Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS User Guide

Table of Contents

データフィード

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: May 1, 2026
  • 11 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

この設定は、[設定]  [処理] → [データフィード]にあります。

説明

Flowデータソースは、ネットワークの個々の監視対象ポイントを表します。Flowデータソースは、ライセンス制限の1つです(同時にアクティブにできるFlowデータソースの数)。ネットワークの監視対象ポイントごとに、プラグインにFlowデータソースを作成する必要があります。

データフィードのタイプ

Flowmon ADSは、特定の種類のFlowデータを処理するために設計された3種類のデータフィードをサポートしています。

  • プレーンデータフィード: これは、ほとんどの検知メソッドで使用されるデフォルトのデータフィードタイプです。TCP、UDP、ICMP、ARPなどの一般的なネットワークプロトコルに対して利用可能な標準項目を含むフローを処理します。また、HTTP、DNS、TLSなどのアプリケーションレベルのプロトコルからのデータも処理します。

  • SIPデータフィード: VoIP技術によって使用されるセッション開始プロトコル(SIP)の項目により強化されたFlowデータを処理するための専門的なデータフィードです。これにより、SIPベースの通信のモニタリングと解析が可能になります。このデータフィードタイプでは、「SIP」プレフィックスを持つ検知メソッドのみが使用できます。

  • OTデータフィード: このデータフィードタイプは、Modbus、DNP3、IEC 104、GOOSEなどの操作技術に関連するプロトコルの項目により強化されたFlowデータを処理します。このデータフィードタイプでは、「OT」プレフィックスを持つ検知メソッドのみが使用できます。

新しいデータフィードを作成する際、または既存のデータフィードを編集する際には、データフィードのタイプを選択する必要があります。詳細については、[設定]セクションの[Flowデータのタイプ]オプションを参照してください。

VoIPおよびOTプロトコルからのデータの処理

SIPおよびOTデータフィードで、OTおよびVoIP技術に関連するプロトコルの項目により強化されたFlowデータを正しく処理するためには、Flowmonプローブがこのデータを適切に抽出し、フローレコードに追加することが不可欠です。Flowmonプローブでこれらのプロトコルからデータを抽出できるようにするには、[Flowmon Configuration Center][モニタリングポート]の順に移動し、そこで次のいずれかを行うことが可能です。

  • [高度な設定]タブの[グローバル設定]セクションで、すべてのモニタリングポートに対してプロトコルの処理をグローバルに有効にします、または
  • 各ポートに対して[高度な設定]タブで個々のモニタリングポートを別々に設定します

[高度な設定]セクションで、Flowmonプローブによって処理されるべきすべてのプロトコルを選択します。この設定がなければ、SIPおよびOTデータフィードは必要なプロトコル固有の情報を受信できず、解析が不完全になったり、検知が欠如する可能性があります。

設定

  • 名前: 一意のデータソース名。

  • 状態: データフィードの現在の状態。

  • ロケーション: データフィードを実行する分散アーキテクチャーのノード。各ノードには一意の名前が必要です。分散アーキテクチャーがオフの場合は、localhostしかありません。

  • プロファイル: 入力して使用されるプロファイルの名前。

  • FPSの上限値/下限値の設定: データフィードに対する1秒あたりのフローの上限値/下限値。この上限値/下限値を超えて受信されたフローは処理されません。ライセンス制限や技術的な限界のため(十分なリソースがないなど)、FPSの上限値/下限値の真の値は、実際はそれぞれのデータフィードに設定されている値よりも低い可能性があります。すべてのアクティブなデータフィードで処理できるFPSの最大量は、使用されているライセンスで指定されている上限値/下限値によって制限されます。ライセンスの上限値/下限値と必要なアプライアンスリソースは、Flowmon ADSの仕様で確認できます。ライセンスの上限値/下限値の扱いは、処理の対象に基づいて異なります(詳しくは、このページの最後にある例を参照してください)。

    • BPATTERNSシグネチャの処理: ライセンスの上限値/下限値は、5分のデータバッチのハードリミットとして適用されます。処理開始時、ライセンスのハードリミットがアクティブなデータフィードに均等に分配されます。ユーザ定義のFPSの上限値/下限値により、この分配を調整できます。

    • 他の検知メソッドのストリーム処理: ライセンスの上限値/下限値は、1秒あたりのフローの1時間平均値が閾値を超えたときに適用されます。したがって、短期間のフローバーストやトラフィックスパイクは、上限値/下限値を超えていても処理されます。ユーザ定義のFPSの上限値/下限値を設定することで、合計で1時間平均を超えないよう、カスタムの上限値/下限値を設定できます。

  • チャネル: アプリケーションの入力データとして使用されるチャネルを選択します。

  • チャネルをスタンドアロンのデータフィードに分割: 新しいデータフィードを作成するか、既存のデータフィードを編集するとき、選択したプロファイルのチャネルのスタンドアロンデータフィードへの分割を有効にすることができます。各データフィードのデータは個別に処理されます。スタンドアロンデータフィードへのチャネルの分割を使用すると、検知メソッドのインスタンスにチャネルを割り当て、個別の優先度を設定することができます。アクティブなデータフィードの最大数には、ライセンスによって上限値/下限値が設定されています。スタンドアロンデータフィードへの分割が有効なデータフィードがアクティブ化されているにもかかわらず、ライセンスの上限値/下限値が設定されているため、選択したすべてのチャネルに対するデータフィードをアクティブ化できない場合、データフィードは部分的にアクティブ化されます。アクティブ化されたデータフィード数に関する情報は、データフィードステータスページに表示されます。スタンドアロンデータフィードの使用例は、以下の通りです。ISPは、ASNごとにデータフィードを作成し、グループごとに個別にトラフィック異常を分析できます。ASNグループごとにチャネルを含む新しいプロファイルを作成し、そのプロファイルをADSデータフィードに割り当てて、すべてのチャネルを選択して仮想ソースをアクティブ化するだけです。

  • 重複排除: アクティブになっている場合、重複フローがスキップされます。重複と見なされるフローは、5つのタプル(送信元IP、宛先IP、送信元ポート、宛先ポート、プロトコル)が同一で、期間(フロー開始、継続時間)が重複しているフローです。

  • Flowデータのタイプ: 3つの異なるFlowデータのタイプ(プレーンフローデータ、SIPエントリによって強化されたデータ、および Operation Technologies(OT)エントリによって強化されたデータ)の処理を切り替えます。プレーンデータと強化データを単一のデータフィードで一緒に処理することはできません。強化データの処理がアクティブになっている場合、「SIP」と「OT」という特定のプレフィックスの付いた検知メソッドのみが使用されます。

  • 誤りのあるタイムスタンプをレポート: Flowエクスポータの誤った時間設定のチェックを有効にします。着信フローのタイムスタンプが現在時刻と比較され、大幅な差がある場合に警告されます(警告を発する時差パラメータ参照)。

  • 警告を発する時差: 警告すべき、受信フローと現在時刻の最小の時間差(秒)を指定します。

  • サンプリングレート: 入力データのサンプリングレート。

  • アクティブなプロキシ: 内側のフロー(クライアント → プロキシ)と外側のフロー(プロキシ → サーバ)の2つのフローを1つのフロー(クライアント → サーバ)に置き換える相関を有効にします。プロキシ相関が正しく機能するためには、内側と外側のフローのモニタリングが必要です。ネットワークは通常、ローカルネットワークの内部(プロキシサーバのクライアント側)と外部ネットワークの内部(プロキシサーバのパブリック側)の2か所でモニタリングする必要があります。この相関により、プロキシサーバを使用するネットワークでは実現困難だと思われる検知を、いくつかのメソッドで実行できるようになります。ただし、相関は対になっているフロー(バイフロー)にのみ適用され、すべての相関フローの処理は数秒間(エッジケースで最大70秒)遅延する可能性があります。データフィードの設定では、相互に関連付ける必要がある2つの特定のフロー間の許容されるデータ量の差異([データの差異の最大値])と、外側のフローで余分にかかる可能性があるミリ秒数([要求の延長時間][応答の延長時間])を設定できます。外側のインターフェースのIPアドレス([外部IP])、内側のインターフェースのIPアドレス([内部IP])、プロキシサーバのリスニングポート([内部ポート])、プロキシクライアント([クライアントフィルタ])を設定する必要があります。データフィードごとに複数のプロキシサーバを定義できます。最大数は、データフィードあたり20に制限されます。

補足:

FPSの上限値/下限値の分配の例:

Flowmon ADS Ultimateのライセンスの上限値/下限値は、ストリームデータ処理については100,000フロー/秒(1時間平均)、振る舞いパターン処理については25,000フロー/秒(ハードな上限値/下限値)です。

2つのデータフィードを定義しましょう。1つ目はFPSの上限値/下限値に1,000を使用し、2つ目はFPSの上限値/下限値を使用しません。 ストリームデータ処理では、データフィード1から最大1,000 FPSが処理されます。データフィード2にはユーザによる上限値/下限値はありませんが、両方のデータフィードからのFPS (1時間平均)の合計がライセンスの上限値/下限値を超えてはなりません。データフィード2の1時間平均FPSは、最大99,000 FPSになります。 振る舞いパターン処理では、データフィード1については最大1,000 FPS、データフィード2については最大24,000 FPSが処理されます。これは、ライセンスのハードリミットが設定されているためです。

FPSの上限値/下限値(1,000、20,000、および90,000)を持つ3つのデータフィードを定義しましょう。 ストリームデータ処理では、データフィード1から最大1,000 FPS、データフィード2から最大20,000 FPS、およびデータフィード3から最大90,000 FPSが処理されます。すべてのデータフィードからのFPS (1時間平均)の合計がライセンスの上限値/下限値を超えてはなりません。振る舞いパターン処理では、データフィード1から最大1,000 FPS、データフィード2および3から最大12,000 FPSが処理されます。これは、残りの上限値/下限値が均等に分配されるためです。

できる限り良い結果を提供するため、Flowmon ADSモジュールではFlowエクスポータのアクティブおよびインアクティブタイムアウトに適切な値を設定する必要があります。エクスポータの設定の詳細については、Flowmonアプライアンスのマニュアルを参照してください。フローの粒度は検知メソッドの精度に影響します。エクスポータで生成されるフローの数を減らすためには、以下の値が適切です(Flowmonアプライアンスには、これらの値がデフォルトで設定されています)。

  • アクティブタイムアウト – 300秒

  • インアクティブタイムアウト – 30秒

アクション

  • 検知メソッドに割り当て: すべての検知メソッドにデータフィードを割り当てます。[メソッド]設定で、特定のメソッドへの割り当てを手動で行うこともできます。
TitleResults for “How to create a CRG?”Also Available inAlert