Powered by Zoomin Software. For more details please contactZoomin

Flowmon User Guide

FlowmonソリューションにおけるユーザID

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
Table of Contents

FlowmonソリューションにおけるユーザID

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 5 minute read
    • Flowmon Products
    • Flowmon
    • Documentation

従来のフローベースのモニタリングツールは、IPアドレスとDNS名をレポートします。Flowmonは、L2 (MACアドレス)とユーザIDレベルで可視性を拡張します。ユーザIDを手動で取得しようとすると、通常は、Active Directoryやネットワークアクセス制御システムの監査ログを解析することになり、時間がかかります。Flowmonでは、ユーザID別にプライマリフローデータを拡張し、特定のユーザに関するネットワークトラフィックや異常を簡単に解析して、レポートすることができます。ユーザIDのモニタリング機能は、追加ライセンスを必要とせず、Flowmonコレクタの一部として利用できます。Flowmon Configuration Centerを使用すると、個々のログフォーマットの解析ルールに加えて、外部syslogソースを設定することができます。フローデータの解析中にサードパーティのシステムを覗いてユーザIDを調べる必要はもうありません。そのため、セキュリティインシデントのトラブルシューティングや調査がより効率的になり、時間を短縮できます。ルールは、syslog-ngパターンの構文解析ツールに基づいています。詳細については、syslog-ngの公式文書を参照してください。

この文書では、FlowmonソリューションにおけるユーザIDの認識の仕組みと、ユーザレベルの可視性を得るためにsyslogプロトコルを使用してFlowmonをActive Directoryと統合する方法について説明します。

FlowmonのユーザID認識機能は、各フローレコードを送信元IPユーザID宛先IPユーザIDという項目で拡張し、特定のユーザに関連する特定のトラフィックを探すことができます。セキュリティインシデントを調査する際、関与しているホストの背後に隠れたユーザに関する正確な情報を得ることができます。さらに、ユーザID別のトップN統計情報が利用できるため、長期的なレポートだけでなく、オンライン解析でもこの属性を使用できます。またこの属性は、キーワードuidsrc uid、またはdst uidを使用したフィルタリングにも使用でき、特定のユーザに関連するトラフィックのみを表示できます。イベントソースのユーザIDは、利用可能な場合、Flowmon ADSのイベント詳細に含まれています。

Active Directoryの設定

イベントログレコードをsyslogメッセージに変換するために、利用可能なツールを使用することをお勧めします。例としてNXLog Community Editionを使用しますが、この目的に別のツールを使用することも可能です。このツールによって、ローカルのWindowsインストールからターゲットのsyslogサーバ(この場合はFlowmonコレクタ)へのイベントの転送が可能になります。

NXLog(またはその他のツール)をデプロイしたら、ネットワーク設定を確認し、宛先サーバアドレス(FlowmonコレクタのIPアドレス)を設定し、プロトコルとポート(UDP/514)を確認します。NXLogでは、以下の例のようにnxlog.conf設定ファイルを編集して設定できます。

Panic Soft
#NoFreeOnExit TRUE

define ROOT     C:\Program Files\nxlog
define CERTDIR  %ROOT%\cert
define CONFDIR  %ROOT%\conf\nxlog.d
define LOGDIR   %ROOT%\data

include %CONFDIR%\\*.conf
define LOGFILE  %LOGDIR%\nxlog.log
LogFile %LOGFILE%

Moduledir %ROOT%\modules
CacheDir  %ROOT%\data
Pidfile   %ROOT%\data\nxlog.pid
SpoolDir  %ROOT%\data

<Extension _syslog>
    Module  xm_syslog
</Extension>

<Input SecurityEventLog>
    Module im_msvistalog
    PollInterval 10
    <QueryXML>
      <QueryList>
       <Query Id='0'>
        <Select Path='Security'>*[System/Level=0]</Select>	
       </Query>
      </QueryList>
     </QueryXML>
</Input>


<Output FlowmonSyslog>
    Module om_udp
    
    # Flowmon appliance IP address
    Host a.b.c.d
    
    Port 514
    Exec to_syslog_snare();
</Output>

<Route SecurityEventLog_to_FlowmonSyslog>
    Path SecurityEventLog => FlowmonSyslog
</Route>
TitleResults for “How to create a CRG?”Also Available inAlert