Powered by Zoomin Software. For more details please contactZoomin

Flowmon User Guide

Table of Contents

FMC設定

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 37 minute read
    • Flowmon Products
    • Flowmon
    • Documentation

このページはFlowmon Monitoring Center (FMC)の設定の詳細を含んでおり、さらに6つのセクションに分割されます。各セクションがFMCの特定の部分に対応しています。

ビルトインコレクタ

[FMC設定] - [ビルトインコレクタ]ページでビルトインコレクタを設定できます。

このページを使用して、ビルトインコレクタの設定変更を実行します。[開始]/[停止]をクリックして、ビルトインコレクタを開始/停止します。このボタンでコレクタのステータス([実行中]/[停止済み])を確認できます。ビルトインコレクタが停止している場合は、Flowmon Monitoring Centerにアクセスできません。

ビルトインコレクタ設定
ビルトインコレクタ設定

Flowmon Monitoring Centerでクエリが実行中の場合、クエリの件数を示すボタンが表示されます。場合によっては、大量のデータに関するきわめて複雑なクエリのために非常に長い時間がかかり、その結果、デバイスの動きが遅くなることもあります。必要な場合は、[実行中のX FMCクエリーの停止]を押して、このようなクエリを終了させることができます。

[IPインデックスの有効化]オプションを有効にすると、Flowmonは受信フローに存在するIPv4アドレスのインデックスの作成を開始します。インデックスを使用すると、IPv4アドレスのフィルタクエリを速くすることができます。インデックスは、インデックスのオプションを有効にした瞬間からフローにのみ使用できます。過去のデータを再計算する必要がある場合は、サポートチームまでお問い合わせください。フィルタクエリを速くするためのIPインデックスの使用方法の詳細については、解析のタイプを参照してください。

[データストレージの消去]ボタンは、ビルトインコレクタデータベースの消去に使用します。この操作を実行すると、保存されているNetFlowデータがすべて削除され、元に戻すことはできません。保存されているNetFlowデータのサイズによってはこの操作に数分かかることがあります。その間、Monitoring Centerにアクセスできません。

ビルトインコレクタ - フローのデータベースフィールド

[フローのデータベースフィールド]ページでは、どの値をFlowデータベースに保存し、Flowmon Monitoring Centerで処理するかを選択できます。選択した値が、プローブまたはルータのエクスポート済みフローに存在する必要があります。存在しない場合、ゼロが入力されます。新しい値を有効にすると、新しいフローの保存に必要な分のディスクスペースが増えるので、ご注意ください。各フィールドの説明については、フローのデータベースフィールドを参照してください。

ビルトインコレクタ - ソース設定

[ソース設定]ページでは、プロファイルしたソースおよびそのインターフェースの数の制限を設定できます。詳細については、「ソース」の章を参照してください。

ビルトインコレクタ - リスニングポート(コレクタのみ)

このページでは、NetFlow、IPFIX、sFlowなどサポートされているフロープロトコルと転送をリスニングポートに設定できます。リスニングポートは、名前、ポート、ネットワークプロトコル、フロープロトコルで定義します。ご利用中のフローエクスポートデバイス(ルータ、プローブ)で使用されているフロープロトコルを選択してください。2つのオプションとして、NetFlow/IPFIXとsFlowがあります。NetFlow/IPFIXオプションは、jFlow、NetStreamなど、すべてのNetFlowクローンにも適用されます。サポートされているプロトコルの詳細については、サポート(https://support.flowmon.com)にお問い合わせください。

個々のFlowソース(プローブ、ルータなど)のリスニングポートを定義する必要はありません。Flowmonではそれらを自動的に認識および設定します。新しいリスニングポートを定義する理由が特にない限り、リスニングポートのデフォルト設定をそのまま使用することをお勧めします。

新しいリスニングポートを追加するには、[新しいリスニングポート]をクリックします。新しいフォームが表示されます。

リスニングポートの名前、ポート番号、ネットワークプロトコル、フロープロトコルを入力します。フロープロトコルにNetFlow/IPFIXを選択した場合は、ネットワークプロトコルにTCPまたはUDPを選択できます。TCPを選択した場合は、IPFIXプロトコルのみがサポートされます。sFlowの場合は、UDPのみがサポートされます。

TCPをネットワークプロトコルとして選択する場合は、暗号化TCP/TLSを有効にできます。TCP/TLSの場合は、フローエクスポートデバイス(モニタリングポート)とコレクタ用にキーと証明書のセットを生成する必要があります。すべての証明書に、同じ認証局(CA)による署名が必要です。TCP/TLSプロトコルを使用する各リスニングポートには、コレクタキー、コレクタの証明書とともに、署名付きの証明書(CA証明書)を提供する必要があります。

受信するFlowデータのサンプリングレートは、Flowプロトコルで決定します。これはスタティックに定義することも可能です(NetFlowでのみ利用可能)。このため、[ソースサンプリングレートの定義]をオンにし、数値を入力します。正の値を入力した場合、その値が使用されるのは、Flowモニタリングポートでサンプリングレートの情報が提供されないときに限定されます。サンプリングレートが提供される場合、この値が使用されます。サンプリングレートを強制する必要がある場合は、負の値を入力します。

通常、各フローの開始時刻と終了時刻はFlowソースによって生成され、Flowデータに含まれます。ただし、一部のFlowソースではフローの時刻を生成できず、フローは開始時刻と終了時刻に関する情報がないままエクスポートされます。この場合は、フローの受信時刻、およびFlowソースに定義されたアクティブタイムアウトに基づき、Flowmonコレクタ自体が時間を生成できます。時間は以下のように生成されます。

t start = reception_time active_*timeout

t* end = reception_time

生成される時間は表示のみです。アクティブタイムアウトが適用される長いフローの場合は、フローの継続時間は正確です。Flowソースでフローが終了してからFlowmonコレクタでフローを受信するまでわずかな時差が生じるため、開始時刻と終了時刻が少しだけ遅れます。アクティブタイムアウトが適用されない短いフローの場合は、継続時間は不正確になります。この機能を有効にするためには、[欠落しているタイムスタンプの生成]スイッチを有効にし、このリスニングポートにデータを送信するFlowソースのアクティブタイムアウトを指定します。

[フローの受信時間によってフローのタイムスタンプを変更する] - この機能は、フローの終了時間をフローの受信時間に置き換え、フローの開始時間をフローの受信時間からフローの継続時間を引いて計算することで、フローのタイムスタンプの誤りを修正します。

受信したFlowデータは複数の異なるターゲットに転送できます。このためには、[転送ターゲット]セレクタを使用して、このリスニングポートの転送ターゲットを選択します。転送ターゲットは、[転送ターゲット]ページで設定する必要があります。

ビルトインコレクタ - 転送ターゲット(コレクタのみ)

このセクションでは、リスニングポートの転送ターゲットを設定できます。設定した転送ターゲットは以下のような表に表示されます。[新しいターゲット]をクリックして新しい転送ターゲットを作成するか、[アクション]列の[編集]アイコンをクリックして既存のターゲットを編集してください。この転送ターゲットは、ページの下部にある[リスニングポート]セレクタで選択したすべてのリスニングポートに適用されます。転送は、互換モード詳細設定モードの2つのモードで実行できます。この2つのモードは別々のタブで利用できます。

転送モード - 互換

このモードでは、FlowソースのスプーフィングされたIPアドレスを使用するUDPプロトコルを使用して、フローを転送することができます。このモードは、すべてのFlowmonコレクタおよびサードパーティのコレクタに対応しています。互換モードでは、Flowソースの元のIPアドレスが保持されます(IPスプーフィングモード)。そのため、ターゲットコレクタは元のFlowソースのIPアドレスにフローを割り当てます。このことを念頭に置いて、ファイアウォールルールなどを設定します。

互換モードでは、コレクタおよびUDPポートのIPアドレスを入力します。

転送モード - 詳細設定

このモードでは、TCPまたはTCP/TLSエクスポート、フロープロトコルの変換、フローのサンプリング、フローのフィルタリングなどの高度な機能を使用して、フローを転送することができます。このモードは、Flowmonコレクタv9.01.00以上に対応しています。

詳細設定モードには[エクスポートターゲット]と[エクスポートプロトコル]の2つのタブがあります。

[エクスポートターゲット]タブでは、ターゲットコレクタのIPアドレス、ポート、Flowサンプリングレートを入力し、転送プロトコルを選択します。TCPプロトコルは、IPFIXをエクスポートプロトコルとして使用する場合にのみ許可されます([エクスポートプロトコル]タブを参照)。さらに、エクスポートフィルタを追加して、このターゲットにどのフローを転送するかを定義できます。フィルタの構文については、「モニタリングポートのフィルタの構文」セクションを参照してください。TCPプロトコルを選択する場合は、[暗号化の有効化]オプションを有効にすると、TCP/TLSプロトコルでFlowデータを暗号化して転送できます。このとき、コレクタのプライベートキー、コレクタの証明書およびCA証明書を提供する必要があります。

[エクスポートプロトコル]タブでは、NetFlow v5、NetFlow v9、およびIPFIXというオプションからフローエクスポートプロトコルを選択できます。NetFlow v9およびIPFIXの場合、テンプレートの再送信間隔のデフォルトを変更するオプションがあります。

[保存]をクリックして、変更を適用します。入力した値にループがないかチェックされます。ループは、コレクタにとって致命的となる可能性があります。この操作には、時間がかかることがあります。

レポート設定

[レポート設定]は、[基本設定][リモートディスク][勤務時間][ブランディング]で構成されます。

基本設定

基本設定では、レポート機能の有効と無効を切り替えることができます。レポート機能を無効にすると、Dashboards and Reportsからのスケジュールの送信が停止されます(電子メールとSamba)。すべてのチャプターを一度に再計算することも可能です。任意の期間を選択し、[再計算]をクリックします。ジョブ計算の進捗状況に、計算済みのタスクの数と待ち状態のタスクの数が示されます。[予約済みCPU]の値は、(1時間ごとに実行される)チャプター統計の計算にどのくらいのCPUパフォーマンスが使用可能かを示します。[大規模なデータのサンプリングを許可]オプションがデフォルトの設定で有効であるため、データ量が非常に大きい場合は、レポートの計算時にFlowデータのサンプリングが可能です。その結果、計算速度が飛躍的に向上し、負荷の大きいコレクタで多くのリソースを節約できます。大量のデータについては計算される統計の精度が少しだけ低下します。サンプルのデータは統計的に重要ではありません。新しい値を保存するには、[保存]をクリックします。

レポート設定 - 基本設定
レポート設定 - 基本設定

勤務時間

ここでは、会社の勤務時間を設定できます。また、この設定をレポートに反映できるようになります。レポートでは、ここで設定した値に従って統計が計算されます。

  • [名前] - このエントリの名前を入力します。

  • [期間のデータ] - 開始時刻と終了時刻を4つまで選択します。通常、昼休みを挟んで2つの期間のみを使用します。

  • [曜日の選択] - これらの割り当て時間がアクティブになる曜日を選択します。

勤務時間の設定
勤務時間の設定

[勤務時間の編集]ダイアログ
[勤務時間の編集]ダイアログ

リモートディスク

[リモートディスク]セクションでは、リモートディスクにレポートを保存するためのパラメータを設定できます。[リモートディレクトリ]に値を入力します。ここでレポートがコピーされます。[コピーのタイムアウト]は、1つのレポートをコピーするときの最大時間を指定する場合に使用します。コピートランザクションに長い時間がかかる場合は、処理が中断され、失敗と見なされます。時間制限を設定しない場合は0を入力します。[次の後にコピーに失敗したファイルを削除:]オプションは、古いレポートがキューから削除され、そのキューが再度コピーされなくなるまでの最大日数を設定する場合に使用します。時間制限を設定しない場合は0を入力します。

リモートストレージの設定
リモートストレージの設定

ブランディング

[ブランディング]では生成されるPDFレポートのデザインを指定できます。メインカラー、レポート名、メールレポートの件名と本文を選択できます。ここでは、マクロを使用できます(パネルに説明あり)。

補足:

レポート内のデータは、コマンドラインインターフェースから**/usr/bin/php /var/www/shtml/index.php Cli:ClearComputedReports**というコマンドを使用して削除できます。

Flowmonブランディングオプション

アクティブデバイス

このページは、アクティブデバイスのモニタリング機能の設定に使用されます。この機能はデフォルトで有効になっていますが、分散アーキテクチャーの設定には使用できません。無効/有効にするには、[アクティブデバイスのロギングの有効化]トグルスイッチを使用して、[保存]をクリックする必要があります。

選択メニューから監視対象のFlowソースを選択します。ここで選択したソースのデータのみが収集されます。特定のトラフィックのみを監視する場合は、フィルタ指定することもできます。[保存]をクリックして変更を保存します。

[特定方法]フィールドには、FMCでのデフォルトのデバイスIDを指定し、フィールドはクエリの結果の集計に使用されます。集計オプションを使用してクエリを作成する際、IDを一時的にいつでも別のIDに切り替えることができます。

補足:

デバイスの数や通信の頻度に応じて、リソースマネージャでアクティブデバイスのストレージのクォータを調整する必要がある場合があります。

データベースのリモート接続設定

PostgreSQLデータベースへのリモート接続を設定するには、[リモート接続設定]をクリックします。データベースにリモートで接続する必要がない場合は、すべての外部接続を拒否することをお勧めします。この設定は、[アクティブなファイアウォールルール]パネルの[リモートアクセス]ページで行います(Postgresルール(ポート5432)を検索)。

次の2つのフィールドを使用することで、PostgreSQLデータベースのリモートユーザ用パスワードの変更が可能になります。元のパスワードを[現在のパスワード]フィールドに入力し、新しいパスワードを[新しいパスワード]フィールドに入力します。[保存]をクリックして変更を実行します。変更に成功すると、メッセージが表示されます。

データベースへのリモートアクセスの設定
データベースへのリモートアクセスの設定

データベースへのリモートアクセスを行う場合は、サーバアドレスとポート番号5432を使用します。ユーザログイン名はipmac_cache_ro、デフォルトのパスワードはinv3a-t3chです。テーブルは、ipmac_cacheスキーマに保存されています。このユーザは、読み取り権限のみ許可されています。

アクティブデバイス - IP範囲

テーブル[IP範囲]を使用して、アクティブデバイスを監視対象とするすべてのサブネットを設定できます。ローカルネットワークでのこれらの収集は理にかなっているため、すべてのプライベートネットワークとローカルネットワークに、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、fe80::/10のようなプリセット値が用意されています。新しいサブネットを追加するには、IPアドレス/マスクという形式で値を入力します。

アクティブデバイスのIP範囲設定
アクティブデバイスのIP範囲設定

アクティブデバイス - ルータ

[ルータ]テーブルは、ルータのMACアドレスの管理に使用します。通常、ルータには大量のIPアドレスが割り当てられているためにデフォルトではレポートに表示されません。これらを表示するには、FMCの検索フォームで設定を変更してください。

補足:

アクティブデバイスのデータをデータベースから削除するには、コマンドラインインターフェースから**/usr/bin/php****/var/www/shtml/index.php Cli:ClearActiveDevices**というコマンドを実行します。

ルータの設定
ルータの設定

AWS Flow Logs Converter

AWS Flow Logs Converterとは

AWS Flow Logs Converterは、Flowmon Monitoring Center (FMC)の設定可能なモジュールです。

このモジュールでは、Amazon Virtual Private Cloudで取得したトラフィックに関する情報が含まれているAWS VPC Flowログ(以後、「Flowログ」)を収集、処理、および表示できます。

実装の簡単な説明

Flowログは定期的にAmazon CloudWatchから取得され、処理され、IPFIX形式に変換された後、Flowmonコレクタの定義済みのUDPポートへ送信されます。

Flowmonコレクタではこのポートからのデータを、他のポートから復元される通常のフローと同様に扱います。

VPCのFlowログの設定

クラウドのFlowログをセットアップし、AWS CloudWatchに転送するには、CloudWatchログへのFlowログのパブリッシュの説明に従ってください。あらゆるFlowログストリームには1つのインターフェースからのFlowログのみが含まれていることが重要です。

AWS Flow Logs Converterは、Flowログにおいてデフォルトでは有効ではないTCPフラグを処理できます。TCPフラグの処理を有効にするには、新しいFlowログを作成するときにログレコードカスタムフォーマットを指定する必要があります。

カスタムフォーマットには、以下のフィールドを以下の順序で含める必要があります。

AWS Flow Logs Converterが処理できるのは、デフォルトのフローレコードのフォーマットと、上記で指定したカスタムフォーマットだけです。

Flowmon Configuration CenterでのFlowログの設定

Flowmon Monitoring CenterでFlowログの受信を開始するには、次の説明に従ってください。

ステップ1: [Configuration Center] -> [FMC設定] -> [リスニングポート]で、新しいリスニングポートを作成します。

新しいリスニングポートの名前とポート番号は必要に応じて選択できます。ただし、ネットワークプロトコルはUDP、転送データの形式はNetFlow/IPFIXである必要があります。

リスニングポートの追加
リスニングポートの追加

ステップ2: アクセス情報、地域、およびFlowログを取得するロググループを設定します。

[Configuration Center] -> [FMC設定] -> [AWS Flowログ]

アクセスキーIDシークレットアクセスキーは、Amazonから提供される必須のクレデンシャルです。

前のステップで設定したリスニングポートを選択します。

ログ情報の取得
ログ情報の取得

[地域の追加]をクリックして、Flowログの転送先となるエンドポイントを設定します。

使用できる地域の一覧については、リージョン、アベイラビリティーゾーン、ローカルゾーンを参照してください。地域の[名前]フィールドには、EU (フランクフルト)ではなくeu-central-1のような値を入力してください。また、地域に関する短い説明も定義できます。

最後に、少なくとも1つのロググループを指定する必要があります([グループの追加]をクリックして、名前を入力します)。Monitoring Centerでは、指定したグループに含まれているすべてのログストリームが処理され、各ストリームがロググループの一意のインターフェースとして表示されます。

必要に応じて[検証]ボタンをクリックすると、指定した設定を検証できます。これにより、FMCが指定のAWSクレデンシャルを使って指定のロググループに接続できるかどうかを確認できます。

[保存]をクリックするたびに、指定した設定の検証プロセスが実行されます。

検証
検証

新しく作成した設定は、保存する必要があります([保存]ボタンをクリック)。これで、Flowログを取得するプロセスが開始します。取得プロセスを停止するには、プロセスを無効にして[保存]ボタンをクリックします。

Monitoring CenterでのVPC Flowログの表示

最初のFlowログを表示できるようになるまで、最大20分かかります(「制限」を参照)。

各ロググループには一意のIPアドレスが内部的に割り当てられ(サブネット127.128.0.0/16~)、一意のFlowソースとして扱われます。

すべてのソースを[Flowmon Monitoring Center] -> [ソース]で表示できます。

[プロファイル]をクリックすると、個々のストリームのトラフィックが表示されます。

アクセス可能なすべてのストリームを選択して、[保存]をクリックします。

ソース
ソース

切り替え先: [Flowmon Monitoring Center] -> [プロファイル] -> [ソース] -> [各自のロググループ]

Flowログからのフローは、通常のデータソースからのフローと同様に表示および分析できます。

Flowログの視覚化
Flowログの視覚化

Flowログの制限

Flowログには、それ自体に起因する制限があるので、考慮が必要です。

  • ネットワークインターフェースに複数のIPv4アドレスがあるときにトラフィックが二次プライベートIPv4アドレス宛てに送信されると、Flowログの宛先IPアドレスフィールドには一次プライベートIPv4アドレスが表示されます。

  • トラフィックがENI宛てに送信され、その宛先がいずれのENI IPアドレスでもない場合、Flowログの宛先IPアドレスフィールドには一次プライベートIPv4アドレスが表示されます。

  • トラフィックがENI宛てに送信され、送信元がいずれのENI IPアドレスでもない場合、Flowログの送信元IPアドレスフィールドには一次プライベートIPv4アドレスが表示されます。

  • トラフィックがネットワークインターフェース宛てに送信されるか、ネットワークインターフェースから送信された場合、パケットの送信元または宛先にかかわらず、FlowログのインターフェースIPアドレスフィールドには常に一次プライベートIPv4アドレスが表示されます。

Flowログでは、すべてのIPトラフィックを取得するわけではありません。次のタイプのトラフィックはログに記録されません。

  • インスタンスとAmazon DNSサーバとの通信で生成されたトラフィック。独自のDNSサーバを使用している場合には、そのDNSサーバ宛てのすべてのトラフィックがログに記録されます。

  • Amazon WindowsライセンスのアクティベーションのためにWindowsインスタンスによって生成されたトラフィック。

  • インスタンスメタデータのために使用される、169.254.169.254との通信トラフィック。

  • Amazon Time Sync Serviceのために使用される、169.254.169.123との通信トラフィック。

  • DHCPトラフィック。

  • デフォルトVPCルータのために予約されたIPアドレス宛てのトラフィック。詳細については、「VPCとサブネットサイジング」を参照してください。

  • エンドポイントのネットワークインターフェースと、Network Load Balancerネットワークインターフェース間のトラフィック。詳細については、「VPCエンドポイントサービス(AWS PrivateLink)」を参照してください。

  • 取得ウィンドウ中、一部のFlowログレコードがスキップされることがあります。考えられる理由は、内部容量の制約か内部エラーです。

さらに、トラフィックが実際に発生してからMonitoring Centerで確認できるまでに最大20分かかることがあります。ただし、この遅延は、監視対象クラウドにあるトラフィック量が多いほど短くなります。

このような遅延が発生する理由は、パブリッシュ前にパケットをFlowログに集約するために10~15分の取得ウィンドウが発生し、それに続いて、Flowmonコレクタが現在のプロファイルを閉じてGUIにトラフィックを表示するために5分の遅延が発生するためです。

Flowmonコレクタは、現在開いているプロファイルに受信フローを保存するため、特定時刻のフローを検索するときは隣接する複数のプロファイルを選択することをお勧めします。

Google Cloud Flowログ

Flowmonコレクタには、Google Cloud VPC Flowログを処理し、視覚化する機能があります。Google Cloud VPC Flowログ(以下、Flowログ)は、VPCネットワーク内のVMインスタンス間のネットワーク接続のレコードです。FlowmonコレクタはGoogle Cloud Pub/Subサブスクリプションに対してポーリングを実行することによって、Flowログを取得します。

Google Cloud VPC Flowログの設定

公式のインストラクションに従って、VPC内の特定のサブネットに対するFlowログの生成を有効化します。

Flowログの設定時には、以下の設定オプションについて言及することが重要です。

  • 集約の間隔: 5分 - 推奨(Flowmonプローブの標準的な設定でも5分の集約間隔を使用)

  • メタデータを含める: オン - 必須 (FMCでのVPCおよびサブネットに関する情報の表示に必要)

  • サンプルレート: 100 - すべてのFlowログを取得するために推奨

Googleログルータシンクの設定

ログルータシンクおよびPub/Subトピックを設定するには、公式の説明に従ってください。

次の設定オプションが役立つ場合があります。

  • Pub/Subサブスクリプションでは、何らかの形式のFlowログの保持が行われるため、Pub/Subトピックの作成時に、[Message retention duration]をオプトアウトしてください。

  • 包含フィルタを指定することをお勧めします。[Choose logs to include in sink]パネルで、Flowログのみに含めるように指定します。これにより、Flowログの処理のパフォーマンスが向上し、全体的な価格が下がります。

    • logName=~"/logs/compute.googleapis.com%2Fvpc_flows" - 全てのFlowログを表示する場合

    • logName="projects/<project_name>/logs/compute.googleapis.com%2Fvpc_flows" - 特定のプロジェクトからのFlowログのみを表示する場合

Google Cloud Pub/Subサブスクリプションの設定

Flowmonコレクタによって効率的に使用できるように、Google Cloud Pub/Subサブスクリプションは特定の基準に従う必要があります。

パフォーマンスの最大化とコストの最小化を実現するためのサブスクリプションの推奨設定を以下に示します。

  • 配信タイプ: Pull - 必須

  • メッセージ保持期間: 1時間

  • 確認済みメッセージを保持: No

  • 確認応答を待つ期間: 10秒

  • メッセージの順序指定: No

  • Dead lettering: No

  • 再試行ポリシー: Retry immediately

FlowmonコレクタはGoogle Cloud Pub/SubサブスクリプションからFlowログを取得するときに、Google Cloudのサービスアカウントキー(JSON形式)を使用して認証を行います。Flowログの取得に使用するサービスアカウントには、Google Cloud IAMにおけるPub/Subサブスクライバーの役割を含める必要があります。このようなサービスアカウントは、Google Cloudプロジェクトを使用して任意のPub/Subサブスクリプションにアクセスできます。権限の詳細については、公式ガイドを参照してください。

Google Cloud VPC Flowログの処理の設定

Flowmon Monitoring CenterでFlowログの受信を開始するには、次の説明に従ってください。

ステップ1: [Configuration Center] -> [FMC設定] -> [リスニングポート]で、新しいリスニングポートを作成します。

新しいリスニングポートの名前とポート番号は必要に応じて選択できます。ただし、ネットワークプロトコルはUDP、転送データの形式はNetFlow/IPFIXである必要があります。

必要に応じて、このリスニングポートのソースサンプリングレートを定義できます。これは、Google CloudがFlowログを生成するためにVMに出入りするパケットを既にサンプリングしているからです。すべてのパケットがそれ自体のログレコードに取り込まれるわけではありません。10パケットごとに約1つのパケットが取り込まれます。ただしVMの負荷によっては、このサンプリングレートが低下する可能性があります。このレートを調整することはできません。

ステップ2: Google Cloud Flowログの処理を有効化し、個々のサブスクリプションを設定します。

移動先: [Configuration Center] -> [FMC設定] -> [AWS Flowログ]

[有効化]ボタンを切り替え、ドロップダウンメニューから前に作成したリスニングポートを選択します。

[New Subscription]ボタンをクリックします。Google Cloud Pub/Subサブスクリプションのリストの設定が可能となり、このリストからFlowログが取得・処理されます。サブスクリプションの以下の部分を設定できます。

  • Subscription ID - Google Cloud Pub/SubサブスクリプションのID

  • Project ID - サブスクリプションが帰属するGoogle CloudプロジェクトのID

  • Service account credentials - Pub/Subサブスクリプションのサブスクライブ権限が付属するGoogle Cloudのサービスアカウントキー(JSON形式)。このキーを作成するには、公式のインストラクションに従ってください。

  • Description - サブスクリプションのカスタム説明

  • Advanced Configuration - リソース消費の増加を犠牲にしてサブスクリプションプロセスのパフォーマンスに影響を及ぼす可能性のあるいくつかのオプション

    • Max. messages in backlog - 処理のためにキューに入れることのできるPub/Subメッセージの最大数(1000未満のメッセージの設定には非推奨)

    • Max. megabytes in backlog - 処理のためにキューに入れることのできる最大バイト数(Flowログを含むメッセージのサイズを考慮する場合に推奨 - メッセージあたり数KB未満の場合は非推奨)

    • Max. messages processed simultaneously - Pub/SubサブスクリプションからのFlowログをポーリングするための並列処理を行うBackgroundWorkerの数。1秒間に処理されると予想されるPub/Subメッセージの数に基づき、この値はできるだけ小さくすることをお勧めします。値の範囲は、216個の実行可能なワーカーに制限されます(2の累乗の使用を推奨)。2つのワーカーが1秒間に処理できるPub/Subメッセージの数は、約100,000個です(c2-standard-16コンピューティングインスタンスでテスト)。同一のアプライアンスで複数のサブスクリプションを構成すると、一般にパフォーマンスが低下するのでご注意ください。すべての構成済みサブスクリプションにわたって合計で32個を超えるBackgroundWorkerを使用することは、お勧めしません

必要に応じて[検証]ボタンをクリックすると、指定した設定を検証できます。これにより、FMCが指定のサービスアカウントクレデンシャルを使って指定のPub/Subサブスクリプションに接続できるかどうかを確認できます。

[保存]ボタンをクリックするたびに、指定した設定の検証プロセスが実行されます。

Monitoring CenterでのVPC Flowログの表示

Google Cloud VPC Flowログを使用するときに、複数のFlowソースが作成されます。各Flowソースには一意のIPアドレス(サブネット127.129.0.0/16から)が内部的に割り当てられ、その名前はGoogle Cloudプロジェクト内のVPCに対応しています(vpc-name.project-idの形式)。

すべてのソースを[Flowmon Monitoring Center] -> [ソース]で表示できます。

Flowソースを個別のチャネルに分割する場合は、[プロファイル]をクリックします。それぞれのチャネルはVPC内のサブネットに対応しており、サブネット名によって一意に識別可能です。

アクセス可能なサブネットをすべて選択し、[保存]をクリックします。

Flowログからのフローは、通常のデータソースからのフローと同様に表示および分析できます。

Azure Flowログ

Flowmonコレクタには、Azure NSG Flowログを処理し、視覚化する機能があります。Azure NSG Flowログ(以下、Flowログ)は、VMインスタンスで送受信されるネットワークフローをサンプリングしたレコードです。FlowログはNetwork Watcherサービスが提供する機能であり、Microsoft Insightsのリソースプロバイダーに依存しています。Flowmonコレクタは設定済みのAzure Blob Storageコンテナーに定期的に接続して、新しく追加されたFlowログをダウンロードします。その後でFlowログはIPFIX形式に変換され、Flowmon Monitoring Center (FMC)で表示できるようになります。

Azure NSG Flowログの設定

公式の説明に従って、仮想マシンのためのAzure Blob StorageへのFlowログの収集を有効化します。

Azure NSG Flowログの処理の設定

FMCでFlowログの受信を開始するには、次の手順に従ってください。

ステップ1: [Configuration Center] -> [FMC設定] -> [リスニングポート]で、新しいリスニングポートを作成します。

新しいリスニングポートの名前とポート番号は必要に応じて選択できます。ただし、ネットワークプロトコルはUDP、転送データの形式はNetFlow/IPFIXである必要があります。

ステップ2: Azure NSG Flowログの処理を有効化し、個々のサブスクリプションを設定します。

移動先: [Configuration Center] -> [FMC設定] -> [Azure Flow Logs]

[有効化]ボタンを切り替え、ドロップダウンメニューから前に作成したリスニングポートを選択します。

サブスクリプションのリストの設定が可能な[New Subscription]ボタンをクリックします。このリストで、どのFlowログを取得・処理するのかを指定します。FlowmonコレクタがFlowログにアクセスできるようにするには、Flowログの保存先であるAzure Blob Storageコンテナー用に作成したShared Access Signature (SAS)のURLが必要です。このSAS URLは、Storage Explorerを使用して簡単に取得できます。SASはBlobの読み取り一覧表示の権限を提供する必要があります。

単一のAzure Blob Storageコンテナー内のFlowログが複数のAzure Account Subscriptionから生じることがあります。したがって、FlowmonコレクタでどのFlowログを処理すべきかを判断するサブスクリプションIDを指定する必要もあります。複数のAzure Account SubscriptionからのFlowログを処理するには、Azure FlowログのFMC設定ページで別のサブスクリプションを追加します。

必要に応じて[検証]ボタンをクリックすると、指定した設定を検証できます。これにより、指定されたSAS URLを使用してFlowmonコレクタがすべてのAzure Blob Storageコンテナーに接続できるかどうかをチェックします。さらに、Flowログのある正しいディレクトリを探索します(指定されたサブスクリプションIDを使用)。

[保存]をクリックするたびに、指定した設定の検証プロセスが実行されます。

新しく作成した設定は、保存する必要があります([保存]ボタンをクリック)。これにより、Flowログを取得するプロセスが開始します。Flowログの処理を停止するには、[有効化]ボタンをクリックし、[保存]をクリックします。Flowログの処理が無効である場合でも設定は保存されるので、再度有効化するのが容易です。

Monitoring CenterでのAzure NSG Flowログの表示

Azure NSG Flowログを使用するときに、複数のFlowソースが作成されます。各Flowソースには、一意のIPアドレス(サブネット127.130.0.0/16から)が割り当てられており、それぞれがAzure Account Subscription内の単一のリソースグループに対応しています。Flowソースの名前はresource_group.subscription_idの形式です。

すべてのソースを[Flowmon Monitoring Center] -> [ソース]で表示できます。

Flowソースを個別のチャネルに分割する場合は、[プロファイル]をクリックします。それぞれのチャネルには、特定のネットワークセキュリティグループからのフローが含まれており、その名前で一意に識別可能です。

アクセス可能なサブネットをすべて選択し、[保存]をクリックします。

Flowログからのフローは、通常のデータソースからのフローと同様に表示および分析できます。

TitleResults for “How to create a CRG?”Also Available inAlert