フィルタ構文

Save PDF

Last Updated: April 5, 2026
76 minute read

Flowmon Products
Flowmon
Documentation

フィルタ構文は、tcpdumpで使用される既知のpcapライブラリと似ています。フィルタは複数行にまたがることができます。「#」の後の文字はコメントとして処理され、行末まで無視されます。フィルタ式の長さに制限はほとんどありません。特に指定のない限り、すべてのキーワードに大文字と小文字の区別はありません(例: IPとipは同じ)。ストリングは二重引用符で囲みます。ストリングの値は大文字と小文字が区別されます(「windowsupdate.COM」は「windowsupdate.com」と異なる)。

いくつかのキーワードにはオートコンプリート機能を使用して任意の値を入力できます。以下の図を参照してください。

オートコンプリート機能

フィルタは個々の式で構成されます。式は論理演算子「and」または「or」で連結できます。2つの式を論理演算「and」で連結するときは、フィルタされたデータが両方の式の条件を満たす必要があります。これは、対象のデータを結果に含めるためです。論理演算子「or」は、1つ以上の式でデータの一致が必要であることを表します。演算子「not」を適用することで、式に一致するすべてのデータを除外できます。ブラケットは、以下のように、より複雑なフィルタの作成に使用できます。

<expression>
<expression> and <expression>
<expression> or
<expression> not
<expression>
( <expression> )

以下に示す<expression>要素の可能なコンテンツ(プリミティブ)を参照してください。

すべて

anyはダミーフィルタとして使用します。すべてのフローをブロックする場合は、not anyを使用します。

プロトコルのプリミティブ

プロトコルのバージョン

inetまたはipv4 (IPv4用)
inet6またはipv6 (IPv6用)

プロトコル

proto <protocol> - ここで、<protocol>には、TCP、UDP、ICMP、ICMP6、ARP、GRE、ESP、AHなどの既知のプロトコルが入ります。
proto <num> - ここで、<num>はプロトコル番号(例: ICMPの場合は1)です。

プロトコルとプロトコルバージョンの例

inet6 - IPv6通信にのみ一致。

以下の4つのフィルタはすべて同じ意味を持ちます。

inet6 and proto udp - IPv6でのUDP通信にのみ一致。
inet6 and proto 17 - UDP = 17のため。
ipv6 and proto 17 - inet6とipv6が交換可能なため。
IPV6 AND PROTO 17 - 式が大文字と小文字を区別しないため。
proto icmp or proto udp - ICMPとUDPの両方に一致。
(proto icmp or proto udp) and ipv4 - IPv4でのICMPとUDP通信にのみ一致。
ipv4 and (proto icmp or proto udp) - 前回と同じ(この場合、順序は問題ではない)。
ipv4 and proto icmp or proto udp - あいまい、ブラケットがない(UDPでIPv4とIPv6の両方が使用されている)。
not (proto tcp or proto udp or proto icmp) - TCP、UDP、ICMP通信を除外(ARP、ICMP6、IGMPなどのプロトコルは探索可能)。

IPアドレスのプリミティブ

IPアドレス

[src|dst] IP <ipaddr>または[src|dst] HOST <ipaddr> - ここで、<ipaddr>には任意の有効なIPv4またはIPv6アドレスを指定します。[src|dst]は、選択したIPアドレスを定義します。SRCは送信元、DSTは宛先を表します。[src|dst]の省略は、すべての方向を意味します(「SRC or DST」と同等)。
[src|dst]は、srcやdstなどの方向修飾子を使用してIPアドレス、ネットワーク、ポート、AS番号などを明確に選択できます。これらは、「and」と「or」の組み合わせで使用できます(例:「as src and dst ip」)。

IPアドレス - 例

ip 192.168.2.4 - 特定のIPアドレス(送信元と宛先の両方)に一致。
src or dst ip 192.168.2.4 - 前回と同じ。
src ip 192.168.2.4 - 特定の送信元IPアドレスに一致。
src host 192.168.2.4 - 前回と同じ(IPとホストが交換可能)。
proto tcp and (src ip 192.168.2.3 or dst ip 192.168.0.1) - 最初の送信元アドレスまたは2番目の宛先アドレスのいずれかとのTCP通信と一致。

IPアドレスのリスト

[src|dst] IP IN [<iplist>]または[src|dst] HOST IN [<iplist>] - ここで、iplistは個々の<ipaddr>をスペースで区切ったリストです。

IPアドレスのリスト - 例

src ip in [192.168.2.3 192.168.2.4] - この送信元としての2つのアドレスを持つレコードと一致。
ip in [192.168.2.3 192.168.2.4] and proto tcp - これらのアドレスのTCP通信とのみ一致。

ネットワークのプリミティブ

ネットワーク

[src|dst] net a.b.c.d m.n.r.s - ネットマスクm.n.r.sのIPv4ネットワークa.b.c.dを選択。
[src|dst] net <net>/<num> <net>には有効なIPv4またはIPv6ネットワーク、<num>にはマスクビットを指定。マスクビットの数は、IPv4またはIPv6の適切なアドレスファミリに一致する必要があります。ネットワークは、172.16/16のように略すことができます(あいまいでない場合)。
[src|dst] net in [<ip/masklist>] - ここで<ip/masklist>はサブネットアドレスのリストです(例を参照してください)

ネットワーク - 例

src net 192.168.0.0/16 - 192.168で始まるIPアドレスに一致(IPアドレスの先頭16ビットはマスクされます)。
src net 192.168.0.0 255.255.0.0 - 前回と同じ(先頭16ビットは1s)。
src net 192.168.0.0 255.255.255.240 - IPアドレス192.168.0.0と192.168.0.15に一致(マスク240の最後の番号はバイナリで1111 0000)。
src net 192.168.0.0 255.255.255.240 and not ip [192.168.0.14 192.168.0.15]] - IPアドレス192.168.0.0～192.168.0.13に一致。
src net in [192.168.10.0/24, 192.168.20.0/24] and dst net in [192.168.50.0/24, 192.168.60.0/24] - 送信元サブネット192.168.10.0/24または 192.168.20.0/24および宛先サブネット192.168.50.0/24または192.168.60.0/24のIPアドレスに一致。

ポートのプリミティブ

ポート

[src|dst] PORT [<comp>] <num>
[src|dst] PORT IN [ <portlist> ]
[src|dst] PORT "<portname>"

<portlist>は、個々のポート番号をスペースで区切ったリストです。<num>は有効なポート番号です。<portname>は、IANAによって特定のポート番号に割り当てられているサービスの名前です。サービス名は、オートコンプリート機能を使用して入力します。

<comp>はコンパレータです。サポートされているコンパレータは、以下のとおりです。

=、==、\>、<、EQ、LT、GT。<comp>を省略すると、「=」を指定したものと見なされます。

ポートの例

dst port 110 - 宛先ポート110 (pop3)に一致。
dst port "pop3" - 前回と同じ(「pop3」はこのポートのテキスト名)。
port in [20, 21] - FTP通信に一致。
src port < 1024 and not port in [80,443] - 送信元のウェルノウンポート(0～1023)のうち、使用中のものに一致しますが、HTTP(S)を無視します。
dst port > 1023 and dst port < 49152 and proto udp - UDPで使用されている登録済みの宛先ポート(1024～49151)に一致。

ICMP

icmp-type <num>
icmp-code <num>

<num>には、有効なicmpタイプ/コードを指定します。これには、自動的にproto icmpが伴います。

ルーターID

engine-type <num>
engine-id <num>

<num>には、有効なルータエンジンタイプ/ID (0..255)を指定します。

HTTPのプリミティブ

HTTPホスト名

hhost [<strcomp>] "<string>" - <string>には、完全なHTTPホスト名を指定します。

<strcomp>はコンパレータです。サポートされているコンパレータは、以下のとおりです。

= - 比較されたストリングが同一です。

\> - <string>は比較されたストリングで開始します。

< - <string>は比較されたストリングで終了します。

<comp>を省略すると、比較されたストリングが<string>のサブストリングになります。

HTTP URL

hurl [<strcomp>] "<string>" <string>には、部分的または完全なURLを指定します。

HTTP - ユーザエージェントのオペレーティングシステム

hos "<string>" - <string>には、オペレーティングシステムの名前を指定します(オートコンプリート機能を使用)。

HTTP - オペレーティングシステムのメジャーバージョン

hosmaj [<comp>] <num> <num>には、メジャーバージョンの番号を指定します。

HTTP - オペレーティングシステムのマイナーバージョン

hosmin [<comp>] <num> <num>には、マイナーバージョンの番号を指定します。

HTTP - オペレーティングシステムのビルド番号

hosbld [<comp>] <num> <num>には、ビルド番号を指定します。

HTTP - ユーザエージェントのクライアントアプリケーション

happ "<string>" - <string>には、クライアントアプリケーションの名前を指定します(オートコンプリート機能を使用)。

HTTP - クライアントアプリケーションのメジャーバージョン

happmaj [<comp>] <num> <num>には、メジャーバージョンの番号を指定します。

HTTP - クライアントアプリケーションのマイナーバージョン

happmin [<comp>] <num> <num>には、マイナーバージョンの番号を指定します。

HTTP - クライアントアプリケーションのビルド番号

happbld [<comp>] <num> <num>には、ビルド番号を指定します。

HTTP - HTTPメソッド

hmethod "<string>" - <string>には、HTTPメソッドの名前を指定します(オートコンプリート機能を使用)。

HTTP - HTTPリターンコード

hrcode [<comp>] <num> <num>には、リターンコードを指定します。

AS番号のプリミティブ

自律システム番号

[src|dst|prev|next] as [ <comp> ] <num> - 送信元、宛先、前回、次回、任意のAS番号を選択します。<num>には有効な番号が入ります。32ビットのAS番号がサポートされます。**<comp>**を省略すると、「=」を指定したものと見なされます。
[src|dst|prev|next] as in [ <ASlist> ] - AS番号を既知のリストと比較できます。ここで、<ASlist>は、個々のAS番号をスペースまたはカンマで区切ったリストです。

自律システム番号の例

as 15169 - 通信全体(Google LLCのAS (15169)を含む)が対象です。
not src as 8068 - Microsoft CorporationのAS (8068)からの通信を除外します。

VLANラベル

[[src|dst] vlan <num> - <num>には、有効なVLANラベルを指定します。

IPのユーザID

[src|dst] uid <user ID> <user ID>には、DHCP、VPN、ディレクトリサービスなどで提供されたユーザIDをsyslogを使用して指定します。

IPの発生国

[src|dst] ctry "<country name>"
[src|dst] ctry <num>

<country name>には、国の名前を指定します。国の名前を入力するには、オートコンプリート機能を使用します。<num>は、ISO 3166-2に基づく国の番号です。

フローソースID

flowident "<string>" - <string>には、フローソースIDを指定します(オートコンプリート機能を使用)。

TCPフラグのプリミティブ

TCPフラグ

tcpﬂags [=] "<ﬂagstring>" - ﬂagstringは以下の形式で指定します。

flagstring ::= <flagstringexp>
<flagstringexp> ::= <exp>
<flagstringexp> ::= <exp-and>
<flagstringexp> ::= <exp-or>
<exp> ::= <flag> | <exp><flag>
<exp-and> ::= <flag> | <exp-and> "&" <flag>
<exp-or> ::= <flag> | <exp-or> "|" <flag>

<flag> - "A" | "S" | "F" | "R" | "P" | "U" | "C" | "E" | "X"

<flag>には、以下の意味があります。

A - ACK S - SYN F - FIN
R - Reset
P - Push
U - Urgent
C - Congestion Window Reduced
E - ECN-Echo
X - All ﬂags on

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

<exp>フィルタは、<exp>にリストされているすべてのフラグを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。
<exp-and>は<exp>に相当します。
<exp-or>フィルタは、<exp-or>に一覧表示されるフラグの少なくとも1つを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

TCPフラグの例

tcpflags S - TCPフラグ内のSフラグ(例: ...AP.S.または...A..SF)を含むフローに一致。
tcpflags = S - SYNフラグセット(つまり......S.)
tcpflags "S|F" - SまたはFのいずれかのフラグが存在する必要があります。
tcpflags = "A&P&F" - 指定されたフラグ( ...AP..F)のみが許可されます。

拡張TCP

tcpttl [=|==|<|>|eq|lt|gt] <number> - TCP TTL (有効期間)によるフィルタ。
tcpwinsize [=|==|<|>|eq|lt|gt] <number> - TCPウィンドウサイズによるフィルタ。
tcpsynsize [=|==|<|>|eq|lt|gt] <number> - TCP SYNパケットサイズによるフィルタ。

Next Hop IPのプリミティブ

next ip <ipaddr> - <ipaddr>には、next hopルータのIPv4/IPv6 IPアドレスを指定します。

BGPドメイン内のNext-hopルータのIP

bgpnext ip <ipaddr> - <ipaddr>にはBGPドメイン内のIPv4/IPv6 next-hopルータのIPを指定します。

ルータIPのプリミティブ

router ip <ipaddr> - エクスポートソース(ルータまたはプローブ)のIPアドレスに従って、フローをフィルタします。

フローソース名のプリミティブ

source "<sourcename>" - エクスポートソース(ルータまたはプローブ)の名前に従って、フローをフィルタします。ソースの名前を入力するには、オートコンプリート機能を使用します。[ソース]ページに表示される名前だけがサポートされます。

送信元IDのプリミティブ

sourceid [ <comp> ] <number> - 特定の送信元IDが指定されているフローをフィルタします(1つのエクスポートデバイスが、異なるエクスポートエンジンに複数の送信元IDを使用する可能性があります)。sFlowの場合にのみ、サポートされます。

インターフェースのプリミティブ

インターフェース

[<inout>] if <num> - インターフェースIDの入力または出力を選択します。[in|out]の省略は、INまたはOUTに相当します(INまたはOUTインターフェースを選択)。<num>は、SNMPインターフェース番号です。

インターフェース - 例

in if 3 - 入力インターフェース#3を選択します。

フローソースネットワークインターフェース名

sourceport "<sourcename>":"<interfacename>" - ソース<sourcename>のネットワークインターフェース<interfacename>からエクスポートされたフローをフィルタします。ソースおよびインターフェースの名前を入力するには、オートコンプリート機能を使用します。[ソース]ページに表示される名前だけがサポートされます。

MACアドレスのプリミティブ

[<in src|in dst|out src|out dst>] mac <addr> - <addr> には、有効なMACを指定します。<mac>は、CISCO v9によって定義されている方向指定子の任意の組み合わせを使用して、さらに指定できます: in src、in dst、out src、out dst。

MPLSラベルのプリミティブ

mpls label<n> [<comp>] <num> - <n>には、MPLSラベル番号を1～10の範囲で指定します。正確に指定されたラベル<n>をフィルタします。
mpls eos [<comp>] <num> - 特定の値<num>について、End of Stackラベルをフィルタします。
mpls exp<n> [<comp>] <bits> - ラベル<n>と<bits>の試験用ビット(0～7の範囲)をフィルタします。

TOSのプリミティブ

TOS

tos <value> - Type of Service用です。ToS数値0～255とDSCP名ストリングの両方がサポートされます。

TOSの例

not tos "Best Effort & Default" - ベストエフォートの通信を除外します。
not tos 0 - 前回と同じ(0はベストエフォートを表す)。
tos “CS7” - tos 224と同じです

詳細については、https://en.wikipedia.org/wiki/Type_of_serviceをご覧ください。

NBAR2のプリミティブ

NBAR2 AppTag

apptag "<appname>"
apptag <AppEID>:<AppID>

<appname>には、NBAR2によって認識されたアプリケーションの名前を指定します。アプリケーション名は、オートコンプリート機能を使用して入力します。<AppEID>はClassification Engine ID、<AppID>はApplication IDです(RFC 6759およびNBAR2プロトコルパックで定義)。

NBAR2 AppEID

appeid <value> - <value>には、数値(0～255)を指定します。

NBAR2 AppID

appid <value> - <value>には、数値(0～16777216)を指定します。

DNSのプリミティブ

DNSフィルタ

有効なDNSフローのみを正しく処理するために、正しいDNSフィルタの前にキーワード「dns」を指定する必要があります(例: dns and dns-qrflag 0)。

DNS ID

dns-id [=|==|<|>|eq|lt|gt] <value> - <value>には、数値(0～65535)を指定します。

DNS問い合わせ数

dns-qcount [=|==|<|>|eq|lt|gt] <value> - <value>には、数値(0～65535)を指定します。

DNS応答数

dns-answcount [=|==|<|>|eq|lt|gt] <value> - <value>には、数値(0～65535)を指定します。

DNSオーソリティ数

dns-authcount [=|==|<|>|eq|lt|gt] <value> - <value>には、数値(0～65535)を指定します。

DNS追加数

dns-addtcount [=|==|<|>|eq|lt|gt] <value> - <value>には、数値(0～65535)を指定します。

DNSフラグ

dns-flags [=] "<flagstring>" - <flagstring>は以下の形式で指定します。
- flagstring ::= ’"’ <flagstringexp> ’"’
- <flagstringexp> ::= <exp>
- <flagstringexp> ::= <exp-and>
- <flagstringexp> ::= <exp-or>
- <exp> ::= <flag> | <exp><flag>
- <exp-and> ::= <flag> | <exp-and> "&" <flag>
- <exp-or> ::= <flag> | <exp-or> "|" <flag>
- <flag> "AA" | "TC" | "RD" | "RA" | "AD" | "CD"
- <flag>には、以下の意味があります。

AA - Authoritative Answerフラグ

TC - Truncationフラグ

RD - Recursion Desired

RA - Recursion Available

AD - Authentic Data

CD - Checking Disabled

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

<exp>フィルタは、<exp>にリストされているすべてのフラグを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。
<exp-and>は<exp>に相当します。
<exp-or>フィルタは、<exp-or>に一覧表示されるフラグの少なくとも1つを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

dns-qrﬂag [=|==|<|>|eq|lt|gt] <value> - ここで、値「0」はDNSクエリ、「1」はDNS応答です。
dns-opcode [=|==|<|>|eq|lt|gt] <value> - <value>には、DNSオペレーションコードを指定します。
dns-rcode [=|==|<|>|eq|lt|gt] <value> - <value>には、DNS応答コードを指定します。

DNS問い合わせ

dns-qname [<strcomp>] "<string>" - <string>には、問い合わせ名を指定します。
dns-qtype [=|==|<|>|eq|lt|gt] <value> - <value>には、問い合わせタイプを指定します。
dns-qclass [=|==|<|>|eq|lt|gt] <value> - <value>には、問い合わせクラスを指定します。
dns-qname1 "<string>" - <string>には、問い合わせ名(第1レベルドメイン)を指定します。
dns-qname2 "<string>" - <string>には、問い合わせ名(第1および第2レベルドメイン)を指定します。
dns-qname3 "<string>" - <string>には、問い合わせ名(第1、第2、第3レベルドメイン)を指定します。

DNS応答

dns-rname [<strcomp>] "<string>" - <string>には、問い合わせ応答名を指定します。
dns-rtype [=|==|<|>|eq|lt|gt] <value> - <value>には、応答タイプを指定します。
dns-rclass [=|==|<|>|eq|lt|gt] <value> - <value>には、応答クラスを指定します。
dns-rttl [=|==|<|>|eq|lt|gt] <value> - <value>には、応答TTLを指定します。
dns-rdata [<strcomp>] "<string>" - <string>には、応答データを指定します。
dns-rname1 "<string>" - <string>には、問い合わせ応答名(第1レベルドメイン)を指定します。
dns-rname2 "<string>" - <string>には、問い合わせ応答名(第1および第2レベルドメイン)を指定します。
dns-rname3 "<string>" - <string>には、問い合わせ応答名(第1、第2、第3レベルドメイン)を指定します。
dns-rdata1 "<string>" - <string>には、応答データ(第1レベルドメイン)を指定します。応答タイプCNAME、DNAME、NS、SOA、MX、SRVの場合のみです。
dns-rdata2 "<string>" - <string>には、応答データ(第1および第2レベルドメイン)を指定します。応答タイプCNAME、DNAME、NS、SOA、MX、SRVの場合のみです。
dns-rdata3 "<string>" - <string>には、応答データ(第1、第2、第3レベルドメイン)を指定します。応答タイプCNAME、DNAME、NS、SOA、MX、SRVの場合のみです。

DHCPのプリミティブ

DHCP提供IPアドレス

dhcp-offeredip <ip> - <ip>には、DHCPサーバがホストに提供したIPアドレスを指定します。

ホストのDHCP MACアドレス

dhcp-hostmac <macaddr> - <macaddr>には、ホストのMACアドレスを指定します。

DHCPメッセージ型

dhcp-type [=|==|<|>|eq|lt|gt] <value> - <value>には、RFC 2132、RFC 3203、RFC 4388、RFC 6926、draft-ietf-dhc-dhcpv4-active-leasequery-07の組み合わせを指定します。

1 - Discover

2 - Offer

3 - Request

4 - Decline

5 - ACK

6 - NAK

7 - Release

8 - Inform

9 - Force Renew

10 - Lease Query

11 - Lease Unassigned

12 - Lease Unknown

13 - Lease Active

14 - Lease Bulk Lease Query

15 - Lease Query Done

DHCP IPアドレスリース時間

dhcp-leasetime [=|==|<|>|eq|lt|gt] <value> - <value>には、IPアドレスリース時間を指定します。指定する値の単位は秒です。

DHCPサーバIPアドレス

dhcp-servip <ip> - ここで、<ip>はDHCPサーバのIPアドレスです。

DHCPサーバドメイン名

dhcp-domname [<strcomp>] "<string>" - <string>には、DHCPサーバのドメイン名を指定します。

DHCPホスト名

dhcp-hostname [<strcomp>] "<octalstring>" - <octalstring>には、以下の組み合わせを指定します。

– <string>

– <octalval> - ここで、<octalval>は\&nnnという形式のストリング、nnnは0～255の範囲の8進数です。

DHCP要求IPアドレス

dhcp-ipreq <ip> - <ip>には、要求されたIPアドレスを指定します。

Sambaのプリミティブ

Sambaオペレーションコードバージョン1

smb1-cmd [=|==|<|>|eq|lt|gt] <smbopcode1> - <smbopcode1>には、Sambaオペレーションコードバージョン1を指定します。

Sambaオペレーションコードバージョン2

smb2-cmd "<flagstring>" - <flagstring>は以下の形式で指定します。

– flagstring ::= ’"’ <flagstringexp> ’"’

– <flagstringexp> ::= <exp>

– <flagstringexp> ::= <exp-and>

– <flagstringexp> ::= <exp-or>

– <exp> ::= <flag> | <exp><flag>

– <exp-and> ::= <flag> | <exp-and> "&" <flag>

– <exp-or> ::= <flag> | <exp-or> "|" <flag>

– <flag> - "NE" | "SS" | "LO" | "TC" | "TD" | "CR" | "CL" | "FL" | "RE" | "WR" | "LC" | "IO" | "CA" | "EC" | "QD" | "CN" | "QI" | "SI" | OB" | "EN"

<flag>には、以下の意味があります。

NE - ネゴシエーション

SS - セッションセットアップ

LO - ログオフ

TC - ツリー接続

TD - ツリー切断

CR - 作成

CL - クローズ

FL - フラッシュ

RE - 読み取り

WR - 書き込み

LC - ロック

IO - Ioctl

CA - キャンセル

EC - エコー

QD - クエリディレクトリ

CN - 変更通知

QI - クエリ情報

SI - 設定情報

OB - Oplockブレーク

EN - 暗号化パケット(SMB3)

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

– <exp>フィルタは、<exp>にリストされているすべてのフラグを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

– <exp-and>は<exp>に相当します。

– <exp-or>フィルタは、<exp-or>に一覧表示されるフラグの少なくとも1つを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

smb2-scmd "<smbopcode2>"。指定されたフラグと完全に一致するフローだけが処理されます。

Sambaツリー構造

smb-tree [strcomp] "<string>" - <string>には、ツリー構造を指定します。

Sambaファイル名

smb-file [strcomp] "string" - <string>にはファイル名を指定します。

Sambaファイルタイプ

smb-filetype [=|==|<|>|eq|lt|gt] <value> - ここで、値「1」はディレクトリ、「2」はファイルです。

Sambaファイルオペレーションタイプ

smb-op [=|==|<|>|eq|lt|gt] <sambaoptype> - <sambaoptype>には、以下の組み合わせを指定します。

0 - 破棄

1 - 開く

2 - 作成

3 - 上書き

4 - 条件付きで開く(ファイルが存在する場合に開きます。存在しない場合は、ファイルを作成します)

5 - 条件付きで上書き(ファイルが存在する場合に上書きします。存在しない場合は、ファイルを作成します)

Samba削除フラグ

smb-del [=|==|<|>|eq|lt|gt] <value> - ここで、値「1」はファイルの削除、「0」は削除なしを示します。

Sambaエラーフラグ

smb-err [=|==|<|>|eq|lt|gt] <value> - ここで、値「1」はエラー、「0」はエラーなしを示します。

SIPのプリミティブ

SIPコールID

sip-callid [<strcomp>] "<str>"

SIP発呼側

sip-calling [<strcomp>] "<str>"

SIP被呼側

sip-called [<strcomp>] "<str>"

SIP VIA

sip-via [<strcomp>] "<str>"

SIP Ringing時間

sip-ringtime [<comp>] <number>

SIP OK時間

sip-oktime [<comp>] <number>

SIP Bye時間

sip-byetime [<comp>] <number>

SIP RTP IP (IPv4/IPv6)

sip-ip <ip>

SIP RTP音声

sip-audio [<comp>] <number>

SIP RTPビデオ

sip-video [<comp>] <number>

VOIPパケットタイプ

voip-pkttype [<comp>] <number>

VOIPパケットタイプリスト

0 - 非VOIPデータ

1 - SIPサービス要求

2 - サービス要求に対するSIP応答

3 - SIPコール要求

4 - コール要求に対するSIP応答

8 - RTP音声データ

16 - RTCP制御および統計データ

RTCPのプリミティブ

RTCPパケットカウント

rtcp-pkts [<comp>] <number>

RTCPオクテットカウント

rtcp-octets [<comp>] <number>

RTPジッター

rtp-jitter [<comp>] <number>

RTPタイムスタンプユニット内でRTPジッターが測定されます。RTPタイムスタンプユニットはサンプリングレートに基づいています。たとえば、8000 Hzのサンプリングレート(PCMA)の場合は、1つのユニットが1秒の8000分の1に等しくなります。詳細については、「RFC 3550 - interarrival jitter」を参照してください。

クライアント側でのRTCPパケット消失

rtcp-lost [<comp>] <number>

RTPコーデックタイプ

rtp-codec [<comp>] <number>

RTCPソースカウント

rtcp-sources [<comp>] <number>

MSSQLのプリミティブ

MSSQL TDS

tds-req [<comp>] <number> - TDS要求タイプ
tds-ver [<comp>] <number> - TDSプロトコルタイプ(<number>は32ビットの16進数(例: 0x71000001))
tds-cver [<comp>] <version> - 「未割り当て.未割り当て.未割り当て」の形式でのTDSクライアントバージョン(<version>)
tds-sver [<comp>] <version> - TDSサーババージョン
tds-db [<strcomp>] "<str>" - TDSデータベースコンテキスト
tds-user [<strcomp>] "<str>" - TDSユーザ名
tds-host [<strcomp>] "<str>" - TDSホスト名

パラメータを指定せずにフィルタを使用して、有効な値とともに要素を選択できます。

MSSQL TDS試験段階

tds-res [<comp>] <number> - TDS応答タイプ
tds-token [<comp>] <number> - TDS応答の最初のトークン
tds-tmr [<comp>] <number> - TDSトランザクションマネージャの要求タイプ
tds-err [<comp>] <number> - TDSエラーコード
tds-envch [<comp>] <number> - TDS環境変更タイプ
tds-sql [<strcomp>] "<str>" - TDS SQLクエリ(大文字と小文字を区別するストリングを検索)
tds-isql [<istrcomp>] "<str>" - TDS SQLクエリ(大文字と小文字を区別しないストリングを検索)
tds-rpc [<strcomp>] "<str>" - TDSリモートプロシージャ名
tds-servname [<strcomp>] "<str>" - TDSサーバ名

パラメータを指定せずにフィルタを使用して、有効な値とともに要素を選択できます。

MySQLのプリミティブ

MySQLプロトコルのバージョン

mysql-ver [<comp>] <number>

MySQLサーバのバージョン

mysql-sver [<strcomp>] "<str>"

MySQLユーザ認証ステータス

mysql-auths "<authstr>"
mysql-auths [<comp>] <authnum>
<authnum> - <authstr>には、認証成功に関する情報を指定します。

0 - no

1 - yes

MySQLユーザ名

mysql-user [<strcomp>] "<str>"

MySQL認証メソッド

mysql-authm [<strcomp>] "<str>"

MySQLデータベース

mysql-db [<strcomp>] "<str>"

MySQLサーバとクライアントの機能

mysql-cpblts [=] "<flagstring>"
mysql-cpbltc [=] "<flagstring>" - <flagstring>は以下の形式で指定します。

– flagstring ::= ’"’ <flagstringexp> ’"’

– <flagstringexp> ::= <exp>

– <flagstringexp> ::= <exp-and>

– <flagstringexp> ::= <exp-or>

– <exp> ::= <flag> | <exp><flag>

– <exp-and> ::= <flag> | <exp-and> "&" <flag>

– <exp-or> ::= <flag> | <exp-or> "|" <flag>

– <flag> - "RO" | "VC" | "MO" | "NE" | "TR" | "HE" | "LD" | "AB" | "AP" | "MP" | "MS" | "MQ"

| "NP" | "RD" | "TS" | "IP" | "CY" | "IE" | "41" | "IS" | "LF" | "OD" | "CS" | "NS" | "HD" | "LG" | "RF" | "LP"

<flag>には、以下の意味があります。

RO - 記憶オプション

VC - SSL認証サーバ証明書

MO - 廃止(旧式のクライアント進捗フラグ)

NE - EOFパケットなし(非推奨EOF)

TR - セッショントラッキング

HE - 期限切れパスワードの処理

LD - 長さエンコードクライアント認証データ

AB - 接続属性

AP - 認証プラグイン(プラガブル認証)

MP - プリペアドステートメントでの複数の結果セット

MS - 複数の結果セット

MQ - 複数のクエリ(ステートメント)

NP - ネイティブ(セキュアな)パスワード認証

RD - 予約済み(旧式のクライアントプロトコル4.1フラグ)

TS - トランザクション

IP - SIGPIPEを無視

CY - 暗号化

IE - 対話型セッション

41 - クライアントプロトコル4.1

IS - スペースを無視

LF - ローカルファイル

OD - ODBCサポート

CS - 圧縮

NS - 「schema.table.column」の式なし

HD - データベースとハンドシェイク(接続)

LG - 長いフラグ

RF - 見つかった行

LP - 長いパスワード

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

– <exp-and>は<exp>に相当します。

MySQLエラーコード

mysql-err [<comp>] <number>

MySQLコマンド

mysql-cmd [<comp>] <cmdnum>
mysql-cmd "<cmdstr>"
<cmdnum> - <cmdstr>には、以下の組み合わせを指定します。

0 - SLEEP

1 - QUIT

2 - INIT_DB

3 - QUERY

4 - FIELD_LIST

5 - CREATE_DB

6 - DROP_DB

7 - REFRESH

8 - SHUTDOWN

9 - STATISTICS

10 - PROCESS_INFO

11 - CONNECT

12 - PROCESS_KILL

13 - DEBUG

14 - PING

15 - TIME

16 - DELAYED_INSERT

17 - CHANGE_USER

18 - BINLOG_DUMP

19 - TABLE_DUMP

20 - CONNECT_OUT

21 - REGISTER_SLAVE

22 - STMT_PREPARE

23 - STMT_EXECUTE

24 - STMT_SEND_LONG_DATA

25 - STMT_CLOSE

26 - STMT_RESET

27 - SET_OPTION

28 - STMT_FETCH

29 - DAEMON

30 - BINLOG_DUMP_GTID

31 - RESET_CONNECTION

250 - STMT_BULK_EXECUTE

254 - MULTI

MySQL SQLクエリ

mysql-sql [<strcomp>] "<str>"

PostgreSQLのプリミティブ

PostgreSQLプロトコルのバージョン

pgsql-ver "<verstr>" - ここで、<verstr>には「<major>.<minor>」の形式の文字列または任意のプレフィックスを指定する必要があります。ここで、<major>および<minor>は、数値または「*」の文字です。「*」文字はワイルドカードとして機能します(つまり、任意の値に一致)。

PostgreSQLサーバのバージョン

pgsql-sver "<sverstr>" - ここで、<sverstr>には「<major>.<minor>.<bugfix>」(最大9.6のサーババージョン)または「<major>.<bugfix>」(サーババージョン10以降)の形式のストリング、あるいは、任意のプレフィックスを指定する必要があります。ここで、<major>、<minor>、および<bugfix>は数値または「*」文字です。「*」文字はワイルドカードとして機能します(つまり、「存在しない」を含む、任意の値に一致)。

補足

形式「*.1」の「<sverstr>」は、メジャーバージョン9以下のサーバでマイナーバージョンが1の場合のすべてのサーババージョン、メジャーバージョン10以上のサーバでバグフィックスバージョンが1の場合のすべてのサーババージョンに一致します。

PostgreSQL認証メソッド

pgsql-authm "<authstr>"
pgsql-authm [<comp>] <authnum>
ここで、<authstr>および<authnum>は、以下に示すいずれかの認証メソッドの指定に使用します。

0 - NO AUTHENTICATION

1 - KERBEROS V4

2 - KERBEROS V5

3 - CLEAR PASSWORD

4 - CRYPT PASSWORD

5 - MD5 PASSWORD

6 - SCM CREDENTIALS

7 - GSS

8 - UNKNOWN

9 - SSPI

10 - SASL

PostgreSQLユーザ名

pgsql-user [<strcomp>] "<str>"

PostgreSQLデータベース

pgsql-db [<strcomp>] "<str>"

PostgreSQL SQLSTATEエラーコード

pgsql-errc "<sqlstate>" - ここで、<sqlstate>には、SQLSTATE標準に従い、正確に5文字の文字列を指定する必要があります。ワイルドカードとして機能(つまり、任意の文字に一致)する「*」文字の代わりに、任意の文字を使用できます。

補足

"pgsql-errc "*****"は、任意の有効なエラーコードに一致します。

PostgreSQLエラーの重大度

pgsql-errs "<errsstr>"
pgsql-errs [<comp>] <errsnum>
ここで、<errsstr>および<errsnum>は、以下に示すいずれかのエラー重大度の指定に使用します。

1 - PANIC

2 - FATAL

3 - ERROR

4 - WARNING

5 - NOTICE

6 - INFO

7 -- LOG

8 - DEBUG

254 - UNRECOGNIZED

255 - UNKNOWN

PostgreSQL SQLクエリ

pgsql-sql [<strcomp>] "<str>"

PostgreSQLクライアントのメッセージタイプ

pgsql-msgc [=] "<flagstring>" - <flagstring>は以下の形式で指定します。
- flagstring ::= ’"’ <flagstringexp> ’"’
- <flagstringexp> ::= <exp>
- <flagstringexp> ::= <exp-and>
- <flagstringexp> ::= <exp-or>
- <exp> ::= <flag> | <exp><flag>
- <exp-and> ::= <flag> | <exp-and> "&" <flag>
- <exp-or> ::= <flag> | <exp-or> "|" <flag>
- <flag> - "?" | "+" | "
  quot; | "#" | "B" | "C" | "D" | "E" | "H" | "F" | "P" | "p" | "Q" | "S" | "X" |"r" | "h" | "d" | "c" | "f"

<flag>には、以下の意味があります。

? - 不明なメッセージ

+ - スタートアップメッセージ

$ - SSL要求

# - キャンセル要求

B - バインド

C - クローズ

D - 記述

E - 実行

H - フラッシュ

F - 関数呼び出し

P - 解析

p - パスワードメッセージ

Q - クエリ

S - 同期

X - 終了

r - スタンバイステータス更新

h - ホットスタンバイフィードバック

d - データのコピー

c - コピー完了

f - コピー失敗

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

<exp>フィルタは、<exp>にリストされているすべてのフラグを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。
<exp-and>は<exp>に相当します。
<exp-or>フィルタは、<exp-or>に一覧表示されるフラグの少なくとも1つを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

PostgreSQLサーバのメッセージタイプ

pgsql-msgs [=] "<flagstring>" - <flagstring>は以下の形式で指定します。
- flagstring ::= ’"’ <flagstringexp> ’"’
- <flagstringexp> ::= <exp>
- <flagstringexp> ::= <exp-and>
- <flagstringexp> ::= <exp-or>
- <exp> ::= <flag> | <exp><flag>
- <exp-and> ::= <flag> | <exp-and> "&" <flag>
- <exp-or> ::= <flag> | <exp-or> "|" <flag>
- <flag> - "?" | "R" | "K" | "2" | "3" | "C" | "G" | "H" | "W" | "D" | "I" | "E" | "V" | "n" | "N" |"A" | "t" | "S" | "1" | "s" | "Z" | "T" | "w" | "k" | "
  quot; | "%" | "d" | "c"

<flag>には、以下の意味があります。

? - 不明なメッセージ

R - 認証

K - バックエンドキーデータ

2 - バインド完了

3 - クローズ完了

C - コマンド完了

G - in応答のコピー

H - out応答のコピー

W - 両方の応答のコピー

D - データ行

I - クエリ応答の削除

E - エラー応答

V - 関数呼び出し応答

n - データなし

N - 通知応答

A - 通知応答

t - パラメータの説明

S - パラメータのステータス

1 - 解析完了

s - ポータル一時停止

Z - クエリ可

T - 行の説明

w - Xlogデータ

k - プライマリキープアライブ

$ - SSL受諾

% - SSL拒否

d - データのコピー

c - コピー完了

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

<exp>フィルタは、<exp>にリストされているすべてのフラグを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。
<exp-and>は<exp>に相当します。
<exp-or>フィルタは、<exp-or>に一覧表示されるフラグの少なくとも1つを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

RADIUSのプリミティブ

RADIUSユーザ名

radius-login [comp] "<string>"

RADIUS Calling-Station-ID

radius-calling-station-id [comp] "<string>"

RADIUS Called-Station-ID

radius-called-station-id [comp] "<string>"

RADIUS NAT IPアドレス

radius-nat-address [comp] <ipaddr>

RADIUS NATポート開始

radius-port-start [comp] <number>

RADIUS NATポート終了

radius-port-end [comp] <number>

TLSのプリミティブ

TLSコンテンツタイプ

tls-cont [flcomp] "<flagtokens>" - ここで<flagtokens>は、任意のフラグを表すトークンのリストです。以下に、TLSコンテンツタイプの有効なフラグを示します。
CCS - コンテンツタイプCCS
ALERT - コンテンツタイプALERT
HS - コンテンツタイプHANDSHAKE
DATA - コンテンツタイプAPP DATA

<flagtokens>内のトークンは、「&」(指定したフラグをすべて設定)か「|」(指定したフラグのうち1つ以上設定)のいずれかで、接続できます。1つのフィルタ内で「&」と「|」を組み合わせて使用することはできません。

TLSハンドシェイクタイプ

tls-hshk [flcomp] "<flagtokens>" - ここで<flagtokens>は、任意のフラグを表すトークンのリストです。以下に、TLSハンドシェイクタイプの有効なフラグを示します。
HR - Hello Request
CH - Client Hello
SH - Server Hello
HVER - Hello Verify Request
NST - New Session Ticket
EED - End of Early Data
HRET - Hello Retry Request
ENC - Encrypted Extensions
CER - Certificate
KSRV - Server Key Exchange
CRQ - Certificate Request
SHD - Server Hello Done
CVER - Certificate Verify
KCL - Client Key Exchange
FIN - Finished
CURL - Certificate URL
CST - Certificate Status
SUPL - Supplemental Data
KUPD - Key Update
MSGH - Message Hash
UNKN - Unknown

TLSセットアップ時間

tls-setup [comp] <time-milli>

TLSサーバのバージョン

tls-sver [comp] "<string>"
tls-sver [comp] <number>

引数は、TLSバージョンの数値表現またはテキスト名のいずれかになります。数値は、16進数(先頭に「0x」を付ける)または10進数で指定します。サポートされているTLSバージョンは、「SSL 2.0」、「SSL 3.0」、「TLS 1.0」、「TLS 1.1」、「TLS 1.2」です。16進数値は、それぞれの順序で0x002、0x0300、0x0301、0x0302、0x0303です。

TLSサーバのランダムID

tls-srnd "<bytes>"

<bytes>は、ランダムIDバイトシーケンスの一部です(16進数字で入力)。1つの16進数字が2分の1バイト(4ビット)に相当します。たとえば、tls-srnd "90a0b0"というフィルタはすべてのフローに一致します。このフローで、TLSサーバのランダムIDには、3バイト0x90 0xa0 0xb0のシーケンスまたは4バイト0x*9 0x0a 0x0b 0x0*のシーケンスが含まれます。ここで、「*」は2分の1バイトです。

TLSサーバのセッションID

tls-ssid [comp] <number>

<bytes>は、セッションIDバイトシーケンスの一部です(16進数字で入力)。1つの16進数字が2分の1バイト(4ビット)に相当します。たとえば、tls-ssid "90a0b0"というフィルタはすべてのフローに一致します。このフローで、TLSサーバのセッションIDには、3バイト0x90 0xa0 0xb0のシーケンスまたは4バイト0x*9 0x0a 0x0b 0x0*のシーケンスが含まれます。ここで、「*」は2分の1バイトです。

TLS暗号スイート

tls-ciph "<bytes>"
tls-ciph [=] "<string>"

TLSアプリケーション層プロトコルのネゴシエーション

tls-alpn [strcomp] "<string>"

TLSサーバ名表示

tls-sni [strcomp] "<string>"

TLSサーバ名の長さ

tls-snlen [comp] <number>

TLSサーバの圧縮メソッド

tls-sscm [comp] <number>
tls-sscm [comp] <method>

<number>および<method>には、以下のいずれかが入ります。

0 - NULL
1 - DEFLATE
64 - LZS

TLSクライアントのバージョン

tls-cver [comp] "<string>"
tls-cver [comp] <number>

TLS暗号スイートと楕円曲線

tls-ciphs [=] "<tokens>"
tls-ciphse [=] "<tokens>" - 正確な順序の一致
tls-ece [=] "<tokens>" - 正確な順序の一致
tls-ec [=] "<tokens>"

<tokens>は、暗号スイート/楕円曲線のテキスト名またはその16進表現のいずれかをカンマで区切ったリストです。組み合わせは許可されていないため、リスト内のすべての値が16進数またはテキストとして扱われます。フィルタは、すべての値がレコード内にある場合にのみ一致します。正確な順序フィルタは、指定した順序でレコードアレイ内に値のシーケンスがある場合にのみ一致します。正確なフィルタ(オプションの等号記号を使用)は、レコードアレイ内に指定した以外の値がない場合にのみ一致します。1つの暗号スイートの16進表現には、0xAAAAの形式があります。暗号スイート/楕円曲線は2バイトの数字で表されるため、最大桁数は4になります。テキストトークンに、入力規則はありません。部分的なテキスト名も使用できます(サブストリング比較メソッドを使用)。

TLSクライアントランダムIDとクライアントセッションID

tls-crnd "<bytes>"
tls-csid "<bytes>"

<bytes>は、ランダムID/セッションIDバイトシーケンスの一部です(16進数字で入力)。1つの16進数字が2分の1バイト(4ビット)に相当します。

TLS拡張

tls-ext [=] "<tokens>" - 拡張タイプ
tls-exte [=] "<tokens>" - 拡張タイプ(正確な順序)
tls-exl [=] "<tokens>" - 拡張の長さ
tls-exle [=] "<tokens>" - 拡張の長さ(正確な順序)

<tokens>は、10進値のカンマ区切りリストです。フィルタは、すべての値がレコード内にある場合にのみ一致します。正確な順序フィルタは、指定した順序でレコードアレイ内に値のシーケンスがある場合にのみ一致します。正確なフィルタ(オプションの等号記号を使用)は、レコードアレイ内に指定した以外の値がない場合にのみ一致します。拡張タイプと拡張の長さは、2バイトの数で表現されます。したがって、最大許容値は65535です。

TLS楕円曲線のポイントフォーマット

tls-ecpf "<tokens>"

<tokens>は、10進値またはテキスト値のカンマ区切りリストです。許可されている10進数の最大値は254です。テキスト値の場合、指定できるのはフルテキスト名だけです。数値とテキストトークンの組み合わせが可能です。認識される名前は「uncompressed」(0)、「ansiX962_compressed_prime」(1)、「ansiX962_compressed_char2」(2)です。

TLSクライアント鍵の長さ

tls-cklen [comp] <number>

TLS証明書

tls-icn [strcomp] "<string>" - 証明書発行者のコモンネーム
tls-scn [strcomp] "<string>" - サブジェクトのコモンネーム
tls-son [strcomp] "<string>" - サブジェクトの組織名。比較は大文字と小文字を区別しません。
tls-vfrom [comp] <timestamp> - 証明書有効期間の開始日時
tls-vfrom [comp] "<date>" - 証明書有効期間の開始日時
tls-vto [comp] <timestamp> - 証明書有効期間の終了日時
tls-vto [comp] "<date>" - 証明書有効期間の終了日時<date>は、「YYYY-MM-DD HH:MM:SS」形式でのテキストによる日付/時間の指定です。<timestamp>は、エポック以降の秒数で表現される日付/時間です。特殊な値「now」も受け入れられ、現在時刻として解釈されます。
tls-salg "<algorithm name>" - 署名アルゴリズム
tls-pkalg "<algorithm name>" - 公開鍵アルゴリズム
tls-pklen [comp] <number> - 公開鍵長さ
tls-snum "<bytes>" - TLS証明書のシリアル番号。<bytes>は、TLS証明書シリアル番号の一部です(16進数字で入力)。1つの16進数字が2分の1バイト(4ビット)に相当します。
tls-san [strcomp] "<string>" - TLS証明書のサブジェクト代替名

TLS JA3フィンガープリント

tls-ja3 "<bytes>" <bytes>は、JA3フィンガープリントバイトシーケンスの一部です(16進数字で入力)。1つの16進数字が2分の1バイト(4ビット)に相当します。

VxLANのプリミティブ

VxLAN VNI

vxlan-vni [comp] <number>

IEC104

iec104-pktlen [comp] <number> - IEC104パケット長
iec104-fmt [strcomp] "<fmtstr>" - IEC104フレームフォーマット。<fmtstr>には、以下のいずれかの文字を指定します。
- I - I-frame
- S - S-frame
- U - U-frame
iec104-asdu-type [comp] <number> - IEC104 ASDUタイプ
iec104-asdu-objcount [comp] <number> - IEC104 ASDUオブジェクトカウント
iec104-asdu-cot [comp] <number> - IEC104 ASDU転送理由
iec104-asdu-org [comp] <number> - IEC104 ASDU発信者アドレス
iec104-asdu-addr [comp] <number> - IEC104共通ASDUアドレス

CoAP

coap-ver [comp] <number>
coap-mid [comp] <number>
coap-code [strcomp] "<str>" - <str>には、「0.00」の形式で数を指定します。
coap-opcount [comp] <number>
coap-type "<str>" - <str>には、以下のいずれかが入ります。
- CNF - Conﬁrmableメッセージ
- NCNF - Nonconﬁrmableメッセージ
- ACK - Acknowledge
- RST - Reset
coap-accept [comp] <number>
coap-contentfmt [comp] <number>
coap-token [strcomp] "<str>" - バイトストリームの16進表現(最大長16文字)。例: coap-token = "b38a4e20"
coap-uripath [strcomp] "<str>"
coap-uriquery [strcomp] "<str>"
coap-urihost [strcomp] "<str>"

GOOSE

goose-appid [comp] <number>
goose-cbref [strcomp] "<str>"
goose-dataset [strcomp] "<str>"
goose-id [strcomp] "<str>"
goose-stnum [comp] <number>

MMS

mms-type [comp] <number> - <number>には、以下のいずれかが入ります。
- 0 - confirmed-Request
- 1 - confirmed-Response
- 2 - confirmed-Error
- 3 - unconfirmed
- 4 - reject
- 5 - cancel-Request
- 6 - cancel-Response
- 7 - cancel-Error
- 8 - initiate-Request
- 9 - initiate-Response
- 10 - initiate-Error
- 11 - conclude-Request
- 12 - conclude-Response
- 13 - conclude-Error
mms-conf-service-req [comp] <number>
mms-conf-service-resp [comp] <number> - mms-conf-service-reqおよびmms-conf-service-respの<number>には、以下のいずれかが入ります。
- 0 - status
- 1 - getNameList
- 2 - identify
- 3 - rename
- 4 - read
- 5 - write
- 6 - getVariableAccessAttributes
- 7 - defineNamedVariable
- 8 - defineScatteredAccess
- 9 - getScatteredAccessAttributes
- 10 - deleteVariableAccess
- 11 - defineNamedVariableList
- 12 - getNamedVariableListAttributes
- 13 - deleteNamedVariableList
- 14 - defineNamedType
- 15 - getNamedTypeAttributes
- 16 - deleteNamedType
- 17 - input
- 18 - output
- 19 - takeControl
- 20 - relinquishControl
- 21 - defineSemaphore
- 22 - deleteSemaphore
- 23 - reportSemaphoreStatus
- 24 - reportPoolSemaphoreStatus
- 25 - reportSemaphoreEntryStatus
- 26 - initiateDownloadSequence
- 27 - downloadSegment
- 28 - terminateDownloadSequence
- 29 - initiateUploadSequence
- 30 - uploadSegment
- 31 - terminateUploadSequence
- 32 - requestDomainDownload
- 33 - requestDomainUpload
- 34 - loadDomainContent
- 35 - storeDomainContent
- 36 - deleteDomain
- 37 - getDomainAttributes
- 38 - createProgramInvocation
- 39 - deleteProgramInvocation
- 40 - start
- 41 - stop
- 42 - resume
- 43 - reset
- 44 - kill
- 45 - getProgramInvocationAttributes
- 46 - obtainFile
- 47 - defineEventCondition
- 48 - deleteEventCondition
- 49 - getEventConditionAttributes
- 50 - reportEventConditionStatus
- 51 - alterEventConditionMonitoring
- 52 - triggerEvent
- 53 - defineEventAction
- 54 - deleteEventAction
- 55 - getEventActionAttributes
- 56 - reportEventActionStatus
- 57 - defineEventEnrollment
- 58 - deleteEventEnrollment
- 59 - alterEventEnrollment
- 60 - reportEventEnrollmentStatus
- 61 - getEventEnrollmentAttributes
- 62 - acknowledgeEventNotification
- 63 - getAlarmSummary
- 64 - getAlarmEnrollmentSummary
- 65 - readJournal
- 66 - writeJournal
- 67 - initializeJournal
- 68 - reportJournalStatus
- 69 - createJournal
- 70 - deleteJournal
- 71 - getCapabilityList
- 72 - fileOpen
- 73 - fileRead
- 74 - fileClose
- 75 - fileRename
- 76 - fileDelete
- 77 - fileDirectory
- 78 - additionalService
- 80 - getDataExchangeAttributes
- 81 - exchangeData
- 82 - defineAccessControlList
- 83 - getAccessControlListAttributes
- 84 - reportAccessControlledObjects
- 85 - deleteAccessControlList
- 86 - changeAccessControl
- 87 - reconfigureProgramInvocation - only for mss-conf-service-resp
mms-unconf-service [comp] <number> - <number>には、以下のいずれかが入ります。
- 0 - informationReport
- 1 - unsolicitedStatus
- 2 - eventNotification

DLMS

dlms-type [comp] <number> - <number>には、以下のいずれかが入ります。
- 192 - get-request
- 193 - set-request
- 194 - event-notification-request
- 195 - action-request
- 196 - get-response
- 197 - set-response
- 199 - action-response
dlms-subtype [comp] <number>
- 3073 (0xc001) - get-request-normal
- 3074 (0xc002) - get-request-next
- 3075 (0xc003) - get-request-with-list
- 49409 (0xc101) - set-request-normal
- 49410 (0xc102) - set-request-with-first-data-block
- 49411 (0xc103) - set-request-with-datablock
- 49412 (0xc104) - set-request-with-list
- 49413 (0xc105) - set-request-with-list-and-first-data-block
- 49921 (0xc301) - action-request-normal
- 49922 (0xc302) - action-request-next-pblock
- 49923 (0xc303) - action-request-with-list
- 49924 (0xc304) - action-request-with-first-pblock
- 49925 (0xc305) - action-request-with-list-and-first-pblock
- 49926 (0xc306) - action-request-with-pblock
- 50177 (0xc401) - get-response-normal
- 50178 (0xc402) - get-response-with-datablock
- 50179 (0xc403) - get-response-with-list
- 50433 (0xc501) - set-response-normal
- 50434 (0xc502) - set-response-datablock
- 50435 (0xc503) - set-response-last-data-block
- 50436 (0xc504) - set-response-last-data-block-with-list
- 50437 (0xc505) - set-response-with-list
- 50945 (0xc701) - action-response-normal
- 50946 (0xc702) - action-response-with-pblock
- 50947 (0xc703) - action-response-with-list
- 50948 (0xc704) - action-response-next-pblock
dlms-classid [comp] <number>
dlms-obis [arraycomp] <obidnum> - ここで<obidnum>は、「.」(ドット)で区切られる6桁の数値で構成されるIDです。各桁の最大サイズは1バイトです。arraycompはアレイコンパレータで、= (アレイの完全等価)のみがサポートされます。例: dlms-obis = 1.0.99.1.0.255。IDのグループをフィルタするには、「.」で終了する一般的なプレフィックスを使用します。例: "dlms-obis 1.0.99."は、最初の3桁が同じであるすべてのIDをフィルタします。最後の3桁は無関係として扱われます。
dlms-attr-method-id [comp] <number>
dlms-data-type [comp] <number> - <number>には、以下のいずれかが入ります。
- 0 - null-data
- 1 - array
- 2 - structure
- 3 - boolean
- 4 - bit-string
- 5 - double-long
- 6 - double-long-unsigned
- 9 - octet-string
- 10 - visible-string
- 13 - bcd
- 15 - integer
- 16 - long
- 17 - unsigned
- 18 - long-unsigned
- 19 - compact-array
- 20 - long64
- 21 - long64-unsigned
- 22 - enum
- 23 - float32
- 24 - float64
- 25 - date-time
- 26 - date
- 27 - time
- dlms-data-length [comp] <number>
dlms-data-access-result [comp] <number> - <number>には、以下のいずれかが入ります。
- 0 - success
- 1 - hardware-fault
- 2 - temporary-failure
- 3 - read-write-denied
- 4 - object-undefined
- 9 - object-class-inconsistent
- 11 - object-unavailable
- 12 - type-unmatched
- 13 - scope-of-access-violated
- 14 - data-block-unavailable
- 15 - long-get-aborted
- 16 - no-long-get-in-progress
- 17 - long-set-aborted
- 18 - no-long-set-in-progres
- 250 - other-reason
dlms-action-result [comp] <number> - <number>には、以下のいずれかが入ります。
- 0 - success
- 1 - hardware-fault
- 2 - temporary-failure
- 3 - read-write-denied
- 4 - object-undefined
- 9 - object-class-inconsistent
- 11 - object-unavailable
- 12 - type-unmatched
- 13 - scope-of-access-violated
- 14 - data-block-unavailable
- 15 - long-action-aborted
- 16 - no-long-action-in-progress
- 250 - other-reason

VMware NSXフィールド

nsx-ruleid <number> - ファイアウォールルールID
nsx-vnicindex <number> - VNICインデックス
nsx-vmuuid <number> [<number>] - VMを一意に識別する特定のVM UUIDを持つフローレコードをフィルタします。このIDは、2つの16進数で構成されます。最初の1つだけ、あるいは両方を指定できます。各16進数の先頭に「0x」というプレフィックスを付ける必要があります。例として、VM UUID (00 11 22 33 44 55 66 77-88 99 aa bb cc dd ee ff)の場合は、「nsx-vmuuid 0x0011223344556677」または「nsx-vmuuid 0x0011223344556677 0x8899aabbc-cddeeff」となります。
nsx-vmuuid-mac <addr> - 通常、VM UUIDの最初の部分にMACアドレスが含まれるため、フィルタにもMACアドレスを使用できます。これは、最初のVMUUID番号に一致します。たとえば、MACアドレスが00:11:22:33:44:55のマシンをフィルタする場合は、「nsx-vmuuid-mac 00:11:22:33:44:55」となります。

ネットワークパフォーマンスメトリックのプリミティブ

npm-rtt [[<comp>] <realnumber>] - ラウンドトリップ時間(RTT)
npm-srt [[<comp>] <realnumber>] - サーバ応答時間(SRT)
npm-retr [[<comp>] <realnumber>] - パケット再送信(RTR)
npm-ooo [[<comp>] <realnumber>] - アウトオブオーダーパケット(OoO)の数
npm-jdev [[<comp>] <realnumber>] - ジッターの標準偏差(SDVジッター)
npm-javg [[<comp>] <realnumber>] - 平均ジッター(AVGジッター)
npm-jmin [[<comp>] <realnumber>] - 最小ジッター(MINジッター)
npm-jmax [[<comp>] <realnumber>] - 最大ジッター(MAXジッター)
npm-ddev [[<comp>] <realnumber>] - パケット間の遅延の標準偏差(SDV IPD)
npm-davg [[<comp>] <realnumber>] - パケット間の遅延の平均(AVG IPD)
npm-dmin [[<comp>] <realnumber>] - パケット間の遅延の最小値(MIN IPD)
npm-dmax [[<comp>] <realnumber>] - パケット間の遅延の最大値(MAX IPD)

<realnumber>には、NNN.nnnの形式で実数を指定します。

Ciscoのプリミティブ

Cisco AVC - ART

art-snt [[<comp>] <realnumber>] - 合計サーバネットワーク時間(Sum SNT)
art-sntmin [[<comp>] <realnumber>] - 最小サーバネットワーク時間(MIN SNT)
art-sntmax [[<comp>] <realnumber>] - 最大サーバネットワーク時間(MAX SNT)
art-cnt [[<comp>] <realnumber>] - 合計クライアントネットワーク時間(Sum CNT)
art-cntmin [[<comp>] <realnumber>] - 最小クライアントネットワーク時間(MIN CNT)
art-cntmax [[<comp>] <realnumber>] - 最大クライアントネットワーク時間(MAX CNT)
art-srt [[<comp>] <realnumber>] - 合計サーバ応答時間(Sum SRT)
art-srtmin [[<comp>] <realnumber>] - 最小サーバ応答時間(MIN SRT)
art-srtmax [[<comp>] <realnumber>] - 最大サーバ応答時間(MAX SRT)

Cisco NEL

nat event <add|delete>
nat event [<comp>] <number>
[src|dst] nip <ip> - NAT IPアドレスを選択します。
[src|dst] nport <port> - NATポートを選択します。
ingress vrf <number> - vrfを選択します。

Cisco NSEL/ASA

asa event <ignore|create|term|delete|deny>
asa event [<comp>] <number>
asa event denied <ingress|egress|interface|nosyn>
asa xevent [<comp>] <number>
[src|dst] xip <ip> - 変換済みIPアドレスを選択します。
[src|dst] xport <port> - 変換済みポートを選択します。
ingress <ACN|ACE|XACE> [<comp>] <number> - ingress ACL IDフィールドを選択/比較します。
egress <ACN|ACE|XACE> [<comp>] <number> - egress ACL IDフィールドを選択/比較します

集約フローのプリミティブ

flows [<comp>] <num> [<scale>]- 特定の数の集約フローでNetFlowレコードをフィルタアウトします。

<scale>は倍率です。プレフィックスとして、(キロ) k、(メガ) m、(ギガ) g、(テラ) tを指定できます。係数は1024です。

パケット、バイト、ビットのプリミティブ

パケット

packets [<comp>] <num> - 特定のパケット数でNetFlowレコードをフィルタアウトします。

例: packets > 1k.

バイト

bytes [<comp>] <num> - 特定のバイト数でNetFlowレコードをフィルタアウトします。

例: bytes 46.

パケット/秒

pps [<comp>] <num> - フローのppsを指定します。[<scale>]

ビット/秒

bps [<comp>] <num> - フローのbpsを指定します。[<scale>]

バイト/パケット

bpp [<comp>] <num> - フローのbppを指定します。[<scale>]

パケット、バイト、ビットの例

packets > 1 M and bytes < 1700 M - 1MBを超える(1700MB未満)パケットのレコードに一致します。
(pps > 200 K or bps > 180 M) and bpp < 130 - 最小しきい値(200 Kパケット/秒または180Mビット/秒以上)のレコードに一致します。同時に、パケットが130 Bを上回らないように抑えます。
bpp > 1500 and bytes > 100 M - 100 MBよりも大きい巨大なパケットフローを見つけます。

期間のプリミティブ

期間

duration [<comp>] <num> - 期間をミリ秒単位で指定します。

期間の例

duration > 1000 and duration < 5000 - 1～5秒かかったフローレコードに一致します。

その他のフィルタ例

proto tcp and net 192.168/16 and src port >> 1024 and dst port 80 and bytes > 2048 - 2048バイトを超える内部ネットワークでのHTTP/TCP通信に一致します。
proto tcp and (net 192.168/16) and (src port > 1024 and dst port 80) and (bytes > 2048) - 前回と同じ(読みやすさのためにブラケットを追加)。

Flowmon User Guide