更新と密接に関連しています。インアクティブタイムアウトを使用して、アクティブなイベントのクローズに影響を及ぼす期間を設定できます。このパラメータで指定した期間、異常が検知されなかった場合(つまり、異常がネットワークに存在しなくなったことを意味します)、イベントは終了したと見なされます。更新間隔は、アクティブなイベントに関する情報をGUIで更新する頻度を指定します(例: 5分おき)。これらのパラメータの値は、[設定] → [システム設定] → [ストレージ設定]で変更できます(追加情報については、データストレージの設定を参照してください)。

検知されたイベントの存続期間

すべてのイベントには、異常がネットワークでアクティブであった期間を指定する存続期間があります。分析チャートで特定の時間範囲を選択すると(詳細については、分析を参照してください)、それぞれの範囲でアクティブであったイベントが表示されます。