解析

Flowmon Packet Investigatorは、ネットワーク運用問題の解決に役立つ堅牢な分析ツールです。 記録したPCAPは各プロトコルのRFC仕様およびその組み合わせとの違いが自動的にチェックされ、エラーコードまたはその他の不具合が記録されます。 現在サポートされているプロトコルには、ARP、DHCP、DNS、FTP、HTTP、ICMP、IMAP、IMF、IP、NTP、POP、SIP、SLAAC、SMB、SMTP、SSL、TCPなど、企業で使用されている一般的なサービスがすべて含まれています。 CoAP、GOOSE、IEC104、MMS、MQTTなど、IoT環境専用のプロトコルもサポートされています。 分析は、自動(前のセクションを参照)または手動で開始するよう設定できます。 選択した記録に対して分析を実行するには、下の分析の図に示す[分析]をクリックします。

[分析]をクリックすると、分析するプローブ(直接記録する場合)またはPCAPファイル(アップロードされた記録の場合)を選択するポップアップダイアログが表示されます。 分析開始時、プローブソースの隣にある青い矢印をクリックすると、そのソースに属しているPCAPファイルが表示されます(下の記録の分析の図参照)。 履歴PCAP (適応バッファ機能により取得)は分析されません。その理由は、該当する記録のすべてのプローブからのパケットが混在していること、そしてフローが不完全である可能性があるためです。 このようなシナリオは誤検知イベントの発生につながります。

また、重要であると考えるプロトコルを[分析レポートに以下のプロトコルを表示]メニューで選択できます。 特定の記録の分析結果を表示するとき、これらのプロトコルに関連するイベントが表示されます。つまり、このプロトコルセットは記録ごとに変えることができます。 しかし、分析結果の表示中、表示するイベントプロトコルタイプを随時変更できます。

[分析]をクリックすると、分析要求がキューに入ります。 現時点では、1度に4つまでの記録を分析できます。 この処理に必要なリソースのため、このような制限が設けられています。 記録の最初の状態は[分析待ち]です。 分析が開始すると、[分析中]に変わります。

分析が終了すると、記録の状態は[分析済み]に変わります。 [分析結果]列には結果の合計数が表示され、その記録に注目する必要があるかどうかをすばやく判断できます。 この列のエントリをクリックすると、分析結果の詳細ビューが表示されます。 エラーが発生して状態が[分析失敗]に変わった場合は、Flowmonサポートまでお問い合わせください。その際は、[Configuration Center] > [システム] > [メンテナンス]からエクスポートしたアプライアンスログを提供してください。

上の詳細な分析結果の図に、詳細分析の結果の例を示します。 ポップアップダイアログの上部では、分析されたPCAPまたはソースのうち、結果を表示するものを選択できます。 [分析レポートに以下のプロトコルを表示]の選択により、分析詳細に表示されるイベントツリーを制御できます。 設定のこの部分は、分析を手動で開始したとき、あるいは記録またはアップロード後にPCAPを自動分析するオプションを選択したときに利用可能になります。 選択したプロトコルは表示フィルタとして使用され、分析詳細のルートイベントのみに影響します。 [分析レポートに以下のプロトコルを表示]の設定にかかわらず、診断はサポートされているすべてのプロトコルに対して実行されます。 これにより、[分析レポートに以下のプロトコルを表示]フィルタに含まれないプロトコルに根本原因があるイベントであっても、確実にユーザに表示されます(例: ネットワークadminにメール通信に関する問題が通知されたとします。これは、SMTPプロトコルを指していますが、実際の根本原因はSSLハンドシェイクの失敗です。 このような場合、[分析レポートに以下のプロトコルを表示]の設定でSMTPプロトコルのみが選択されている場合でも、SSLプロトコルのイベントおよび問題がネットワークadminに表示されます)。 [分析レポートに以下のプロトコルを表示]フィルタの下に[イベント]および[統計情報]タブがあります。ここでは、表示するプロトコルイベントを選択できます。 デフォルトでは、分析開始時に選択したプロトコルイベントが表示されますが、ここで変更できます。

タブには分析結果(ウィンドウの左側に表示)がイベントツリーの形式で、イベント詳細(ウィンドウの右側)と共に表示されます。 イベントツリーには記録された通信の経過と分析された状態が表示されます。 これらは、さまざまな重要度を持つイベントとして視覚化されます。 イベントツリーの各ノードには、複数の子ノードが含まれていることがあります。 ノードをクリックすると、詳細情報がタブの右側に表示されます。 ここには、選択したパケットデータが、イベントの説明と推奨される解決方法(問題が見つかった場合)と共に表示されます。 推奨方法から専門知識と支援が提供されるため、記録を徹底分析する必要なく、検出された問題を解決できます。 イベントツリーの間をすばやく移動するには、[すべてを折りたたむ]オプションを[重大度を伝播]オプションと共に使用します。これで、すべてのツリーのルートイベントのみが表示され、個々のツリー内で見つかった最も高い重大度がルートイベントに伝播されます(イベント名の隣のアイコンによって示されます)。 イベントツリーのリストも重大度を基準にフィルタリングできます。 フィルタリングは、重大度が伝播されたように機能します。

[統計情報]タブには、選択したソースの上位10件の統計が表示されます。 上位10件の統計はオンデマンドで計算され、選択したパラメータを基準にソートされます。このため、統計の表示に多少の遅延が生じることがあります。 上位10件の表にアスタリスク記号(*)が使用されている場合、その特定の行に表示されている数字は利用可能な残りのデータ(つまり、残りの上位10件の表にまだ含まれていないエントリ)から集計された値であることを意味します。 統計基準を表すアスタリスク記号が常に列に配置されます。 また、Flowmon Packet InvestigatorはPCAPの完全性もチェックします。パケットの不足などその他の不具合があった場合には、[統計情報]タブラベルの隣にある警告アイコンでユーザに通知します。

さらに、[統計情報]タブにはPCAPで見つかった問題の説明も表示されます。