Powered by Zoomin Software. For more details please contactZoomin

Flowmon User Guide

Table of Contents

Monitoring Center設定

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: May 5, 2026
  • 39 minute read
    • Flowmon Products
    • Flowmon
    • Documentation

このページはMonitoring Centerの設定の詳細を含んでおり、さらに6つのセクションに分割されます。各セクションがMonitoring Centerの特定の部分に対応しています。

ビルトインコレクタ - 基本設定

[Configuration Center] -> [Monitoring Center] -> [コレクタ]ページでビルトインコレクタを設定できます。

このページを使用して、ビルトインコレクタの設定変更を実行します。[開始]/[停止]をクリックして、ビルトインコレクタを開始/停止します。このボタンでコレクタのステータス([実行中]/[停止済み])を確認できます。ビルトインコレクタが停止している場合は、Monitoring Centerにアクセスできません。

ビルトインコレクタ設定
ビルトインコレクタ設定

Monitoring Centerでクエリが実行中の場合、クエリの件数を示すボタンが表示されます。場合によっては、大量のデータに関するきわめて複雑なクエリのために非常に長い時間がかかり、その結果、デバイスの動きが遅くなることもあります。必要な場合は、[実行中のクエリの停止]をクリックして、このようなクエリを終了させることができます。

[IPインデックスの有効化]オプションを有効にすると、Flowmonは受信フローに存在するIPv4アドレスのインデックスの作成を開始します。インデックスを使用すると、IPv4アドレスのフィルタクエリを速くすることができます。インデックスは、インデックスのオプションを有効にした瞬間からフローにのみ使用できます。過去のデータを再計算する必要がある場合は、サポートチームまでお問い合わせください。

二段階のIPインデックスを有効化できます。

  • 「All Sources」プロファイルに対して有効 - インデックスは「All Sources」プロファイルに対してのみ利用可能です。

  • すべてのプロファイルに対して有効 - インデックスは、デバイス上の真のプロファイルに対して利用可能です。

フィルタクエリを速くするためのIPインデックスの使用方法の詳細については、解析のタイプを参照してください。

[データストレージの消去]ボタンは、ビルトインコレクタデータベースの消去に使用します。この操作を実行すると、保存されているNetFlowデータがすべて削除され、元に戻すことはできません。保存されているNetFlowデータのサイズによってはこの操作に数分かかることがあります。その間、Monitoring Centerにアクセスできません。

ビルトインコレクタ - 処理モジュール

このページでは、ビルトインコレクタの後処理モジュールを有効にすることができます。これらのモジュールは、追加情報でフローデータを強化できます。コレクタによって追加されたフィールドの一覧については、Flowmonコレクタ - エクストラフィールドを参照してください。

これらのモジュールを有効にできます。

  • ASリストを使用する - IPアドレスに基づいて、自律システム(AS)番号を使用してフローレコードを強化して、トラフィックの発生源を特定します。カスタムまたはビルトインASリストを選択できます。このモジュールにより、次のフィールドが追加されます: src autonomous-systemsdst autonomous-systems

  • フローレコードの正常化 - 独自フィールドの値を標準化されたFlowmonフィールドに変換して、さまざまなベンダー(Cisco、Gigamonなど)からのフローレコードを1つにまとめます。このモジュールにより、次のフィールドが追加されます: npm-round-trip-timenpm-server-response-timenpm-tcp-retransmissiondns-flags-codeshttp-hosthttp-urltls-signature-algorithmtls-public-key-algorithmtls-public-key-lengthnpm-server-response-time-minnpm-server-response-time-maxdns-response-info

  • DNS情報の追加 - 最近のDNS応答との関連付けを行うことで、フローにドメイン名を追加し、アクセスしたサービスへの可視性を改善します。このモジュールにより、次のフィールドが追加されます: src hostnamedst hostname。機能を使用できるようにするには、コレクタが、DNSプロトコルのメタデータを抽出してエクスポートするように設定されたプローブからフローデータを受信する必要があります。[Configuration Center] > [モニタリングポート] > [高度な設定]でFlowmonプローブのDNSプロトコルのモニタリングを有効にします。

  • GeoIP情報の追加 - IPアドレスから生成された地理的位置データを使用してフローにタグを付け、地域解析をサポートします。このモジュールにより、次のフィールドが追加されます: src countrydst country

  • ユーザIDの追加 - DHCPサーバ、VPNサーバ、およびActive Directoryなどの外部システムから受信したフローレコードをユーザ名と関連付けます。この情報は、これらの外部ソースからFlowmonにSyslogメッセージを通じて送信されます。このモジュールにより、次のフィールドが追加されます: src user-iddst user-id。詳細については、FlowmonソリューションにおけるユーザIDを参照してください。

ビルトインコレクタ - リスニングポート(コレクタのみ)

このページでは、NetFlow、IPFIX、sFlowなどサポートされているフロープロトコルと転送をリスニングポートに設定できます。リスニングポートは、名前、ポート、ネットワークプロトコル、フロープロトコルで定義します。ご利用中のフローエクスポートデバイス(ルータ、プローブ)で使用されているフロープロトコルを選択してください。2つのオプションとして、NetFlow/IPFIXとsFlowがあります。NetFlow/IPFIXオプションは、jFlow、NetStreamなど、すべてのNetFlowクローンにも適用されます。サポートされているプロトコルの詳細については、サポート(Flowmonサポート・学習ハブ)にお問い合わせください。

個々のFlowソース(プローブ、ルータなど)のリスニングポートを定義する必要はありません。Flowmonではそれらを自動的に認識および設定します。新しいリスニングポートを定義する理由が特にない限り、リスニングポートのデフォルト設定をそのまま使用することをお勧めします。 新しいリスニングポートを追加するには、[新しいリスニングポート]をクリックします。新しいフォームが表示されます。

リスニングポートの名前、ポート番号、ネットワークプロトコルを入力します。TCPをネットワークプロトコルとして選択する場合は、暗号化TCP/TLSを有効にできます。TCP/TLSの場合は、フローエクスポートデバイス(モニタリングポート)とコレクタ用にキーと証明書のセットを生成する必要があります。すべての証明書に、同じ認証局(CA)による署名が必要です。TCP/TLSプロトコルを使用する各リスニングポートには、コレクタキー、コレクタの証明書とともに、署名付きの証明書(CA証明書)を提供する必要があります。

TCPをネットワークプロトコルとして選択する場合は、暗号化TCP/TLSを有効にできます。TCP/TLSの場合は、フローエクスポートデバイス(モニタリングポート)とコレクタ用にキーと証明書のセットを生成する必要があります。すべての証明書に、同じ認証局(CA)による署名が必要です。TCP/TLSプロトコルを使用する各リスニングポートには、コレクタキー、コレクタの証明書とともに、署名付きの証明書(CA証明書)を提供する必要があります。

受信するFlowデータのサンプリングレートは、Flowプロトコルで決定します。サンプリングレートが提供されない場合、または正しく報告されない場合は、メトリックスと統計の計算のためにスタティックに定義することが可能です。このような場合は、[ソースサンプリングレートの定義]をオンにし、数値を入力します。入力された値が使用されるのは、Flowモニタリングポートでサンプリングレートの情報が提供されないときに限定されます。Flowモニタリングポートでサンプリングレートが提供される場合は、その値が使用されます。[サンプリングレートを強制する]オプションをオンにすると、どちらの場合もその値が使用されます。

t start = reception_time active_timeout

t end = reception_time

生成される時間は表示のみです。(アクティブタイムアウトが適用される)長いフローの場合は、フローの継続時間は正確です。Flowソースでフローが終了してからFlowmonコレクタでフローを受信するまでわずかな時差が生じるため、開始時刻と終了時刻が少しだけ遅れます。アクティブタイムアウトが適用されない短いフローの場合は、フローの継続時間は不正確になります。この機能を有効にするためには、[カスタムアクティブタイムアウト]スイッチを有効にし、このリスニングポートにデータを送信するFlowソースのアクティブタイムアウトを指定します。

[フローの受信時間によってフローのタイムスタンプを変更する] - この機能は、フローの終了時間をフローの受信時間に置き換え、フローの開始時間をフローの受信時間からフローの継続時間を引いて計算することで、フローのタイムスタンプの誤りを修正します。

受信したFlowデータは複数の異なるターゲットに転送できます。このためには、[転送ターゲット]セレクタを使用して、このリスニングポートの転送ターゲットを選択します。転送ターゲットは、[転送ターゲット]ページで設定する必要があります。

ビルトインコレクタ - 転送ターゲット(コレクタのみ)

このセクションでは、リスニングポートの転送ターゲットを設定できます。設定した転送ターゲットは以下のような表に表示されます。[新しいターゲット]をクリックして新しい転送ターゲットを作成するか、[アクション]列の[編集]アイコンをクリックして既存のターゲットを編集してください。この転送ターゲットは、ページの下部にある[リスニングポート]セレクタで選択したすべてのリスニングポートに適用されます。転送は、互換モード詳細設定モードの2つのモードで実行できます。この2つのモードは別々のタブで利用できます。

転送モード - 互換

このモードでは、FlowソースのスプーフィングされたIPアドレスを使用するUDPプロトコルを使用して、フローを転送することができます。このモードは、すべてのFlowmonコレクタおよびサードパーティのコレクタに対応しています。互換モードでは、Flowソースの元のIPアドレスが保持されます(IPスプーフィングモード)。そのため、ターゲットコレクタは元のFlowソースのIPアドレスにフローを割り当てます。このことを念頭に置いて、ファイアウォールルールなどを設定します。

互換モードでは、コレクタおよびUDPポートのIPアドレスを入力します。

転送モード - 詳細設定

このモードでは、TCPまたはTCP/TLSエクスポート、フロープロトコルの変換、フローのサンプリング、フローのフィルタリングなどの高度な機能を使用して、フローを転送することができます。このモードは、Flowmonコレクタv9.01.00以上に対応しています。

詳細設定モードには[エクスポートターゲット]と[エクスポートプロトコル]の2つのタブがあります。

[エクスポートターゲット]タブでは、ターゲットコレクタのIPアドレス、ポート、Flowサンプリングレートを入力し、転送プロトコルを選択します。TCPプロトコルは、IPFIXをエクスポートプロトコルとして使用する場合にのみ許可されます([エクスポートプロトコル]タブを参照)。さらに、エクスポートフィルタを追加して、このターゲットにどのフローを転送するかを定義できます。フィルタの構文については、「フィルタ構文」セクションを参照してください。TCPプロトコルを選択する場合は、[暗号化の有効化]オプションを有効にすると、TCP/TLSプロトコルでFlowデータを暗号化して転送できます。このとき、コレクタのプライベートキー、コレクタの証明書およびCA証明書を提供する必要があります。

[エクスポートプロトコル]タブでは、NetFlow v5、NetFlow v9、およびIPFIXというオプションからフローエクスポートプロトコルを選択できます。NetFlow v9およびIPFIXの場合、テンプレートの再送信間隔のデフォルトを変更するオプションがあります。

[保存]をクリックして、変更を適用します。入力した値にループがないかチェックされます。ループは、コレクタにとって致命的となる可能性があります。この操作には、時間がかかることがあります。

ビルトインコレクタ - ソース設定

[ソース設定]ページでは、プロファイルしたソースおよびそのインターフェースの数の制限を設定できます。詳細については、「ソース」セクションを参照してください。

レポート設定

[レポート設定]は、[基本設定][リモートディスク][ブランディング]で構成されます。

基本設定

基本設定では、レポート機能の有効と無効を切り替えることができます。レポート機能を無効にすると、Dashboards and Reportsからのスケジュールの送信が停止されます(電子メールとSamba)。すべてのチャプターを一度に再計算することも可能です。任意の期間を選択し、[再計算]をクリックします。ジョブ計算の進捗状況に、計算済みのタスクの数と待ち状態のタスクの数が示されます。[予約済みCPU]の値は、(1時間ごとに実行される)チャプター統計の計算にどのくらいのCPUパフォーマンスが使用可能かを表示します。[大規模なデータのサンプリングを許可]オプションがデフォルトの設定で有効であるため、データ量が非常に大きい場合は、レポートの計算時にFlowデータのサンプリングが可能です。その結果、計算速度が飛躍的に向上し、負荷の大きいコレクタで多くのリソースを節約できます。大量のデータについては計算される統計の精度が少しだけ低下します。サンプルのデータは統計的に重要ではありません。新しい値を保存するには、[保存]をクリックします。

レポート設定 - 基本設定
レポート設定 - 基本設定

リモートディスク

[リモートディスク]セクションでは、リモートディスクにレポートを保存するためのパラメータを設定できます。[リモートディレクトリ] (ここでレポートがコピーされます)に値を入力します。[コピーのタイムアウト]は、1つのレポートをコピーするときの最大時間を指定する場合に使用します。コピートランザクションに長い時間がかかる場合は、処理が中断され、失敗と見なされます。時間制限を設定しない場合は0を入力します。[次の後にコピーに失敗したファイルを削除:]オプションは、古いレポートがキューから削除され、そのキューが再度コピーされなくなるまでの最大日数を設定する場合に使用します。時間制限を設定しない場合は0を入力します。 リモートストレージの設定

リモートストレージの設定

ブランディング

[ブランディング]では、生成されるPDFレポートのデザインを指定できます。メインカラー、レポート名、メールレポートの件名と本文を選択できます。ここでは、マクロを使用できます(パネルに説明あり)。

補足:

レポート内のデータは、コマンドラインインターフェースから/usr/bin/php /var/www/shtml/index.php Cli:ClearComputedReportsというコマンドを使用して削除できます。

補足:

ブランドロゴファイルはXML設定の一部ではないため、これらの設定は設定ファイルのダウンロードには含まれていません。これらを手動でバックアップするには、別々にエクスポートする必要があります。自動バックアップには、ブランドロゴファイルを含む設定ファイルをエクスポートする災害復旧のためのバックアップを使用できます。

Flowmonブランディングオプション

アクティブデバイス

このページは、アクティブデバイスのモニタリング機能の設定に使用されます。この機能はデフォルトで有効になっていますが、分散アーキテクチャーの設定には使用できません。無効/有効にするには、[アクティブデバイスのロギングの有効化]トグルスイッチを使用して、[保存]をクリックする必要があります。

選択メニューから監視対象のFlowソースを選択します。ここで選択したソースのデータのみが収集されます。特定のトラフィックのみを監視する場合は、フィルタを指定することもできます。[保存]をクリックして変更を保存します。

[特定方法]フィールドには、Monitoring CenterでのデフォルトのデバイスIDを指定し、フィールドはクエリの結果の集計に使用されます。集計オプションを使用してクエリを作成する際、IDを一時的にいつでも別のIDに切り替えることができます。

補足:

デバイスの数や通信の頻度に応じて、リソースマネージャでアクティブデバイスのストレージのクォータを調整する必要がある場合があります。

アクティブデバイス - IP範囲

テーブル[IP範囲]を使用して、アクティブデバイスを監視対象とするすべてのサブネットを設定できます。ローカルネットワークでのこれらの収集は理にかなっているため、すべてのプライベートネットワークとローカルネットワークに、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、fe80::/10のようなプリセット値が用意されています。新しいサブネットを追加するには、IPアドレス/マスクという形式で値を入力します。

アクティブデバイスのIP範囲設定
アクティブデバイスのIP範囲設定

アクティブデバイス - ルータ

[ルータ]テーブルは、ルータのMACアドレスの管理に使用します。通常、ルータには大量のIPアドレスが割り当てられているためにデフォルトではレポートに表示されません。これらを表示するには、Monitoring Centerの検索フォームで設定を変更してください。

補足:

アクティブデバイスのデータをデータベースから削除するには、コマンドラインインターフェースから/usr/bin/php /var/www/shtml/index.php Cli:ClearActiveDevicesというコマンドを実行します。

ルータの設定
ルータの設定

AWS Flow Logs Converter

AWS Flow Logs Converterとは

AWS Flow Logs Converterは、Monitoring Centerの設定可能なモジュールです。

このモジュールでは、Amazon Virtual Private Cloudで取得したトラフィックに関する情報が含まれているAWS VPC Flowログ(以後、「Flowログ」)を収集、処理、および表示できます。

実装の簡単な説明

Flowログは定期的にAmazon CloudWatchから取得され、処理され、IPFIX形式に変換された後、Flowmonコレクタの定義済みのUDPポートへ送信されます。

Flowmonコレクタではこのポートからのデータを、他のポートから復元される通常のフローと同様に扱います。

VPCのFlowログの設定

クラウドのFlowログをセットアップし、AWS CloudWatchに転送するには、CloudWatchログへのFlowログのパブリッシュの説明に従ってください。あらゆるFlowログストリームには1つのインターフェースからのFlowログのみが含まれていることが重要です。

AWS Flow Logs Converterは、Flowログにおいてデフォルトでは有効ではないTCPフラグを処理できます。TCPフラグの処理を有効にするには、新しいFlowログを作成するときにログレコードカスタムフォーマットを指定する必要があります。

カスタムフォーマットには、以下のフィールドを以下の順序で含める必要があります。

AWS Flow Logs Converterが処理できるのは、デフォルトのフローレコードのフォーマットと、上記で指定したカスタムフォーマットだけです。

Flowmon Configuration CenterでのFlowログの設定

Monitoring CenterでFlowログの受信を開始するには、次の説明に従ってください。

ステップ1: [Configuration Center] > [Monitoring Center] > [リスニングポート]で、新しいリスニングポートを作成します。

新しいリスニングポートの名前とポート番号は必要に応じて選択できます。ただし、ネットワークプロトコルはUDPである必要があり、ポートは、AWS VPC Flowログの取得にのみ使用する必要があります。

リスニングポートの追加
リスニングポートの追加

ステップ2: アクセス情報、地域、およびFlowログを取得するロググループを設定します。

[Configuration Center] > [Monitoring Center] > [Flowログ] > [Amazon Web Services]の順に移動します。

アクセスキーIDシークレットアクセスキーは、Amazonから提供される必須のクレデンシャルです。

前のステップで設定したリスニングポートを選択します。

ログ情報の取得
ログ情報の取得

[地域の追加]をクリックして、Flowログの転送先となるエンドポイントを設定します。

使用できる地域の一覧については、リージョン、アベイラビリティーゾーン、ローカルゾーンを参照してください。地域の[名前]フィールドには、EU (フランクフルト)ではなくeu-central-1のような値を入力してください。また、地域に関する短い説明も定義できます。

最後に、少なくとも1つのロググループを指定する必要があります([グループの追加]をクリックして、名前を入力します)。Monitoring Centerでは、指定したグループに含まれているすべてのログストリームが処理され、各ストリームがロググループの一意のインターフェースとして表示されます。

必要に応じて[検証]ボタンをクリックすると、指定した設定を検証できます。これにより、Monitoring Centerが指定のAWSクレデンシャルを使って指定のロググループに接続できるかどうかを確認できます。

[保存]をクリックするたびに、指定した設定の検証プロセスが実行されます。

検証
検証

新しく作成した設定は、保存する必要があります([保存]ボタンをクリック)。これで、Flowログを取得するプロセスが開始します。取得プロセスを停止するには、プロセスを無効にして[保存]ボタンをクリックします。

Monitoring CenterでのVPC Flowログの表示

最初のFlowログを表示できるようになるまで、最大20分かかります(「制限」を参照)。

各ロググループには一意のIPアドレスが内部的に割り当てられ(サブネット127.128.0.0/16~)、一意のFlowソースとして扱われます。

すべてのソースを[Monitoring Center] -> [ソース]で表示できます。

[プロファイルの作成]をクリックすると、個々のストリームのトラフィックが表示されます。

アクセス可能なすべてのストリームを選択して、[保存]をクリックします。

ソース
ソース

切り替え先: [Monitoring Center] -> [プロファイル] -> [ソース] -> 各自のロググループ

Flowログからのフローは、通常のデータソースからのフローと同様に表示および分析できます。

Flowログの視覚化
Flowログの視覚化

Flowログの制限

Flowログには、それ自体に起因する制限があるので、考慮が必要です。

  • ネットワークインターフェースに複数のIPv4アドレスがあるときにトラフィックが二次プライベートIPv4アドレス宛てに送信されると、Flowログの宛先IPアドレスフィールドには一次プライベートIPv4アドレスが表示されます。

  • トラフィックがENI宛てに送信され、その宛先がいずれのENI IPアドレスでもない場合、Flowログの宛先IPアドレスフィールドには一次プライベートIPv4アドレスが表示されます。

  • トラフィックがENI宛てに送信され、送信元がいずれのENI IPアドレスでもない場合、Flowログの送信元IPアドレスフィールドには一次プライベートIPv4アドレスが表示されます。

  • トラフィックがネットワークインターフェース宛てに送信されるか、ネットワークインターフェースから送信された場合、パケットの送信元または宛先にかかわらず、FlowログのインターフェースIPアドレスフィールドには常に一次プライベートIPv4アドレスが表示されます。

Flowログでは、すべてのIPトラフィックを取得するわけではありません。次のタイプのトラフィックはログに記録されません。

  • インスタンスとAmazon DNSサーバとの通信で生成されたトラフィック。独自のDNSサーバを使用している場合には、そのDNSサーバ宛てのすべてのトラフィックがログに記録されます。

  • Amazon WindowsライセンスのアクティベーションのためにWindowsインスタンスによって生成されたトラフィック。

  • インスタンスメタデータのために使用される、169.254.169.254との通信トラフィック。

  • Amazon Time Sync Serviceのために使用される、169.254.169.123との通信トラフィック。

  • DHCPトラフィック。

  • デフォルトVPCルータのために予約されたIPアドレス宛てのトラフィック。詳細については、「VPCとサブネットサイジング」を参照してください。

  • エンドポイントのネットワークインターフェースと、Network Load Balancerネットワークインターフェース間のトラフィック。詳細については、「VPCエンドポイントサービス(AWS PrivateLink)」を参照してください。

  • 取得ウィンドウ中、一部のFlowログレコードがスキップされることがあります。考えられる理由は、内部容量の制約か内部エラーです。

さらに、トラフィックが実際に発生してからMonitoring Centerで確認できるまでに最大20分かかることがあります。ただし、この遅延は、監視対象クラウドにあるトラフィック量が多いほど短くなります。

このような遅延が発生する理由は、パブリッシュ前にパケットをFlowログに集約するために10~15分の取得ウィンドウが発生し、それに続いて、Flowmonコレクタが現在のプロファイルを閉じてGUIにトラフィックを表示するために5分の遅延が発生するためです。

Flowmonコレクタは、現在開いているプロファイルに受信フローを保存するため、特定時刻のフローを検索するときは隣接する複数のプロファイルを選択することをお勧めします。

Google Cloud Flowログ

Flowmonコレクタには、Google Cloud VPC Flowログを処理し、視覚化する機能があります。Google Cloud VPC Flowログ(以下、Flowログ)は、VPCネットワーク内のVMインスタンス間のネットワーク接続のレコードです。FlowmonコレクタはGoogle Cloud Pub/Subサブスクリプションに対してポーリングを実行することによって、Flowログを取得します。

Google Cloud VPC Flowログの設定

公式のインストラクションに従って、VPC内の特定のサブネットに対するFlowログの生成を有効化します。

Flowログの設定時には、以下の設定オプションについて言及することが重要です。

  • 集約の間隔: 5分 - 推奨(Flowmonプローブの標準的な設定でも5分の集約間隔を使用)

  • メタデータを含める: オン - 必須 (Monitoring CenterでのVPCおよびサブネットに関する情報の表示に必要)

  • サンプルレート: 100 - すべてのFlowログを取得するために推奨

Googleログルータシンクの設定

ログルータシンクおよびPub/Subトピックを設定するには、公式の説明に従ってください。

次の設定オプションが役立つ場合があります。

  • Pub/Subサブスクリプションでは、何らかの形式のFlowログの保持が行われるため、Pub/Subトピックの作成時に、[Message retention duration]をオプトアウトしてください。

  • 包含フィルタを指定することをお勧めします。[Choose logs to include in sink]パネルで、Flowログのみに含めるように指定します。これにより、Flowログの処理のパフォーマンスが向上し、全体的な価格が下がります。

    • logName=~"/logs/compute.googleapis.com%2Fvpc_flows" - 全てのFlowログを表示する場合

    • logName="projects/<project_name>/logs/compute.googleapis.com%2Fvpc_flows" - 特定のプロジェクトからのFlowログのみを表示する場合

Google Cloud Pub/Subサブスクリプションの設定

Flowmonコレクタによって効率的に使用できるように、Google Cloud Pub/Subサブスクリプションは特定の基準に従う必要があります。

パフォーマンスの最大化とコストの最小化を実現するためのサブスクリプションの推奨設定を以下に示します。

  • 配信タイプ: Pull - 必須

  • メッセージ保持期間: 1時間

  • 確認済みメッセージを保持: No

  • 確認応答を待つ期間: 10秒

  • メッセージの順序指定: No

  • Dead lettering: No

  • 再試行ポリシー: Retry immediately

FlowmonコレクタはGoogle Cloud Pub/SubサブスクリプションからFlowログを取得するときに、Google Cloudのサービスアカウントキー(JSON形式)を使用して認証を行います。Flowログの取得に使用するサービスアカウントには、Google Cloud IAMにおけるPub/Subサブスクライバーの役割を含める必要があります。このようなサービスアカウントは、Google Cloudプロジェクトを使用して任意のPub/Subサブスクリプションにアクセスできます。権限の詳細については、公式ガイドを参照してください。

Google Cloud VPC Flowログの処理の設定

Monitoring CenterでFlowログの受信を開始するには、次の説明に従ってください。

ステップ1: [Configuration Center] > [Monitoring Center] > [リスニングポート]で、新しいリスニングポートを作成します

新しいリスニングポートの名前とポート番号は必要に応じて選択できます。ただし、ネットワークプロトコルはUDPである必要があり、ポートは、Google Cloud VPC Flowログの取得にのみ使用する必要があります。 必要に応じて、このリスニングポートのソースサンプリングレートを定義できます。これは、Google CloudがFlowログを生成するためにVMに出入りするパケットを既にサンプリングしているからです。すべてのパケットがそれ自体のログレコードに取り込まれるわけではありません。10パケットごとに約1つのパケットが取り込まれます。ただしVMの負荷によっては、このサンプリングレートが低下する可能性があります。このレートを調整することはできません。

ステップ2: Google Cloud Flowログの処理を有効化し、個々のサブスクリプションを設定します。

[Configuration Center] > [Monitoring Center] > [Flowログ] > [Google Cloud]の順に移動します。

[有効化]ボタンを切り替え、ドロップダウンメニューから前に作成したリスニングポートを選択します。

[New Subscription]ボタンをクリックします。Google Cloud Pub/Subサブスクリプションのリストの設定が可能となり、このリストからFlowログが取得・処理されます。サブスクリプションの以下の部分を設定できます。

  • Subscription ID - Google Cloud Pub/SubサブスクリプションのID

  • Project ID - サブスクリプションが帰属するGoogle CloudプロジェクトのID

  • Service account credentials - Pub/Subサブスクリプションのサブスクライブ権限が付属するGoogle Cloudのサービスアカウントキー(JSON形式)。このキーを作成するには、公式のインストラクションに従ってください。

  • Description - サブスクリプションのカスタム説明

  • Advanced Configuration - リソース消費の増加を犠牲にしてサブスクリプションプロセスのパフォーマンスに影響を及ぼす可能性のあるいくつかのオプション

    • Max. messages in backlog - 処理のためにキューに入れることのできるPub/Subメッセージの最大数(1000未満のメッセージの設定には非推奨)

    • Max. megabytes in backlog - 処理のためにキューに入れることのできる最大バイト数(Flowログを含むメッセージのサイズを考慮する場合に推奨 - メッセージあたり数KB未満の場合は非推奨)

    • Max. messages processed simultaneously - Pub/SubサブスクリプションからのFlowログをポーリングするための並列処理を行うBackgroundWorkerの数。1秒間に処理されると予想されるPub/Subメッセージの数に基づき、この値はできるだけ小さくすることをお勧めします。値の範囲は、216個の実行可能なワーカーに制限されます(2の累乗の使用を推奨)。2つのワーカーが1秒間に処理できるPub/Subメッセージの数は、約100,000個です(c2-standard-16コンピューティングインスタンスでテスト)。同一のアプライアンスで複数のサブスクリプションを構成すると、一般にパフォーマンスが低下するのでご注意ください。すべての構成済みサブスクリプションにわたって合計で32個を超えるBackgroundWorkerを使用することは、お勧めしません

(必要に応じて) [検証]ボタンをクリックすると、指定した設定を検証できます。これにより、Monitoring Centerが指定のサービスアカウントのクレデンシャルを使って指定のPub/Subサブスクリプションに接続できるかどうかを確認できます。

[保存]ボタンをクリックするたびに、指定した設定の検証プロセスが実行されます。

補足:

プロキシを介してGoogle Cloudに接続する場合、プロキシはHTTP/2をサポートしている必要があります。さもなければ、接続は失敗します。

Monitoring CenterでのVPC Flowログの表示

Google Cloud VPC Flowログを使用するときに、複数のFlowソースが作成されます。各Flowソースには一意のIPアドレス(サブネット127.129.0.0/16から)が内部的に割り当てられ、その名前はGoogle Cloudプロジェクト内のVPCに対応しています(vpc-name.project-idの形式)。

すべてのソースを[Monitoring Center] -> [ソース]で表示できます。

Flowソースを個別のチャネルに分割する場合は、[プロファイルの作成]をクリックします。それぞれのチャネルはVPC内のサブネットに対応しており、サブネット名によって一意に識別可能です。

アクセス可能なサブネットをすべて選択し、[保存]をクリックします。

Flowログからのフローは、通常のデータソースからのフローと同様に表示および分析できます。

Azure Flowログ

Flowmonコレクタには、Azure VNet Flowログを処理し、視覚化する機能があります。 Azure VNET Flowログ(以下、Flowログ)は、VMインスタンスで送受信されるネットワークフローをサンプリングしたレコードです。FlowログはNetwork Watcherサービスが提供する機能であり、Microsoft Insightsのリソースプロバイダーに依存しています。Flowmonコレクタは設定済みのAzure Blob Storageコンテナーに定期的に接続して、新しく追加されたFlowログをダウンロードします。その後でFlowログはIPFIX形式に変換され、Monitoring Centerで表示できるようになります。

Azure VNET Flowログの設定

公式の説明に従って、仮想マシンのためのAzure Blob StorageへのFlowログの収集を有効化します。

Azure VNET Flowログの処理の設定

Monitoring CenterでFlowログの受信を開始するには、次の説明に従ってください。

ステップ1: [Configuration Center] > [Monitoring Center] > [リスニングポート]で、新しいリスニングポートを作成します。

新しいリスニングポートの名前とポート番号は必要に応じて選択できます。ただし、ネットワークプロトコルはUDPである必要があり、ポートは、Azure VNET Flowログの取得にのみ使用する必要があります。

ステップ2: Azure VNET Flowログの処理を有効化し、個々のサブスクリプションを設定します。

[Configuration Center] > [Monitoring Center] > [Flowログ] > [Microsoft Azure]の順に移動します。

[有効化]ボタンを切り替え、ドロップダウンメニューから前に作成したリスニングポートを選択します。

サブスクリプションのリストの設定が可能な[New Subscription]ボタンをクリックします。このリストで、どのFlowログを取得・処理するのかを指定します。FlowmonコレクタがFlowログにアクセスできるようにするには、Flowログの保存先であるAzure Blob Storageコンテナー用に作成したShared Access Signature (SAS)のURLが必要です。このSAS URLは、Storage Explorerを使用して簡単に取得できます。SASはBlobの読み取り一覧表示の権限を提供する必要があります。

単一のAzure Blob Storageコンテナー内のFlowログが複数のAzure Account Subscriptionから生じることがあります。したがって、FlowmonコレクタでどのFlowログを処理すべきかを判断するサブスクリプションIDを指定する必要もあります。複数のAzure Account SubscriptionからのFlowログを処理するには、[Configuration Center] > [Monitoring Center] > [Microsoft Azure]ページで別のサブスクリプションを追加します。

必要に応じて[検証]ボタンをクリックすると、指定した設定を検証できます。これにより、指定されたSAS URLを使用してFlowmonコレクタがすべてのAzure Blob Storageコンテナーに接続できるかどうかをチェックします。さらに、Flowログのある正しいディレクトリを探索します(指定されたサブスクリプションIDを使用)。

[保存]をクリックするたびに、指定した設定の検証プロセスが実行されます。

新しく作成した設定は、保存する必要があります([保存]ボタンをクリック)。これにより、Flowログを取得するプロセスが開始します。Flowログの処理を停止するには、[有効化]ボタンをクリックし、[保存]をクリックします。Flowログの処理が無効である場合でも設定は保存されるので、再度有効化するのが容易です。

Monitoring CenterでのAzure VNET Flowログの表示

Azure VNET Flowログを使用するときに、複数のFlowソースが作成されます。各Flowソースには、一意のIPアドレス(サブネット127.130.0.0/16から)が割り当てられており、それぞれがAzure Account Subscription内の単一のリソースグループに対応しています。Flowソースの名前はresource_group.subscription_idの形式です。

すべてのソースを[Monitoring Center] -> [ソース]で表示できます。

Flowソースを個別のチャネルに分割する場合は、[プロファイルの作成]をクリックします。それぞれのチャネルには、特定の仮想ネットワークからのフローが含まれており、その名前で一意に識別可能です。

アクセス可能なサブネットをすべて選択し、[保存]をクリックします。

Flowログからのフローは、通常のデータソースからのフローと同様に表示および分析できます。

TitleResults for “How to create a CRG?”Also Available inAlert