Powered by Zoomin Software. For more details please contactZoomin

Flowmon User Guide

Flowmonユーザインターフェースでの設定

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
Table of Contents

Flowmonユーザインターフェースでの設定

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 5 minute read
    • Flowmon Products
    • Flowmon
    • Documentation

このセクションでは、Flowmonユーザインターフェースで直接設定できる基本的な設定について説明します。Suricata IDSシステムのより高度な調整(誤検知の調整やSuricataルールの管理など)については、「コマンドラインでの設定」セクションに進んでください。

設定は、Flowmon Configuration Center[モニタリングポート]セクション(左側のメニュー)にあります。このページの各セクションで[IDSプローブ]タブを選択すると、すべてのインターフェースのグローバル設定または個々のインターフェースの設定を行うことができます。個別の設定が行われていないすべてのインターフェースには、必ずグローバル設定が適用されます。

デフォルトでは、すべてのモニタリングインターフェースでSuricata IDSモニタリングが無効になっているため、モニタリングを実行するインターフェースで明示的に有効にする必要があります。有効にするには、各モニタリングインターフェースの[IDSプローブ]タブの下にある[有効]トグルをオンにします。

前述のとおり、何らかの理由でグローバル設定が適切でない場合は、インターフェースごとに個別に設定することができます。個別に設定するには、[カスタム設定を使用する]トグルを使用します。このトグルをオンにすると、[フィルタ][パケット数]という2つのオプションが表示されます。

[フィルタ]という最初のオプションを使用すると、パケットフィルタリングを有効にし、Suricata IDSで処理するパケットを指定できます。フィルタには複数のフィルタリングルールを含めることができます。この場合、1行に1つのルールを入力する必要があります。さらにルールを追加する場合は、ルール間に論理和orが挿入されます(パケットを通過させて処理するには、少なくとも1つのルールを満たす必要があります)。パケットフィルタリングには、3つのタイプのフィルタリングルールを使用でき、次のような構文になります。

ip <ip_address>

net <ip_address>/<prefix>

vlan <number>|<start>-<end>

最初のタイプ(ip)を使用すると、パケットヘッダーに存在する必要のある送信元または宛先IPアドレスを指定できます。たとえば、ip 1.1.1.1の場合、送信元または宛先IPアドレスとして1.1.1.1を持つフローのみが処理されます。IPv4とIPv6のどちらのアドレスもサポートしています。

2番目のタイプを使用すると、2番目のフィルタタイプ(net)を使用してアドレス範囲全体を指定できます。このフィルタの値は、CIDR表記で有効なIPv4またはIPv6アドレス範囲でなければなりません。前の例と同様に、IP範囲は送信元IPアドレスと宛先IPアドレスのどちらにも適用されます。

3番目のタイプを使用すると、vlan ID (またはIDの範囲)を定義して、パケットヘッダーに存在すべき送信元または宛先VLANを指定できます。このフィルタの値は、0~4095の範囲内の正数である必要があります。範囲表記が使用される場合、**[開始][終了]**より小さく設定する必要があります。VLANのフィルタは、複数のVLANタグがある場合、外側のVLANタグに適用されます。

Suricata IDSの設定と調整」セクションで説明したとおり、各セッションからの最初のNパケットのみ(双方向フローごと)が、検査のためにSuricata IDSシステムに渡されます。この値は、**[パケット数]**オプションを使用して調整できます。デフォルトでは、この値は10パケットに設定されています(つまり、両方向から5パケット)。3~100パケットの範囲で設定できます。

以下のスクリーンショットでは、Flowmon Configuration CenterのIDSプローブの設定を確認できます。

検知されたIDSイベントは、Syslogを使用して以下に送信されます。

  • Syslogイベントロギング設定(Flowmon Configuration Center > [システム] > [システム設定])で定義されたすべてのサーバに送信されます。"Syslogメッセージの設定"グループのいずれかを選択または選択解除しても、IDSプローブには影響しません。

  • 同じマシンにインストールされている場合は、Flowmon ADSモジュールのIDSコレクタに直接送信されます。

検知されたイベントは、/data/idsp/outputs/eve.jsonファイルに保存されます。このjsonファイルは、設定ファイル**/etc/syslog-ng/conf.d/idsp.conf**に従ってsyslog-ngによって処理されます。idsp.confでは、syslogを使用してイベントの送信を手動で設定できます。

Flowmon Configuration Center([バージョン] > [IDSプローブ] - [開始]/[停止])を使用して、IDSプローブを開始または停止できます。

TitleResults for “How to create a CRG?”Also Available inAlert