フィルタ構文

Save PDF

Last Updated: May 5, 2026
120 minute read

Flowmon Products
Flowmon
Documentation

フィルタ構文は、tcpdumpで使用される既知のpcapライブラリと似ています。フィルタは複数行にまたがることができます。「#」の後の文字はコメントとして処理され、行末まで無視されます。フィルタ式の長さに制限はほとんどありません。特に指定のない限り、すべてのキーワードに大文字と小文字の区別はありません(例: IPとipは同じ)。ストリングは二重引用符で囲みます。ストリングの値は大文字と小文字が区別されます(「windowsupdate.COM」は「windowsupdate.com」と異なる)。

これらのフィルタは、集約が行われる前に個々のフローレコードに適用されることを理解することが重要です。合計バイト数、合計フロー数、または合計パケット数などの集約統計は、フィルタリングの論理が個々のフローレベルでのみ機能するため、フィルタリングには利用できません。その結果、量ベースのフィールドは、上位の統計情報や集約されたフローリストのフィルタリングには適用できません。

いくつかのキーワードにはオートコンプリート機能を使用して任意の値を入力できます。以下の図を参照してください。

オートコンプリート機能

フィルタは個々の式で構成されます。式は論理演算子「and」または「or」で連結できます。2つの式を論理演算「and」で連結するときは、フィルタされたデータが両方の式の条件を満たす必要があります。これは、対象のデータを結果に含めるためです。論理演算子「or」は、1つ以上の式でデータの一致が必要であることを表します。式の前に演算子「not」を適用することで、式に一致するすべてのデータを除外できます。ブラケットは、以下のように、より複雑なフィルタの作成に使用できます。

<expression>
<expression> and <expression>
<expression> or <expression>
not <expression>
( <expression> )

いくつかのキーワードは、値の前のコンパレータをサポートしています。文字列キーワードの場合、コンパレータのサポートは<strcomp>で示されます。サポートされているコンパレータは、以下のとおりです。

= - 比較されたストリングが同一です。

> - <string>は比較されたストリングで開始します。

< - <string>は比較されたストリングで終了します。

<strcomp>を省略すると、比較されたストリングが<string>のサブストリングになります。

数値コンパレータのサポートは<comp>で示されます。サポートされているコンパレータは、以下のとおりです。

=、==、またはeq - 比較された値は等しいです。

!=またはne - 比較された値は等しくありません。

>またはgt - 比較された値の方が大きいです。

<またはlt - 比較された値の方が小さいです。

>=またはge - 比較された値の方が大きいか等しいです。

<=またはle - 比較された値の方が小さいか等しいです。

in - 比較された値は値のリストに含まれています。inは「[]」カッコと共に使用され、値はスペースで区切られます。たとえば、「ip in [192.168.2.3 192.168.2.4]」のようになります。

<comp>を省略すると、「=」を指定したものと見なされます。

いくつかのキーワードは、キーワード自体の前の方向フラグをサポートしています。サポートされている方向フラグは、以下のとおりです。

src - キーワードはフローのソースに適用されます(例:「src ip 」)。

dst - キーワードはフローの宛先に適用されます(例:「dst ip 」)。

in - キーワードはフローの入力インターフェースに適用されます(例:「in interface 」)。

out - キーワードはフローの出力インターフェースに適用されます(例:「out interface 」)。

方向フラグは、キーワード自体の前に任意の順序で指定できます。方向フラグ「in|out」は相互に排他的です。論理演算子「and」および「or」と組み合わせることができるのは、方向フラグ「src|dst」のみです(たとえば、「src or dst ip 」は「src ip or dst ip 」と同じ意味を持ちます)。

以下に示す<expression>要素の可能なコンテンツ(プリミティブ)を参照してください。

すべて

anyはダミーフィルタとして使用します。すべてのフローをブロックする場合は、not anyを使用します。

プロトコルのプリミティブ

プロトコルのバージョン

inetまたはipv4 (IPv4用)
inet6またはipv6 (IPv6用)

プロトコル

protocol <protocol> - ここで、<protocol>には、TCP、UDP、ICMP、ICMP6、ARP、GRE、ESP、AHなどの既知のIPプロトコルが入ります。このキーワードには、エイリアスprotoがあります。
protocol <num> - ここで、<num>はプロトコル番号(例: ICMPの場合は1)です。

Modbus

modbus-unit-id <num> - ModbusのユニットID。
modbus-read-requests <num> - Modbusの読み取り要求。
modbus-write-requests <num> - Modbusの書き込み要求。
modbus-diagnostic-requests <num> - Modbusの診断要求。
modbus-other-requests <num> - Modbusのその他の要求。
modbus-undefined-requests <num> - Modbusの未定義要求。
modbus-success-responses <num> - Modbusの成功応答。
modbus-error-responses <num> - Modbusのエラー応答。

S7

s7comm-param-length-sum [<comp>] <num> - S7のパラメータ長の合計。
s7comm-data-length-sum [<comp>] <num> - S7のデータ長の合計。
s7comm-job-readvar-count [<comp>] <num> - S7の読み取り。
s7comm-job-readvar-item-count [<comp>] <num> - S7の読み取りアイテム。
s7comm-ack-readvar-count [<comp>] <num> - S7の読み取り確認応答。
s7comm-ack-readvar-success-count [<comp>] <num> - S7の読み取り成功確認応答。
s7comm-job-writevar-count [<comp>] <num> - S7の書き込み。
s7comm-job-writevar-item-count [<comp>] <num> - S7の書き込みアイテム。
s7comm-ack-writevar-count [<comp>] <num> - S7の書き込み確認応答。
s7comm-ack-writevar-success-count [<comp>] <num> - S7の書き込み成功確認応答。
s7comm-job-upload-count [<comp>] <num> - S7のアップロードジョブ。
s7comm-ack-upload-count [<comp>] <num> - S7のアップロード確認応答。
s7comm-job-download-count [<comp>] <num> - S7のダウンロードジョブ。
s7comm-ack-download-count [<comp>] <num> - S7のダウンロード確認応答。
s7comm-job-control-count [<comp>] <num> - S7の制御ジョブ。
s7comm-ack-control-count [<comp>] <num> - S7の制御確認応答。
s7comm-error-response-count [<comp>] <num> - S7のエラー。
s7comm-userdata-request-programmer-count [<comp>] <num> - S7のユーザデータのプログラマ要求。
s7comm-userdata-response-programmer-count [<comp>] <num> - S7のユーザデータのプログラマ応答。
s7comm-userdata-request-cyclic-count [<comp>] <num> - S7のユーザデータの巡回要求。
s7comm-userdata-response-cyclic-count [<comp>] <num> - S7のユーザデータの巡回応答。
s7comm-userdata-response-block-count [<comp>] <num> - S7のユーザデータのブロック応答。
s7comm-userdata-request-cpu-count [<comp>] <num> - S7のユーザデータのCPU要求。
s7comm-userdata-response-cpu-count [<comp>] <num> - S7のユーザデータのCPU応答。
s7comm-userdata-request-security-count [<comp>] <num> - S7のユーザデータのセキュリティ要求。
s7comm-userdata-response-security-count [<comp>] <num> - S7のユーザデータのセキュリティ応答。
s7comm-userdata-request-time-count [<comp>] <num> - S7のユーザデータの時間要求。
s7comm-userdata-response-time-count [<comp>] <num> - S7のユーザデータの時間応答。
s7comm-userdata-request-other-count [<comp>] <num> - S7のユーザデータのその他の要求。
s7comm-userdata-response-other-count [<comp>] <num> - S7のユーザデータのその他の応答。
s7comm-unknown-request-count [<comp>] <num> - S7の不明な要求。
s7comm-unknown-response-count [<comp>] <num> - S7の不明な応答。

MQTT

mqtt-client-id <string> - MQTTのクライアントID。
mqtt-protocol-version <num> - MQTTプロトコルのバージョン。
mqtt-pub-count-server <num> - MQTTパブリッシュのカウントサーバ。
mqtt-pub-count-client <num> - MQTTパブリッシュのカウントクライアント。
mqtt-sub-count <num> - MQTTのサブスクライブカウント。
mqtt-connect-ack <num> - MQTTの接続確認応答。
mqtt-auth-username <string> - MQTTの認証ユーザ名。
mqtt-auth-password-present <num> - MQTTの認証パスワードあり。
mqtt-auth-method <string> - MQTTの認証メソッド。

DNP3

dnp3-read-requests <num> - DNP3の読み取り要求。
dnp3-control-requests <num> - DNP3の制御要求。
dnp3-freeze-requests <num> - DNP3の停止要求。
dnp3-configuration-requests <num> - DNP3の設定要求。
dnp3-time-sync-requests <num> - DNP3の時刻同期要求。
dnp3-reserved-requests <num> - DNP3の予約済み要求。
dnp3-malformed-requests <num> - DNP3の不正な形式の要求。
dnp3-confirmation-responses <num> - DNP3の確認応答。
dnp3-solicited-responses <num> - DNP3の請求応答。
dnp3-unsolicited-responses <num> - DNP3の非請求応答。
dnp3-malformed-responses <num> - DNP3の不正な形式の応答。
dnp3-internal-indicators <num> - DNP3の内部インジケータ。

ホスト名

[src|dst] hostname <string> - ホスト名。

Flowソースインターフェース

flow-source-interface <string> - Flowソースインターフェース。

QUIC

quic-version <num> - QUICバージョン。

プロトコルとプロトコルバージョンの例

inet6 - IPv6通信にのみ一致。

以下の4つのフィルタはすべて同じ意味を持ちます。

inet6 and proto udp - IPv6でのUDP通信にのみ一致。
inet6 and proto 17 - UDP = 17のため。
ipv6 and proto 17 - inet6とipv6が交換可能なため。
IPV6 AND PROTO 17 - 式が大文字と小文字を区別しないため。
proto icmp or proto udp - ICMPとUDPの両方に一致。
(proto icmp or proto udp) and ipv4 - IPv4でのICMPとUDP通信にのみ一致。
ipv4 and (proto icmp or proto udp) - 前回と同じ(この場合、順序は問題ではない)。
ipv4 and proto icmp or proto udp - あいまい、ブラケットがない(UDPでIPv4とIPv6の両方が使用されている)。
not (proto tcp or proto udp or proto icmp) - TCP、UDP、ICMP通信を除外(ARP、ICMP6、IGMPなどのプロトコルは探索可能)。

IPアドレスのプリミティブ

IPアドレス

[src|dst] ip <ipaddr>または[src|dst] host <ipaddr> - ここで、<ipaddr>には任意の有効なIPv4またはIPv6アドレスを指定します。[src|dst]は、選択したIPアドレスを定義します。srcは送信元、dstは宛先を表します。[src|dst]の省略は、すべての方向を意味します(「src or dst」と同等)。
[src|dst]は、srcやdstなどの方向修飾子を使用してIPアドレス、ネットワーク、ポート、AS番号などを明確に選択できます。これらは、「and」と「or」の組み合わせで使用できます(例:「as src and dst ip」)。
[src|dst] ip4 <ipaddr> - ここで、<ipaddr>には任意の有効なIPv4アドレスを指定します。
[src|dst] ip6 <ipaddr> - ここで、<ipaddr>には任意の有効なIPv6アドレスを指定します。

IPアドレス - 例

ip 192.168.2.4 - 特定のIPアドレス(送信元と宛先の両方)に一致。
src or dst ip 192.168.2.4 - 前回と同じ。
src ip 192.168.2.4 - 特定の送信元IPアドレスに一致。
src host 192.168.2.4 - 前回と同じ(IPとホストが交換可能)。
proto tcp and (src ip 192.168.2.3 or dst ip 192.168.0.1) - 最初の送信元アドレスまたは2番目の宛先アドレスのいずれかとのTCP通信と一致。

IPアドレスのリスト

[src|dst] ip in [<iplist>]または[src|dst] host in [<iplist>] - ここで、iplistは個々の<ipaddr>をスペースで区切ったリストです。

IPアドレスのリスト - 例

src ip in [192.168.2.3 192.168.2.4] - この送信元としての2つのアドレスを持つレコードと一致。
ip in [192.168.2.3 192.168.2.4] and proto tcp - これらのアドレスのTCP通信とのみ一致。

ネットワークのプリミティブ

ネットワーク

[src|dst] net a.b.c.d m.n.r.s - ネットマスクm.n.r.sのIPv4ネットワークa.b.c.dを選択。
[src|dst] net <net>/<num> <net>には有効なIPv4またはIPv6ネットワーク、<num>にはマスクビットを指定。マスクビットの数は、IPv4またはIPv6の適切なアドレスファミリに一致する必要があります。ネットワークは、172.16/16のように略すことができます(あいまいでない場合)。
[src|dst] net in [<ip/masklist>] - ここで<ip/masklist>はサブネットアドレスのリストです(例を参照してください)
next net a.b.c.d m.n.r.s - ネットマスクm.n.r.sの次のIPv4ネットワークa.b.c.dを選択。

ネットワーク - 例

src net 192.168.0.0/16 - 192.168で始まるIPアドレスに一致(IPアドレスの先頭16ビットはマスクされます)。
src net 192.168.0.0 255.255.0.0 - 前回と同じ(先頭16ビットは1s)。
src net 192.168.0.0 255.255.255.240 - IPアドレス192.168.0.0と192.168.0.15に一致(マスク240の最後の番号はバイナリで1111 0000)。
src net 192.168.0.0 255.255.255.240 and not ip in [192.168.0.14 192.168.0.15] - IPアドレス192.168.0.0～192.168.0.13に一致。
src net in [192.168.10.0/24, 192.168.20.0/24] and dst net in [192.168.50.0/24, 192.168.60.0/24] - 送信元サブネット192.168.10.0/24または 192.168.20.0/24および宛先サブネット192.168.50.0/24または192.168.60.0/24のIPアドレスに一致。

マスク

fwd-status [<comp>] <number> - 転送ステータス。キーワードには、fwdstatおよびfwdsというエイリアスがあります。
[src|dst] prefix4 [<comp>] <number>。キーワードには、mask4というエイリアスがあります。
[src|dst] prefix6 [<comp>] <number>。キーワードには、mask6というエイリアスがあります。

ポートのプリミティブ

ポート

[src|dst] port [<comp>] <num or portname>
[src|dst] port in [ <portlist> ]

<portlist>は、個々のポート番号またはポート名をスペースで区切ったリストです。<num>は有効なポート番号です。<portname>は、IANAによって特定のポート番号に割り当てられているサービスの名前です。サービス名は、オートコンプリート機能を使用して入力します。

<comp>は前の章で定義された数値コンパレータです。

[src|dst] udp-port [<comp>] <num> - ポート番号に一致。
[src|dst] tcp-port [<comp>] <num> - ポート番号に一致。

ポートの例

dst port 110 - 宛先ポート110 (pop3)に一致。
dst port "pop3" - 前回と同じ(「pop3」はこのポートのテキスト名)。
port in [20, 21] - FTP通信に一致。
src port < 1024 and not port in [80,443] - 送信元のウェルノウンポート(0～1023)のうち、使用中のものに一致しますが、HTTP(S)を無視します。
dst port > 1023 and dst port < 49152 and proto udp - UDPで使用されている登録済みの宛先ポート(1024～49151)に一致。

ICMP

icmp-type [<comp>] <num> - 「ICMPタイプ」
icmp-code [<comp>] <num> - 「ICMPコード」
icmp-type-code4 [<comp>] <num> - 「ICMPタイプコード」。値は、オートコンプリート機能を使用して入力します。
icmp-type-code6 [<comp>] <num> - 「ICMPタイプコードv6」。値は、オートコンプリート機能を使用して入力します。
icmp-type4 [<comp>] <num> - 「ICMPv4タイプ」、エイリアスicmptype4
icmp-code4 [<comp>] <num> - 「ICMPv4コード」、エイリアスicmpcode4。ICMPv4コードは、オートコンプリート機能を使用して入力します。
icmp-type6 [<comp>] <num> - 「ICMPv6-T」、エイリアスicmptype6
icmp-code6 [<comp>] <num> - 「ICMPv6-C」、エイリアスicmpcode6。ICMPv6コードは、オートコンプリート機能を使用して入力します。

<num>には、有効なICMPタイプ/コードを指定します。これには、自動的にproto icmpが伴います。

HTTPのプリミティブ

HTTPホスト名

http-host [<strcomp>] "<string>" - には、部分的または完全なHTTPホスト名を指定します。このキーワードには、 hhostというエイリアスがあります。

HTTP URL

http-url [<strcomp>] "<string>" - <string>には、部分的または完全なURLを指定します。エイリアスhurl。

HTTP - ユーザエージェントのオペレーティングシステム

http-os [<comp>] "<value>" - <value>には、オペレーティングシステムの名前または対応する番号を指定します(オートコンプリート機能を使用)。

HTTP - オペレーティングシステムのメジャーバージョン

http-os-major [<comp>] <num> - <num>には、メジャーバージョンの番号を指定します。エイリアスhosmaj。

HTTP - オペレーティングシステムのマイナーバージョン

http-os-minor [<comp>] <num> - <num>には、マイナーバージョンの番号を指定します。エイリアスhosmin。

HTTP - オペレーティングシステムのビルド番号

http-os-build [<comp>] <num> - <num>には、ビルド番号を指定します。エイリアスhosbld。

HTTP - ユーザエージェントのクライアントアプリケーション

http-app "<num or string>" - <string>には、クライアントアプリケーションの名前を指定します(オートコンプリート機能を使用)。エイリアスhapp。

HTTP - クライアントアプリケーションのメジャーバージョン

http-app-major [<comp>] <num> - <num>には、メジャーバージョンの番号を指定します。エイリアスhappmaj。

HTTP - クライアントアプリケーションのマイナーバージョン

http-app-minor [<comp>] <num> - <num>には、マイナーバージョンの番号を指定します。エイリアスhappmin。

HTTP - クライアントアプリケーションのビルド番号

http-app-build [<comp>] <num> - <num>には、ビルドバージョンを指定します。エイリアスhappbld。

HTTP - HTTPメソッド

http-method "<value>" - <value>には、HTTPメソッドの名前(オートコンプリート機能を使用)または16進数を指定します。エイリアスhmethod。

HTTP - HTTP結果コード

http-response-code [<comp>] <num> - <num>には、リターンコードを指定します。エイリアスhrcode。

HTTP - その他

http-xforward [<comp>] <ipaddr> - <ipaddr>には、IPアドレスを指定します。
http-xforward4 [<comp>] <ipaddr> - <ipaddr>には、IPv4アドレスを指定します。エイリアスhxff4。
http-xforward6 [<comp>] <ipaddr> - <ipaddr>には、IPv6アドレスを指定します。エイリアスhxff6。

AS番号のプリミティブ

自律システム番号

[src|dst] autonomous-systems [\comp] <num or name> - 送信元、宛先、または任意のAS番号を選択します。<num>には有効な番号が入ります。32ビットのAS番号がサポートされます。AS名は、オートコンプリート機能を使用して入力します。<comp>を省略すると、「=」を指定したものと見なされます。キーワードには、asおよびbgpnumというエイリアスがあります。
prev-as [\comp] <num> - 前回のAS番号を選択します。キーワードには、prev as、prevas、およびpasというエイリアスがあります。
next-as [\comp] <num> - 次回のAS番号を選択します。キーワードには、next as、nextas、およびnasというエイリアスがあります。
[src|dst|prev|next] as in [ <ASlist> ] - AS番号を既知のリストと比較できます。ここで、<ASlist>は、個々のAS番号をスペースまたはカンマで区切ったリストです。

自律システム番号の例

as 15169 - 通信全体(Google LLCのAS (15169)を含む)が対象です。
not src as 8068 - Microsoft CorporationのAS (8068)からの通信を除外します。

VLANラベル

[src|dst] vlan [<comp>] <num> - <num>には、有効なVLANラベルを指定します。

IPのユーザID

[src|dst] user-id <user ID> - <user ID>には、DHCP、VPN、ディレクトリサービスなどで提供されたユーザIDをsyslogを使用して指定します。キーワードには、uidおよびloginというエイリアスがあります。

IPの発生国

[src|dst] country "<value>" - <value>には、国の名前またはISO 3166-2に基づく国の番号を指定します。国の名前は、オートコンプリート機能を使用して入力します。キーワードには、ctryというエイリアスがあります。

TCPフラグのプリミティブ

TCPフラグ

flags [=] "<flagstring>" - ﬂagstringには、個々のフラグまたはフラグの論理式のいずれかを指定できます。論理式では、フラグは「&」および「|」演算子で接続できます。以下の文法が使用されます:

flagstring ::= <flagstringexp>
<flagstringexp> ::= <exp>
<flagstringexp> ::= <exp-and>
<flagstringexp> ::= <exp-or>
<exp> ::= <flag> | <exp><flag>
<exp-and> ::= <flag> | <exp-and> "&" <flag>
<exp-or> ::= <flag> | <exp-or> "|" <flag>

<flag> - "A" | "S" | "F" | "R" | "P" | "U" | "C" | "E" | "X"

すべてのフラグは大文字でなければなりません。

<flag>には、以下の意味があります。

A - ACK
S - SYN
F - FIN
R - Reset
P - Push
U - Urgent
C - Congestion Window Reduced
E - ECN-Echo
X - All ﬂags on

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

<exp>フィルタは、<exp>にリストされているすべてのフラグを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。
<exp-and>は<exp>に相当します。
<exp-or>フィルタは、<exp-or>に一覧表示されるフラグの少なくとも1つを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

キーワードflagsには、tcpflagsというエイリアスがあります。

TCPフラグの例

flags S - TCPフラグ内のSフラグ(例: ...AP.S.または...A..SF)を含むフローに一致。
flags = S - SYNフラグセット(つまり、..... S.)のみのレコードに一致。
flags "S|F" - SまたはFのいずれかのフラグが存在する必要があります。
flags = "A&P&F" - 指定されたフラグ( ...AP..F)のみが許可されます。

拡張TCP

tcp-ttl [comp] <number> - TCP TTL (有効期間)によるフィルタ。キーワードには、ttltcpというエイリアスがあります。
tcp-window-size [comp] <number> - TCPウィンドウサイズによるフィルタ。キーワードには、tcpwinsizeというエイリアスがあります。
tcp-syn-size [comp] <number> - TCP SYNパケットサイズによるフィルタ。キーワードには、tcpsynsizeというエイリアスがあります。

Next Hop IPのプリミティブ

next ip <ipaddr> - <ipaddr>には、next hopルータのIPv4/IPv6 IPアドレスを指定します。
next-hop4 - Next Hop IPv4アドレス。キーワードには、nexthop4というエイリアスがあります。
next-hop6 - Next Hop IPv6アドレス。キーワードには、nexthop6というエイリアスがあります。

BGPドメイン内のNext-hopルータのIP

bgpnext ip <ipaddr> - <ipaddr>にはBGPドメイン内のIPv4/IPv6 next-hopルータのIPを指定します。
bgp-next4 - BGPドメイン内のNext HopルータのIPv4アドレス。キーワードには、bgpnext4というエイリアスがあります。
bgp-next6 - BGPドメイン内のNext HopルータのIPv6アドレス。キーワードには、bgpnext6というエイリアスがあります。
bgpnext net

ルータIPのプリミティブ

router ip <ipaddr> - エクスポートソース(ルータまたはプローブ)のIPアドレスに従って、フローをフィルタします。

Flowソース名のプリミティブ

source "<sourcename>" - エクスポートソース(ルータまたはプローブ)の名前に従って、フローをフィルタします。ソースの名前は、オートコンプリート機能を使用して入力します。[ソース]ページに表示される名前だけがサポートされます。

FlowソースID

flow-source "<string>" - には、フローソースIDを指定します(オートコンプリート機能を使用)。キーワードには、 flowidentというエイリアスがあります。

送信元IDのプリミティブ

source-id [ <comp> ] <number> - 特定の送信元IDが指定されているフローをフィルタします(1つのエクスポートデバイスが、異なるエクスポートエンジンに複数の送信元IDを使用する可能性があります)。sFlowの場合にのみ、サポートされます。

インターフェースのプリミティブ

インターフェース

[in|out] interface <num> - インターフェースIDの入力または出力を選択します。[in|out]の省略は、INまたはOUTに相当します(INまたはOUTインターフェースを選択)。<num>は、SNMPインターフェース番号です。キーワードには、ifというエイリアスがあります。

インターフェース - 例

in if 3 - 入力インターフェース#3を選択します。

Flowソースネットワークインターフェース名

sourceport "<sourcename>":"<interfacename>" - ソース<sourcename>のネットワークインターフェース<interfacename>からエクスポートされたフローをフィルタします。ソースおよびインターフェースの名前を入力するには、オートコンプリート機能を使用します。[ソース]ページに表示される名前だけがサポートされます。

MACアドレスのプリミティブ

[<in|out src|dst>] mac <addr> - <addr>には、有効なMACを指定します。src、dst、in、およびoutはオプションであり、任意の順序で指定できます。<mac>は、CISCO v9によって定義されている方向指定子の任意の組み合わせを使用して、さらに指定できます: in src、in dst、out src、out dst。

MPLSラベルのプリミティブ

mpls<n>-label [<comp>] <number> - <n>には、MPLSラベル番号を1～10の範囲で指定します。正確に指定されたラベル<n>をフィルタします。
mpls-eos [<comp>] <number> - 特定の値<num>について、End of Stackラベルをフィルタします。
mpls<n>-stack [<comp>] <number> - <n>には、MPLSラベル番号を1～10の範囲で指定します。スタック内で指定されたラベル<n>をフィルタします。
mpls-exp<n> [<comp>] <number> - ラベル<n>と<bits>の試験用ビット(0～7の範囲)をフィルタします。

MPLS VPN Route Distinguisher

route-distinguisher-data [<comp>] <num> - <num>には、生のルート識別子を指定します。キーワードには、rdrawというエイリアスがあります。
rdasn [<comp>] <num>
rdval [<comp>] <num>
rd [<strcomp>] <string>
rdip [<comp>] <ipaddr>

TOSのプリミティブ

TOS

[src|dst] type-of-service [<comp>] <value> - Type of Service用です。ToS数値0～255とDSCP名ストリングの両方がサポートされます。キーワードには、tosというエイリアスがあります。

TOSの例

not tos "Best Effort & Default" - ベストエフォートの通信を除外します。
not tos 0 - 前回と同じ(0はベストエフォートを表す)。
tos “CS7” - tos 224と同じです

詳細については、https://en.wikipedia.org/wiki/Type_of_serviceをご覧ください。

NBAR2のプリミティブ

NBAR2アプリケーションタグ

application-id [<comp>] "<appname>"
application-id <AppEID>:<AppID>

<appname>には、NBAR2によって認識されたアプリケーションの名前または数値(0～255)を指定します。アプリケーション名は、オートコンプリート機能を使用して入力します。<AppEID>はClassification Engine ID、<AppID>はApplication IDです(RFC 6759およびNBAR2プロトコルパックで定義)。キーワードには、apptagというエイリアスがあります。

NBAR2 AppID

appid <value> - <value>には、数値(0～16777216)を指定します。
appeid <number>

DNSのプリミティブ

DNSフィルタ

有効なDNSフローのみを正しく処理するために、正しいDNSフィルタの前にキーワード「dns」を指定する必要があります(例: dns and dns-qrflag 0)。

DNS ID

dns-id [comp] <value> - <value>には、数値(0～65535)を指定します。キーワードには、dnsidというエイリアスがあります。

DNS問い合わせ数

dns-query-count [comp] <value> - <value>には、数値(0～65535)を指定します。キーワードには、dnsqcountおよびdns-qcountというエイリアスがあります。

DNS応答数

dns-answer-count [comp] <value> - <value>には、数値(0～65535)を指定します。キーワードには、dnsanswcountおよびdns-answcountというエイリアスがあります。

DNSオーソリティ数

dns-authority-count [comp] <value> - <value>には、数値(0～65535)を指定します。キーワードには、dnsauthcountおよびdns-authcountというエイリアスがあります。

DNS追加数

dns-additional-count [comp] <value> - <value>には、数値(0～65535)を指定します。キーワードには、dnsaddtcountおよびdns-addtcountというエイリアスがあります。

DNSフラグ

dns-flags [=] "<flagstring>" - <flagstring>は以下の形式で指定します。
- flagstring ::= ’"’ <flagstringexp> ’"’
- <flagstringexp> ::= <exp>
- <flagstringexp> ::= <exp-and>
- <flagstringexp> ::= <exp-or>
- <exp> ::= <flag> | <exp><flag>
- <exp-and> ::= <flag> | <exp-and> "&" <flag>
- <exp-or> ::= <flag> | <exp-or> "|" <flag>
- <flag> "AA" | "TC" | "RD" | "RA" | "AD" | "CD"
- <flag>には、以下の意味があります。

AA - Authoritative Answerフラグ

TC - Truncationフラグ

RD - Recursion Desired

RA - Recursion Available

AD - Authentic Data

CD - Checking Disabled

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

<exp>フィルタは、<exp>にリストされているすべてのフラグを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。
<exp-and>は<exp>に相当します。
<exp-or>フィルタは、<exp-or>に一覧表示されるフラグの少なくとも1つを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

dns-qrflag [comp] <value> - ここで、値「0」はDNSクエリ、「1」はDNS応答です。

DNS問い合わせ

dns-query-type [comp] <value> - <value>には、問い合わせタイプを指定します。キーワードには、dns-qtypeおよびdnsqtypeというエイリアスがあります。
dns-query-class [comp] <number> - <number>には、問い合わせクラスを指定します。キーワードには、dns-qclassおよびdnsqclassというエイリアスがあります。
dns-query-name [strcomp] "<string>" - <string>には、問い合わせ名を指定します。キーワードには、dns、dns-qname、およびdnsqnameというエイリアスがあります。
dns-query-name1 [strcomp] "<string>" - <string>には、問い合わせ名(第1レベルドメイン)を指定します。キーワードには、dns-qname1というエイリアスがあります。
dns-query-name2 [strcomp] "<string>" - <string>には、問い合わせ名(第1および第2レベルドメイン)を指定します。キーワードには、dns-qname2というエイリアスがあります。
dns-query-name3 [strcomp] "<string>" - <string>には、問い合わせ名(第1、第2、第3レベルドメイン)を指定します。キーワードには、dns-qname3というエイリアスがあります。

DNS応答

dns-response-name [strcomp] "<string>" - <string>には、問い合わせ応答名を指定します。キーワードには、dns-rnameおよびdnsrnameというエイリアスがあります。
dns-response-type [comp] <value> - <value>には、応答タイプを指定します。キーワードには、dns-rtypeおよびdnsrtypeというエイリアスがあります。
dns-response-class [comp] <value> - <value>には、応答クラスを指定します。キーワードには、dns-rclassおよびdnsrclassというエイリアスがあります。
dns-response-ttl [comp] <value> - <value>には、応答TTLを指定します。キーワードには、dns-rttlおよびdnsrttlというエイリアスがあります。
dns-response-info [<strcomp>] "<string>" - <string>には、応答データを指定します。キーワードには、dns-rdataおよびdnsrdataというエイリアスがあります。
dns-response-name1 "<string>" - <string>には、問い合わせ応答名(第1レベルドメイン)を指定します。キーワードには、dns-rname1というエイリアスがあります。
dns-response-name2 "<string>" - <string>には、問い合わせ応答名(第1および第2レベルドメイン)を指定します。キーワードには、dns-rname2というエイリアスがあります。
dns-response-name3 "<string>" - <string>には、問い合わせ応答名(第1、第2、第3レベルドメイン)を指定します。キーワードには、dns-rname3というエイリアスがあります。
dns-response-data1 "<string>" - <string>には、応答データ(第1レベルドメイン)を指定します。応答タイプCNAME、DNAME、NS、SOA、MX、SRVの場合のみです。キーワードには、dns-rdata1というエイリアスがあります。
dns-response-data2 "<string>" - <string>には、応答データ(第1および第2レベルドメイン)を指定します。応答タイプCNAME、DNAME、NS、SOA、MX、SRVの場合のみです。キーワードには、dns-rdata2というエイリアスがあります。
dns-response-data3 "<string>" - <string>には、応答データ(第1、第2、第3レベルドメイン)を指定します。応答タイプCNAME、DNAME、NS、SOA、MX、SRVの場合のみです。キーワードには、dns-rdata3というエイリアスがあります。

DNS - その他

dns-rcode [comp] <number or codestring> - <number>には、応答コードを指定します。codestringには、オートコンプリートの提案を使用します。
dns-opcode [comp] <number or codestring> - <number>には、オペレーションコードを指定します。codestringには、オートコンプリートの提案を使用します。
dns-qrflag [comp] <value> - <value>には、クエリ(0) / 応答(1)フラグを指定します。オートコンプリートの提案を使用します。

DHCPのプリミティブ

DHCP提供IPアドレス

dhcp-offered-ip <ip> - <ip>には、DHCPサーバがホストに提供したIPアドレスを指定します。キーワードには、dhcpoipおよびdhcp-offeredipというエイリアスがあります。

ホストのDHCP MACアドレス

dhcp-host-mac <macaddr> - <macaddr>には、ホストのMACアドレスを指定します。キーワードには、dhcphmacおよびdhcp-hostmacというエイリアスがあります。

DHCPメッセージ型

dhcp-type-message [comp] <number> - <number>には、RFC 2132、RFC 3203、RFC 4388、RFC 6926、draft-ietf-dhc-dhcpv4-active-leasequery-07の組み合わせを指定します。

1 - Discover

2 - Offer

3 - Request

4 - Decline

5 - ACK

6 - NAK

7 - Release

8 - Inform

9 - Force Renew

10 - Lease Query

11 - Lease Unassigned

12 - Lease Unknown

13 - Lease Active

14 - Lease Bulk Lease Query

15 - Lease Query Done

キーワードには、dhcp-typeおよびdhcptypeというエイリアスがあります。

DHCP IPアドレスリース時間

dhcp-lease-time [comp] <number> - <number>には、IPアドレスリース時間を指定します。指定する値の単位は秒です。キーワードには、dhcpltimeおよびdhcp-leasetimeというエイリアスがあります。

DHCPサーバIPアドレス

dhcp-server-ip <ip> - ここで、<ip>はDHCPサーバのIPアドレスです。キーワードには、dhcpsipおよびdhcp-servipというエイリアスがあります。

DHCPサーバドメイン名

dhcp-domain-name [<strcomp>] "<string>" - <string>には、DHCPサーバのドメイン名を指定します。キーワードには、dhcpdnameおよびdhcp-domnameというエイリアスがあります。

DHCPホスト名

dhcp-host-name [<strcomp>] "<octalstring>" - <octalstring>には、以下の組み合わせを指定します。

– <string>

– <octalval> - ここで、<octalval>は\&nnnという形式のストリング、nnnは0～255の範囲の8進数です。

キーワードには、dhcphnameおよびdhcp-hostnameというエイリアスがあります。

DHCP要求IPアドレス

dhcp-request-ip <ip> - <ip>には、要求されたIPアドレスを指定します。キーワードには、dhcpipreqおよびdhcp-ipreqというエイリアスがあります。

Sambaのプリミティブ

Sambaオペレーションコードバージョン1

smb1-cmd [<comp>] <number or smbopcode1> - <smbopcode1>には、Sambaオペレーションコードバージョン1を指定します。オートコンプリートの提案を使用します。

Sambaオペレーションコードバージョン2

smb2-cmd "<flagstring>" - <flagstring>は以下の形式で指定します。

– flagstring ::= ’"’ <flagstringexp> ’"’

– <flagstringexp> ::= <exp>

– <flagstringexp> ::= <exp-and>

– <flagstringexp> ::= <exp-or>

– <exp> ::= <flag> | <exp><flag>

– <exp-and> ::= <flag> | <exp-and> "&" <flag>

– <exp-or> ::= <flag> | <exp-or> "|" <flag>

– <flag> - "NE" | "SS" | "LO" | "TC" | "TD" | "CR" | "CL" | "FL" | "RE" | "WR" | "LC" | "IO" | "CA" | "EC" | "QD" | "CN" | "QI" | "SI" | OB" | "EN"

<flag>には、以下の意味があります。

NE - ネゴシエーション

SS - セッションセットアップ

LO - ログオフ

TC - ツリー接続

TD - ツリー切断

CR - 作成

CL - クローズ

FL - フラッシュ

RE - 読み取り

WR - 書き込み

LC - ロック

IO - Ioctl

CA - キャンセル

EC - エコー

QD - クエリディレクトリ

CN - 変更通知

QI - クエリ情報

SI - 設定情報

OB - Oplockブレーク

EN - 暗号化パケット(SMB3)

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

– <exp>フィルタは、<exp>にリストされているすべてのフラグを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

– <exp-and>は<exp>に相当します。

– <exp-or>フィルタは、<exp-or>に一覧表示されるフラグの少なくとも1つを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

smb2-scmd "<smbopcode2>"。指定されたフラグと完全に一致するフローだけが処理されます。

Sambaツリー構造

smb-tree [strcomp] "<string>" - <string>には、ツリー構造を指定します。キーワードには、smbtreeというエイリアスがあります。

Sambaファイル名

smb-file [strcomp] "string" - <string>にはファイル名を指定します。キーワードには、smbfileというエイリアスがあります。

Sambaファイルタイプ

smb-file-type [comp] <number> - ここで、数値「1」はディレクトリ、「2」はファイルです。キーワードには、smbfiletypeおよびsmb-filetypeというエイリアスがあります。

Sambaファイルオペレーションタイプ

smb-op [comp] <sambaoptype> - <sambaoptype>には、以下の組み合わせを指定します。

0 - 破棄

1 - 開く

2 - 作成

3 - 上書き

4 - 条件付きで開く(ファイルが存在する場合に開きます。存在しない場合は、ファイルを作成します)

5 - 条件付きで上書き(ファイルが存在する場合に上書きします。存在しない場合は、ファイルを作成します)

smb-op-int [comp] <number>

Samba削除フラグ

smb-del [comp] <value> - ここで、値「1」はファイルの削除、「0」は削除なしを示します。

Sambaエラーフラグ

smb-err [comp] <value> - ここで、値「1」はエラー、「0」はエラーなしを示します。

MAILのプリミティブ

SMTP helloコンテンツ

smtp-hello [<strcomp>] "<str>" - <str>はRFC 5321のとおりに指定します。キーワードには、smtp-heloおよびsmtpheloというエイリアスがあります。

SMTPの送信元

smtp-from [<strcomp>] "<str>" - <str>はRFC 5321のとおりに指定します。キーワードには、smtpfromというエイリアスがあります。

MAILユーザ名

mail-user [<strcomp>] "<str>"。キーワードには、mailuserというエイリアスがあります。

MAILの失敗した認証カウンタ

mail-failed-authentication [<comp>] <number>。キーワードには、mailfailedauthおよびmail-fail-authというエイリアスがあります。

MAIL TLSフラグ

mail-tls [<comp>] <number> - <number>はRFC 3207のとおりに指定します。キーワードには、mailtlsというエイリアスがあります。

SIPのプリミティブ

SIPコールID

sip-call-id [<strcomp>] "<str>"。キーワードには、scidおよびsip-callidというエイリアスがあります。

SIP発呼側

sip-calling-party [<strcomp>] "<str>"。キーワードには、scingおよびsip-callingというエイリアスがあります。

SIP被呼側

sip-called-party [<strcomp>] "<str>"。キーワードには、scledおよびsip-calledというエイリアスがあります。

SIP VIA

sip-via [<strcomp>] "<str>"。キーワードには、sviaというエイリアスがあります。

SIP Ringing時間

sip-ring-time [<comp>] <number>。キーワードには、srtおよびsip-ringtimeというエイリアスがあります。

SIP OK時間

sip-ok-time [<comp>] <number>。キーワードには、sokおよびsip-oktimeというエイリアスがあります。

SIP Bye時間

sip-bye-time [<comp>] <number>。キーワードには、sbyeおよびsip-byetimeというエイリアスがあります。

SIP RTP IP (IPv4/IPv6)

sip-ip [<comp>] <ipv4>。
sip-ip4 [<comp>] <ipv4>。キーワードには、srip4というエイリアスがあります。
sip-ip6 [<comp>] <ipv6>。キーワードには、srip6というエイリアスがあります。

SIP RTP音声

sip-audio [<comp>] <number>。キーワードには、saudというエイリアスがあります。

SIP RTPビデオ

sip-video [<comp>] <number>。キーワードには、svidというエイリアスがあります。

SIP統計

sip-stats [<comp>] <number>。キーワードには、sstsというエイリアスがあります。

VOIPパケットタイプ

voip-packet-type [<comp>] <number>

VOIPパケットタイプリスト

0 - 非VOIPデータ

1 - SIPサービス要求

2 - サービス要求に対するSIP応答

3 - SIPコール要求

4 - コール要求に対するSIP応答

8 - RTP音声データ

16 - RTCP制御および統計データ

キーワードには、voip-pkttypeおよびsptというエイリアスがあります。

RTCPのプリミティブ

RTCPパケットカウント

rtcp-packets [<comp>] <number>。キーワードには、rpktおよびrtcp-pktsというエイリアスがあります。

RTCPオクテットカウント

rtcp-octets [<comp>] <number>。キーワードには、roctというエイリアスがあります。

RTPジッター

rtp-jitter [<comp>] <number>。キーワードには、rjitというエイリアスがあります。

RTPタイムスタンプユニット内でRTPジッターが測定されます。RTPタイムスタンプユニットはサンプリングレートに基づいています。たとえば、8000 Hzのサンプリングレート(PCMA)の場合は、1つのユニットが1秒の8000分の1に等しくなります。詳細については、「RFC 3550 - interarrival jitter」を参照してください。

クライアント側でのRTCPパケット消失

rtcp-lost [<comp>] <number>。キーワードには、rlstというエイリアスがあります。

RTPコーデックタイプ

rtp-codec [<comp>] <number>。キーワードには、rcodというエイリアスがあります。

RTCPソースカウント

rtcp-sources [<comp>] <number>。キーワードには、rscというエイリアスがあります。

レイテンシ

client-latency [<comp>] <number>。キーワードには、client latencyというエイリアスがあります。
server-latency [<comp>] <number>。キーワードには、server latencyというエイリアスがあります。
app-latency [<comp>] <number>。キーワードには、app latencyというエイリアスがあります。

MSSQLのプリミティブ

MSSQL TDS

tds-request-type [<comp>] <number> - TDS要求タイプ。キーワードには、tdsreqおよびtds-reqというエイリアスがあります。
tds-protocol-version [<comp>] <number> - TDSプロトコルバージョン(<number>は32ビットの16進数(例: 0x71000001)でなければなりません)。キーワードには、tdsverおよびtds-verというエイリアスがあります。
tds-client-version [<comp>] <version> - 「未割り当て.未割り当て.未割り当て」の形式でのTDSクライアントバージョン(<version>)。キーワードには、tdscverおよびtds-cverというエイリアスがあります。
tds-server-version [<comp>] <version> - TDSサーババージョン。キーワードには、tdssverおよびtds-sverというエイリアスがあります。
tds-database-context [<strcomp>] "<string>" - TDSデータベースコンテキスト。キーワードには、tdsdbおよびtds-dbというエイリアスがあります。
tds-user [<strcomp>] "<string>" - TDSユーザ名。キーワードには、tdsuserというエイリアスがあります。
tds-host [<strcomp>] "<string>" - TDSホスト名。キーワードには、tdshostというエイリアスがあります。

パラメータを指定せずにフィルタを使用して、有効な値とともに要素を選択できます。

MSSQL TDS試験段階

tds-response-type [<comp>] <number> - TDS応答タイプ。キーワードには、tdsresおよびtds-resというエイリアスがあります。
tds-token [<comp>] <number> - TDS応答の最初のトークン。キーワードには、tdstokenというエイリアスがあります。
tds-transaction-manager-request-type [<comp>] <number> - TDSトランザクションマネージャの要求タイプ。キーワードには、tdstmrおよびtds-tmrというエイリアスがあります。
tds-error-code [<comp>] <number> - TDSエラーコード。キーワードには、tdserrおよびtds-errというエイリアスがあります。
tds-enviroment-change-type [<comp>] <number> - TDS環境変更タイプ。キーワードには、tdsenvchおよびtds-envchというエイリアスがあります。
tds-sql [<strcomp>] "<string>" - TDS SQLクエリ(大文字と小文字を区別するストリングを検索)。キーワードには、tdssqlおよびtds-isqlというエイリアスがあります。
tds-rpc [<strcomp>] "<string>" - TDSリモートプロシージャ名。キーワードには、tdsrpcというエイリアスがあります。
tds-server-name [<strcomp>] "<string>" - TDSサーバ名。キーワードには、tdsservnameおよびtds-servnameというエイリアスがあります。

パラメータを指定せずにフィルタを使用して、有効な値とともに要素を選択できます。

MySQLのプリミティブ

MySQLプロトコルのバージョン

mysql-ver [<comp>] <number>

MySQLサーバのバージョン

mysql-server-version [<strcomp>] "<str>"。キーワードには、mysql-sverというエイリアスがあります。

MySQLユーザ認証ステータス

mysql-auth-status [<comp>] "<authstr or authnum>"。キーワードには、mysql-authsというエイリアスがあります。

<authnum> - <authstr>には、認証成功に関する情報を指定します。

0 - まだ認証されていません(何らかの理由)

1 - ユーザが認証されました

2 - 認証情報が拒否されました

3 - 事前認証

4 - 実行中

MySQLユーザ名

mysql-user [<strcomp>] "<str>"

MySQL認証メソッド

mysql-auth-method [<strcomp>] "<string>"。キーワードには、mysql-authmというエイリアスがあります。

MySQLデータベース

mysql-db [<strcomp>] "<string>"

MySQLサーバとクライアントの機能

mysql-server-capabilities [=] "<flagstring>"。キーワードには、mysql-cpbltsというエイリアスがあります。
mysql-client-capabilities [=] "<flagstring>"。キーワードには、mysql-cpbltcというエイリアスがあります。

<flagstring>には、以下の形式があります。

– flagstring ::= ’"’ <flagstringexp> ’"’

– <flagstringexp> ::= <exp>

– <flagstringexp> ::= <exp-and>

– <flagstringexp> ::= <exp-or>

– <exp> ::= <flag> | <exp><flag>

– <exp-and> ::= <flag> | <exp-and> "&" <flag>

– <exp-or> ::= <flag> | <exp-or> "|" <flag>

– <flag> - "RO" | "VC" | "MO" | "NE" | "TR" | "HE" | "LD" | "AB" | "AP" | "MP" | "MS" | "MQ" | "NP" | "RD" | "TS" | "IP" | "CY" | "IE" | "41" | "IS" | "LF" | "OD" | "CS" | "NS" | "HD" | "LG" | "RF" | "LP"

<flag>には、以下の意味があります。

RO - 記憶オプション

VC - SSL認証サーバ証明書

MO - 廃止(旧式のクライアント進捗フラグ)

NE - EOFパケットなし(非推奨EOF)

TR - セッショントラッキング

HE - 期限切れパスワードの処理

LD - 長さエンコードクライアント認証データ

AB - 接続属性

AP - 認証プラグイン(プラガブル認証)

MP - プリペアドステートメントでの複数の結果セット

MS - 複数の結果セット

MQ - 複数のクエリ(ステートメント)

NP - ネイティブ(セキュアな)パスワード認証

RD - 予約済み(旧式のクライアントプロトコル4.1フラグ)

TS - トランザクション

IP - SIGPIPEを無視

CY - 暗号化

IE - 対話型セッション

41 - クライアントプロトコル4.1

IS - スペースを無視

LF - ローカルファイル

OD - ODBCサポート

CS - 圧縮

NS - 「schema.table.column」の式なし

HD - データベースとハンドシェイク(接続)

LG - 長いフラグ

RF - 見つかった行

LP - 長いパスワード

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

– <exp-and>は<exp>に相当します。

MySQLエラーコード

mysql-error-code [<comp>] <number>。キーワードには、mysql-errというエイリアスがあります。

MySQLコマンド

mysql-cmd [<comp>] <cmdnum>
mysql-cmd "<cmdstr>"
<cmdnum> - <cmdstr>には、以下の組み合わせを指定します。

0 - SLEEP

1 - QUIT

2 - INIT_DB

3 - QUERY

4 - FIELD_LIST

5 - CREATE_DB

6 - DROP_DB

7 - REFRESH

8 - SHUTDOWN

9 - STATISTICS

10 - PROCESS_INFO

11 - CONNECT

12 - PROCESS_KILL

13 - DEBUG

14 - PING

15 - TIME

16 - DELAYED_INSERT

17 - CHANGE_USER

18 - BINLOG_DUMP

19 - TABLE_DUMP

20 - CONNECT_OUT

21 - REGISTER_SLAVE

22 - STMT_PREPARE

23 - STMT_EXECUTE

24 - STMT_SEND_LONG_DATA

25 - STMT_CLOSE

26 - STMT_RESET

27 - SET_OPTION

28 - STMT_FETCH

29 - DAEMON

30 - BINLOG_DUMP_GTID

31 - RESET_CONNECTION

250 - STMT_BULK_EXECUTE

254 - MULTI

MySQL SQLクエリ

mysql-sql-query [<strcomp>] "<str>"。キーワードには、mysql-sqlというエイリアスがあります。

PostgreSQLのプリミティブ

PostgreSQLプロトコルのバージョン

pgsql-ver "<verstr or number>" - ここで、<verstr>には「<major>.<minor>」の形式の文字列または任意のプレフィックスを指定する必要があります。ここで、<major>および<minor>は、数値または「*」の文字です。「*」文字はワイルドカードとして機能します(つまり、任意の値に一致)。

PostgreSQLサーバのバージョン

pgsql-server-version "<sverstr>" - ここで、<sverstr>には「<major>.<minor>.<bugfix>」(最大9.6のサーババージョン)または「<major>.<bugfix>」(サーババージョン10以降)の形式の文字列、あるいは、任意のプレフィックスを指定する必要があります。ここで、<major>、<minor>、および<bugfix>は数値または「*」文字です。「*」文字はワイルドカードとして機能します(つまり、「存在しない」を含む、任意の値に一致することを意味します)。キーワードには、pgsql-sverというエイリアスがあります。

補足:

形式「*.1」の「<sverstr>」は、メジャーバージョン9以下のサーバでマイナーバージョンが1の場合のすべてのサーババージョン、メジャーバージョン10以上のサーバでバグフィックスバージョンが1の場合のすべてのサーババージョンに一致します。

PostgreSQL認証メソッド

pgsql-auth-method [<comp>] "<authnum or authstr>"。キーワードには、pgsql-authmというエイリアスがあります。
ここで、<authstr>および<authnum>は、以下に示すいずれかの認証メソッドの指定に使用します。

0 - NO AUTHENTICATION

1 - KERBEROS V4

2 - KERBEROS V5

3 - CLEAR PASSWORD

4 - CRYPT PASSWORD

5 - MD5 PASSWORD

6 - SCM CREDENTIALS

7 - GSS

8 - UNKNOWN

9 - SSPI

10 - SASL

PostgreSQLユーザ名

pgsql-user [<strcomp>] "<str>"

PostgreSQLデータベース

pgsql-db [<strcomp>] "<str>"

PostgreSQL SQLSTATEエラーコード

pgsql-error-code [<strcomp>] "<sqlstate>" - ここで、<sqlstate>には、SQLSTATE標準に従い、正確に5文字の文字列を指定する必要があります。ワイルドカードとして機能(つまり、任意の文字に一致することを意味する)する「*」文字の代わりに、任意の文字を使用できます。キーワードには、pgsql-errcというエイリアスがあります。

補足

"pgsql-error-code "*****"は、任意の有効なエラーコードに一致します。

PostgreSQLエラーの重大度

pgsql-error-severity [<comp>] "<errsstr or ersnum>"。キーワードには、pgsql-errsというエイリアスがあります。
ここで、<errsstr>および<errsnum>は、以下に示すいずれかのエラー重大度の指定に使用します。

1 - PANIC

2 - FATAL

3 - ERROR

4 - WARNING

5 - NOTICE

6 - INFO

7 -- LOG

8 - DEBUG

254 - UNRECOGNIZED

255 - UNKNOWN

PostgreSQL SQLクエリ

pgsql-sql-query [<strcomp>] "<str>"。キーワードには、pgsql-sqlというエイリアスがあります。

PostgreSQLクライアントのメッセージタイプ

pgsql-client-message-type [=] "<flagstring>" - <flagstring>は以下の形式で指定します。
- flagstring ::= ’"’ <flagstringexp> ’"’
- <flagstringexp> ::= <exp>
- <flagstringexp> ::= <exp-and>
- <flagstringexp> ::= <exp-or>
- <exp> ::= <flag> | <exp><flag>
- <exp-and> ::= <flag> | <exp-and> "&" <flag>
- <exp-or> ::= <flag> | <exp-or> "|" <flag>
- <flag> - "?" | "+" | "
  quot; | "#" | "B" | "C" | "D" | "E" | "H" | "F" | "P" | "p" | "Q" | "S" | "X" |"r" | "h" | "d" | "c" | "f"

<flag>には、以下の意味があります。

? - 不明なメッセージ

+ - スタートアップメッセージ

$ - SSL要求

# - キャンセル要求

B - バインド

C - クローズ

D - 記述

E - 実行

H - フラッシュ

F - 関数呼び出し

P - 解析

p - パスワードメッセージ

Q - クエリ

S - 同期

X - 終了

r - スタンバイステータス更新

h - ホットスタンバイフィードバック

d - データのコピー

c - コピー完了

f - コピー失敗

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

<exp>フィルタは、<exp>にリストされているすべてのフラグを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。
<exp-and>は<exp>に相当します。
<exp-or>フィルタは、<exp-or>に一覧表示されるフラグの少なくとも1つを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

キーワードには、pgsql-msgcというエイリアスがあります。

PostgreSQLサーバのメッセージタイプ

pgsql-server-message-type [=] "<flagstring>" - <flagstring>は以下の形式で指定します。
- flagstring ::= ’"’ <flagstringexp> ’"’
- <flagstringexp> ::= <exp>
- <flagstringexp> ::= <exp-and>
- <flagstringexp> ::= <exp-or>
- <exp> ::= <flag> | <exp><flag>
- <exp-and> ::= <flag> | <exp-and> "&" <flag>
- <exp-or> ::= <flag> | <exp-or> "|" <flag>
- <flag> - "?" | "R" | "K" | "2" | "3" | "C" | "G" | "H" | "W" | "D" | "I" | "E" | "V" | "n" | "N" |"A" | "t" | "S" | "1" | "s" | "Z" | "T" | "w" | "k" | "
  quot; | "%" | "d" | "c"

<flag>には、以下の意味があります。

? - 不明なメッセージ

R - 認証

K - バックエンドキーデータ

2 - バインド完了

3 - クローズ完了

C - コマンド完了

G - in応答のコピー

H - out応答のコピー

W - 両方の応答のコピー

D - データ行

I - クエリ応答の削除

E - エラー応答

V - 関数呼び出し応答

n - データなし

N - 通知応答

A - 通知応答

t - パラメータの説明

S - パラメータのステータス

1 - 解析完了

s - ポータル一時停止

Z - クエリ可

T - 行の説明

w - Xlogデータ

k - プライマリキープアライブ

$ - SSL受諾

% - SSL拒否

d - データのコピー

c - コピー完了

<exp>、<exp-and>、<exp-or>には、以下の意味があります。

<exp>フィルタは、<exp>にリストされているすべてのフラグを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。
<exp-and>は<exp>に相当します。
<exp-or>フィルタは、<exp-or>に一覧表示されるフラグの少なくとも1つを含むフローを選択します。これらのフラグのみを含めるには、演算子「=」を使用します。

キーワードには、pgsql-msgsというエイリアスがあります。

RADIUSのプリミティブ

RADIUSユーザ名

radius-login [strcomp] "<string>"。キーワードには、radiusloginというエイリアスがあります。

RADIUS Calling-Station-ID

radius-calling-station-id [strcomp] "<string>"。キーワードには、radiuscallingstationidというエイリアスがあります。

RADIUS Called-Station-ID

radius-called-station-id [strcomp] "<string>"。キーワードには、radiuscalledstationidというエイリアスがあります。

RADIUS NAS IPアドレス

radius-nas-address <ipaddr>。キーワードには、radius-nat-addressおよびradiusnataddressというエイリアスがあります。

RADIUS NATポート

radius-port-start [comp] <number>。キーワードには、radiusportstartというエイリアスがあります。
radius-port-end [comp] <number>。キーワードには、radiusportendというエイリアスがあります。

TLSのプリミティブ

TLSコンテンツタイプ

tls-content-type [=] "<flagtokens>" - ここで<flagtokens>は、任意のフラグを表すトークンのリストです。以下に、TLSコンテンツタイプの有効なフラグを示します。
CCS - コンテンツタイプCCS
ALERT - コンテンツタイプALERT
HS - コンテンツタイプHANDSHAKE
DATA - コンテンツタイプAPP DATA

<flagtokens>内のトークンは、「&」(指定したフラグをすべて設定)か「|」(指定したフラグのうち1つ以上設定)のいずれかで、接続できます。

キーワードには、tls-contおよびtlscontというエイリアスがあります。

TLSハンドシェイクタイプ

tls-handshake-type-flags [=] "<flagtokens>" - ここで<flagtokens>は、任意のフラグを表すトークンのリストです。以下に、TLSハンドシェイクタイプの有効なフラグを示します。
HRQ - Hello request
CH - Client Hello
SH - Server Hello
HVER - Hello Verify Request
NST - New Session Ticket
EED - End of Early Data
HRET - Hello Retry Request
ENC - Encrypted Extensions
CER - Certificate
KSRV - Server Key Exchange
CRQ - Certificate Request
SHD - Server Hello Done
CVER - Certificate Verify
KCL - Client Key Exchange
FIN - Finished
CURL - Certificate URL
CST - Certificate Status
SUPL - Supplemental Data
KUPD - Key Update
MSGH - Message Hash
UNKN - Unknown

<flagtokens>内のトークンは、「&」(指定したフラグをすべて設定)か「|」(指定したフラグのうち1つ以上設定)のいずれかで、接続できます。

キーワードには、tls-hshkというエイリアスがあります。

TLSセットアップ時間

tls-setup [comp] <time-milli>

TLSサーバのバージョン

tls-server-version [comp] "<string or number>"

引数は、TLSバージョンの数値表現またはテキスト名のいずれかになります。数値は、16進数(先頭に「0x」を付ける)または10進数で指定します。サポートされているTLSバージョンは、「SSL 2.0」、「SSL 3.0」、「TLS 1.0」、「TLS 1.1」、「TLS 1.2」です。16進数値は、それぞれの順序で0x002、0x0300、0x0301、0x0302、0x0303です。

キーワードには、tls-sverおよびtlssverというエイリアスがあります。

TLSサーバのランダムID

tls-server-random-id "<bytes>" - ここで、<bytes>は、ランダムIDバイトシーケンスの一部です(16進数字で入力)。1つの16進数字が2分の1バイト(4ビット)に相当します。たとえば、tls-srnd "90a0b0"というフィルタはすべてのフローに一致します。このフローで、TLSサーバのランダムIDには、3バイト0x90 0xa0 0xb0のシーケンスまたは4バイト0x*9 0x0a 0x0b 0x0*のシーケンスが含まれます。ここで、「*」は2分の1バイトです。キーワードには、tls-srndおよびtlssrndというエイリアスがあります。

TLSサーバのセッションID

tls-server-session-id [comp] "<bytes>" - ここで、<bytes>は、セッションIDバイトシーケンスの一部です(16進数字で入力)。1つの16進数字が2分の1バイト(4ビット)に相当します。たとえば、tls-ssid "90a0b0"というフィルタはすべてのフローに一致します。このフローで、TLSサーバのセッションIDには、3バイト0x90 0xa0 0xb0のシーケンスまたは4バイト0x*9 0x0a 0x0b 0x0*のシーケンスが含まれます。ここで、「*」は2分の1バイトです。キーワードには、tls-ssidおよびtlsssidというエイリアスがあります。

TLS暗号スイート

tls-cipher-suite [comp] "<number or string>"。キーワードには、tls-ciphおよびtlsciphというエイリアスがあります。

TLSアプリケーション層プロトコルのネゴシエーション

tls-alpn [strcomp] "<string>"。キーワードには、tlsalpnというエイリアスがあります。

TLSサーバ名表示

tls-server-name-indication [strcomp] "<string>"。キーワードには、tls-sniおよびtlssniというエイリアスがあります。

TLSサーバ名の長さ

tls-server-name-indication-len [comp] <number>。キーワードには、tls-sni-lenおよびtls-snlenというエイリアスがあります。

TLSサーバの圧縮メソッド

tls-server-compression-method [comp] <number or method>。キーワードには、tls-scmおよびtlsscmというエイリアスがあります。

<number>および<method>には、以下のいずれかが入ります。

0 - NULL
1 - DEFLATE
64 - LZS

キーワードには、tls-scmおよびtlsscmというエイリアスがあります。

TLSクライアントのバージョン

tls-client-version [comp] "<string or number>"。キーワードには、tls-cverおよびtlscverというエイリアスがあります。

引数は、TLSバージョンの数値表現またはテキスト名のいずれかになります。サポートされているTLSバージョンは、以下のとおりです。

2 - SSL 2.0
256 - DTLS 1.0 (OpenSSL pre 0.9.8f)
768 - SSL 3.0
769 - TLS 1.0
770 - TLS 1.1
771 - TLS 1.2
772 - TLS 1.3
32526 - TLS 1.3 (draft 14)
32527 - TLS 1.3 (draft 15)
32528 - TLS 1.3 (draft 16)
32529 - TLS 1.3 (draft 17)
32530 - TLS 1.3 (draft 18)
32531 - TLS 1.3 (draft 19)
32532 - TLS 1.3 (draft 20)
32533 - TLS 1.3 (draft 21)
32534 - TLS 1.3 (draft 22)
32535 - TLS 1.3 (draft 23)
32536 - TLS 1.3 (draft 24)
32537 - TLS 1.3 (draft 25)
32538 - TLS 1.3 (draft 26)
32539 - TLS 1.3 (draft 27)
32540 - TLS 1.3 (draft 28)
2570 - GREASE#0x0A0A
6682 - GREASE#0x1A1A
10794 - GREASE#0x2A2A
14906 - GREASE#0x3A3A
19018 - GREASE#0x4A4A
23130 - GREASE#0x5A5A
27242 - GREASE#0x6A6A
31354 - GREASE#0x7A7A
35466 - GREASE#0x8A8A
39578 - GREASE#0x9A9A
43690 - GREASE#0xAAAA
47802 - GREASE#0xBABA
51914 - GREASE#0xCACA
56026 - GREASE#0xDADA
60138 - GREASE#0xEAEA
64250 - GREASE#0xFAFA
64279 - TLS 1.3 (Facebook draft 23)
64282 - TLS 1.3 (Facebook draft 26)
65279 - DTLS 1.0
65277 - DTLS 1.2

キーワードには、tls-cverおよびtlscverというエイリアスがあります。

TLS暗号スイートと楕円曲線

tls-cipher-suites [=] "<tokens>" - 正確な順序の一致。オートコンプリートの提案を使用します。キーワードには、tls-ciphs、tls-ciphseおよびtlsciphsというエイリアスがあります。
tls-elliptic-curves [=] "<tokens>" - 正確な順序の一致。オートコンプリートの提案を使用します。キーワードには、tls-ec、tls-eceおよびtlsecというエイリアスがあります。

<tokens>は、暗号スイート/楕円曲線のテキスト名またはその16進表現のいずれかをカンマで区切ったリストです。組み合わせは許可されていないため、リスト内のすべての値が16進数またはテキストとして扱われます。フィルタは、すべての値がレコード内にある場合にのみ一致します。正確な順序フィルタは、指定した順序でレコードアレイ内に値のシーケンスがある場合にのみ一致します。正確なフィルタ(オプションの等号記号を使用)は、レコードアレイ内に指定した以外の値がない場合にのみ一致します。1つの暗号スイートの16進表現には、0xAAAAの形式があります。暗号スイート/楕円曲線は2バイトの数字で表されるため、最大桁数は4になります。テキストトークンに、入力規則はありません。部分的なテキスト名も使用できます(サブストリング比較メソッドを使用)。

TLSクライアントランダムIDとクライアントセッションID

tls-client-random-id [=] "<bytes>"。キーワードには、tls-crndおよびtlscrndというエイリアスがあります。
tls-client-session-id [=] "<bytes>"。キーワードには、tls-csidおよびtlscsidというエイリアスがあります。

<bytes>は、ランダムID/セッションIDバイトシーケンスの一部です(16進数字で入力)。1つの16進数字が2分の1バイト(4ビット)に相当します。

TLS拡張

tls-ext [=] "<value>" - 拡張タイプ。値には、オートコンプリートの提案を使用します。キーワードには、tls-exteおよびtlsextというエイリアスがあります。
tls-exl [=] "<tokens>" - 拡張の長さ。キーワードには、tls-exleおよびtlsexlというエイリアスがあります。

<tokens>は、10進値のカンマ区切りリストです。フィルタは、すべての値がレコード内にある場合にのみ一致します。正確な順序フィルタは、指定した順序でレコードアレイ内に値のシーケンスがある場合にのみ一致します。正確なフィルタ(オプションの等号記号を使用)は、レコードアレイ内に指定した以外の値がない場合にのみ一致します。拡張タイプと拡張の長さは、2バイトの数で表現されます。したがって、最大許容値は65535です。

TLS楕円曲線のポイントフォーマット

tls-ec-point-formats [=] "<tokens>"。キーワードには、tls-ecpfおよびtlsecpfというエイリアスがあります。

<tokens>は、10進値またはテキスト値のカンマ区切りリストです。許可されている10進数の最大値は254です。テキスト値の場合、指定できるのはフルテキスト名だけです。数値とテキストトークンの組み合わせが可能です。認識される名前は「uncompressed」(0)、「ansiX962_compressed_prime」(1)、「ansiX962_compressed_char2」(2)です。

TLSクライアント鍵の長さ

tls-client-key-length [comp] <number>。キーワードには、tls-cklenというエイリアスがあります。

TLS証明書

tls-certificate-issuer-common-name [strcomp] "<string>" - 証明書発行者のコモンネーム。キーワードには、tls-icnおよびtlsicnというエイリアスがあります。
tls-subject-common-name [strcomp] "<string>" - サブジェクトのコモンネーム。キーワードには、tls-scnおよびtlsscnというエイリアスがあります。
tls-subject-organizaion-name [strcomp] "<string>" - サブジェクトの組織名。比較は大文字と小文字を区別しません。キーワードには、tls-sonおよびtlssonというエイリアスがあります。
tls-valid-from [comp] <timestamp or date> - 証明書有効期間の開始日時。キーワードには、tls-vfromおよびtlsvfromというエイリアスがあります。
tls-valid-to [comp] <timestamp or date> - 証明書有効期間の終了日時<date>は、「YYYY-MM-DD HH:MM:SS」形式でのテキストによる日付/時間の指定です。<timestamp>は、エポック以降の秒数で表現される日付/時間です。特殊な値「now」も受け入れられ、現在時刻として解釈されます。
tls-signature-algorithm [=] "<algorithm name>" - 署名アルゴリズム。オートコンプリートの提案を使用します。キーワードには、tls-salgおよびtlssalgというエイリアスがあります。
tls-public-key-algorithm [=] "<algorithm name>" - 公開鍵アルゴリズム。オートコンプリートの提案を使用します。キーワードには、tls-pkalgおよびtlspkalgというエイリアスがあります。
tls-public-key-length [comp] <number> - 公開鍵長さ。キーワードには、tls-pklenおよびtlspklenというエイリアスがあります。
tls-certificate-serial-number "<bytes>" - TLS証明書のシリアル番号。<bytes>は、TLS証明書シリアル番号の一部です(16進数字で入力)。1つの16進数字が2分の1バイト(4ビット)に相当します。キーワードには、tls-snumおよびtlssnumというエイリアスがあります。
tls-certificate-subject-alternate-names [strcomp] "<string>" - TLS証明書のサブジェクト代替名。キーワードには、tls-sanおよびtlssanというエイリアスがあります。

TLS JA3フィンガープリント

tls-ja3 [=] "<bytes>" <bytes>は、JA3フィンガープリントバイトシーケンスの一部です(16進数字で入力)。1つの16進数字が2分の1バイト(4ビット)に相当します。キーワードには、tlsja3というエイリアスがあります。

拡張ARP

arp-hardware-type [comp] <number>。キーワードには、arp-hrdおよびarp_hrdというエイリアスがあります。
arp-operation-code [comp] <number>。キーワードには、arp-opおよびarp_opというエイリアスがあります。

VxLANのプリミティブ

VxLAN VNI

vxlan-vni [comp] <number>。キーワードには、vxlanvniというエイリアスがあります。

IEC104

iec104-packet-length [comp] <number> - IEC104パケット長。キーワードには、iec104-pktlenおよびiec104pktlenというエイリアスがあります。
iec104-frame-format [comp] "<fmtstr or number>" - IEC104フレームフォーマット。キーワードには、iec104-fmtおよびiec104fmtというエイリアスがあります。<fmtstr>には、以下のいずれかの文字を指定します。
- I - I-frame
- S - S-frame
- U - U-frame
iec104-asdu-type [comp] <number or string> - IEC104 ASDUタイプ。オートコンプリートの提案を使用します。キーワードには、iec104asdutypeというエイリアスがあります。
iec104-asdu-object-count [comp] <number> - IEC104 ASDUオブジェクトカウント。キーワードには、iec104-asdu-objcountおよびiec104asduobjcountというエイリアスがあります。
iec104-asdu-cause-of-transmission [comp] <number or string> - IEC104 ASDU転送理由。オートコンプリートの提案を使用します。キーワードには、iec104-asdu-cotおよびiec104asduscotというエイリアスがあります。
iec104-asdu-originator [comp] <number> - IEC104 ASDU発信者アドレス。キーワードには、iec104-asdu-orgおよびiec104asduorgというエイリアスがあります。
iec104-asdu-address [comp] <number> - IEC104共通ASDUアドレス。キーワードには、iec104-asdu-addrおよびiec104asduaddrというエイリアスがあります。

CoAP

coap-version [comp] <number>。キーワードには、coap-verというエイリアスがあります。
coap-message-id [comp] <number>。キーワードには、coap-midというエイリアスがあります。
coap-code [comp] "<value>" - - <value>には、数字またはオートコンプリートにより提案された文字列を指定します。
coap-option-count [comp] <number>。キーワードには、coap-opcountというエイリアスがあります。
coap-type [comp] "<str>" - <str>には、以下のいずれかが入ります。
- CNF - Confirmableメッセージ
- NCNF - Nonconfirmableメッセージ
- ACK - Acknowledge
- RST - Reset
coap-accept [comp] <number>
coap-content-format [comp] <number>。キーワードには、coap-contentfmtというエイリアスがあります。
coap-token [strcomp] "<str>" - バイトストリームの16進表現(最大長16文字)。例: coap-token = "b38a4e20"
coap-uri-path [strcomp] "<str>"。キーワードには、coap-uripathというエイリアスがあります。
coap-uri-query [strcomp] "<str>"。キーワードには、coap-uriqueryというエイリアスがあります。
coap-uri-host [strcomp] "<str>"。キーワードには、coap-urihostというエイリアスがあります。

GOOSE

goose-application-id [comp] <number>。キーワードには、goose-appidおよびgooseappidというエイリアスがあります。
goose-control-block [strcomp] "<str>"。キーワードには、goose-cbrefおよびgoosecbrefというエイリアスがあります。
goose-data-set [strcomp] "<str>"。キーワードには、goose-datasetおよびgoosedatasetというエイリアスがあります。
goose-id [strcomp] "<str>"。キーワードには、goosegoidというエイリアスがあります。
goose-status-number [comp] <number>。キーワードには、goose-stnumおよびgoosestnumというエイリアスがあります。

MMS

mms-type [comp] <number> - mmstypeというエイリアスがあり、<number>には、以下のいずれかが入ります。
- 0 - confirmed-Request
- 1 - confirmed-Response
- 2 - confirmed-Error
- 3 - unconfirmed
- 4 - reject
- 5 - cancel-Request
- 6 - cancel-Response
- 7 - cancel-Error
- 8 - initiate-Request
- 9 - initiate-Response
- 10 - initiate-Error
- 11 - conclude-Request
- 12 - conclude-Response
- 13 - conclude-Error

mms-confirmed-service-request [comp] <number>。キーワードには、mms-conf-service-reqおよびmmsconfservicereqというエイリアスがあります。
mms-conf-service-response [comp] <number> - mms-conf-service-respおよびmmsconfservicerespというエイリアスがあります。mms-conf-service-requsetおよびmms-conf-service-responseの<number>には、以下のいずれかが入ります。
- 0 - status
- 1 - getNameList
- 2 - identify
- 3 - rename
- 4 - read
- 5 - write
- 6 - getVariableAccessAttributes
- 7 - defineNamedVariable
- 8 - defineScatteredAccess
- 9 - getScatteredAccessAttributes
- 10 - deleteVariableAccess
- 11 - defineNamedVariableList
- 12 - getNamedVariableListAttributes
- 13 - deleteNamedVariableList
- 14 - defineNamedType
- 15 - getNamedTypeAttributes
- 16 - deleteNamedType
- 17 - input
- 18 - output
- 19 - takeControl
- 20 - relinquishControl
- 21 - defineSemaphore
- 22 - deleteSemaphore
- 23 - reportSemaphoreStatus
- 24 - reportPoolSemaphoreStatus
- 25 - reportSemaphoreEntryStatus
- 26 - initiateDownloadSequence
- 27 - downloadSegment
- 28 - terminateDownloadSequence
- 29 - initiateUploadSequence
- 30 - uploadSegment
- 31 - terminateUploadSequence
- 32 - requestDomainDownload
- 33 - requestDomainUpload
- 34 - loadDomainContent
- 35 - storeDomainContent
- 36 - deleteDomain
- 37 - getDomainAttributes
- 38 - createProgramInvocation
- 39 - deleteProgramInvocation
- 40 - start
- 41 - stop
- 42 - resume
- 43 - reset
- 44 - kill
- 45 - getProgramInvocationAttributes
- 46 - obtainFile
- 47 - defineEventCondition
- 48 - deleteEventCondition
- 49 - getEventConditionAttributes
- 50 - reportEventConditionStatus
- 51 - alterEventConditionMonitoring
- 52 - triggerEvent
- 53 - defineEventAction
- 54 - deleteEventAction
- 55 - getEventActionAttributes
- 56 - reportEventActionStatus
- 57 - defineEventEnrollment
- 58 - deleteEventEnrollment
- 59 - alterEventEnrollment
- 60 - reportEventEnrollmentStatus
- 61 - getEventEnrollmentAttributes
- 62 - acknowledgeEventNotification
- 63 - getAlarmSummary
- 64 - getAlarmEnrollmentSummary
- 65 - readJournal
- 66 - writeJournal
- 67 - initializeJournal
- 68 - reportJournalStatus
- 69 - createJournal
- 70 - deleteJournal
- 71 - getCapabilityList
- 72 - fileOpen
- 73 - fileRead
- 74 - fileClose
- 75 - fileRename
- 76 - fileDelete
- 77 - fileDirectory
- 78 - additionalService
- 80 - getDataExchangeAttributes
- 81 - exchangeData
- 82 - defineAccessControlList
- 83 - getAccessControlListAttributes
- 84 - reportAccessControlledObjects
- 85 - deleteAccessControlList
- 86 - changeAccessControl
- 87 - reconfigureProgramInvocation

mms-unconfirmed-service [comp] <number> - mms-unconf-serviceおよびmmsunconfserviceというエイリアスがあります。<number>には、以下のいずれかが入ります。
- 0 - informationReport
- 1 - unsolicitedStatus
- 2 - eventNotification

DLMS

dlms-type [comp] <number> - dlmstypeというエイリアスがあり、<number>には、以下のいずれかが入ります。
- 192 - get-request
- 193 - set-request
- 194 - event-notification-request
- 195 - action-request
- 196 - get-response
- 197 - set-response
- 199 - action-response
dlms-sub-type [comp] <number>。キーワードには、dlms-subtypeおよびdlmssubtypeというエイリアスがあります。
- 49153 (0xc001) - get-request-normal
- 49154 (0xc002) - get-request-next
- 49155 (0xc003) - get-request-with-list
- 49409 (0xc101) - set-request-normal
- 49410 (0xc102) - set-request-with-first-data-block
- 49411 (0xc103) - set-request-with-datablock
- 49412 (0xc104) - set-request-with-list
- 49413 (0xc105) - set-request-with-list-and-first-data-block
- 49921 (0xc301) - action-request-normal
- 49922 (0xc302) - action-request-next-pblock
- 49923 (0xc303) - action-request-with-list
- 49924 (0xc304) - action-request-with-first-pblock
- 49925 (0xc305) - action-request-with-list-and-first-pblock
- 49926 (0xc306) - action-request-with-pblock
- 50177 (0xc401) - get-response-normal
- 50178 (0xc402) - get-response-with-datablock
- 50179 (0xc403) - get-response-with-list
- 50433 (0xc501) - set-response-normal
- 50434 (0xc502) - set-response-datablock
- 50435 (0xc503) - set-response-last-data-block
- 50436 (0xc504) - set-response-last-data-block-with-list
- 50437 (0xc505) - set-response-with-list
- 50945 (0xc701) - action-response-normal
- 50946 (0xc702) - action-response-with-pblock
- 50947 (0xc703) - action-response-with-list
- 50948 (0xc704) - action-response-next-pblock
dlms-class-id [comp] <number>。キーワードには、dlms-classidおよびdlmsclassidというエイリアスがあります。
dlms-obis [arraycomp] <obidnum> - ここで<obidnum>は、「.」(ドット)で区切られる6桁の数値で構成されるIDです。各桁の最大サイズは1バイトです。arraycompはアレイコンパレータで、= (アレイの完全等価)のみがサポートされます。キーワードには、dlmsobisというエイリアスがあります。例: dlms-obis = 1.0.99.1.0.255。IDのグループをフィルタするには、「.」(ドット)で終了する一般的なプレフィックスを使用します。例: "dlms-obis 1.0.99."は、最初の3桁が同じであるすべてのIDをフィルタします。最後の3桁は無関係として扱われます。
dlms-attribute-method-id [comp] <number> - dlms-attr-method-idおよびdlmsattrmethodidというエイリアスがあります。
dlms-data-length [comp] <number> - dlmsdatalengthというエイリアスがあります。
dlms-type [comp] <number> - dlmsdatatypeというエイリアスがあり、<number>には、以下のいずれかが入ります。
- 0 - null-data
- 1 - array
- 2 - structure
- 3 - boolean
- 4 - bit-string
- 5 - double-long
- 6 - double-long-unsigned
- 9 - octet-string
- 10 - visible-string
- 13 - bcd
- 15 - integer
- 16 - long
- 17 - unsigned
- 18 - long-unsigned
- 19 - compact-array
- 20 - long64
- 21 - long64-unsigned
- 22 - enum
- 23 - float32
- 24 - float64
- 25 - date-time
- 26 - date
- 27 - time
dlms-data-length [comp] <number>
dlms-data-access-result [comp] <number> - dlmsdataaccessresultというエイリアスがあり、<number>には、以下のいずれかが入ります。
- 0 - success
- 1 - hardware-fault
- 2 - temporary-failure
- 3 - read-write-denied
- 4 - object-undefined
- 9 - object-class-inconsistent
- 11 - object-unavailable
- 12 - type-unmatched
- 13 - scope-of-access-violated
- 14 - data-block-unavailable
- 15 - long-get-aborted
- 16 - no-long-get-in-progress
- 17 - long-set-aborted
- 18 - no-long-set-in-progres
- 250 - other-reason
dlms-action-result [comp] <number> - dlmsactionresultというエイリアスがあり、<number>には、以下のいずれかが入ります。
- 0 - success
- 1 - hardware-fault
- 2 - temporary-failure
- 3 - read-write-denied
- 4 - object-undefined
- 9 - object-class-inconsistent
- 11 - object-unavailable
- 12 - type-unmatched
- 13 - scope-of-access-violated
- 14 - data-block-unavailable
- 15 - long-action-aborted
- 16 - no-long-action-in-progress
- 250 - other-reason

VMware NSXフィールド

nsx-rule-id [<comp>] <number> - ファイアウォールルールID。キーワードには、nsx-ruleidというエイリアスがあります。
nsx-vnicindex [<comp>] <number> - vNICインデックス
nsx-vmuuid <number> [<number>] - VMを一意に識別する特定のVM UUIDを持つフローレコードをフィルタします。このIDは、2つの16進数で構成されます。最初の1つだけ、あるいは両方を指定できます。各16進数の先頭に「0x」というプレフィックスを付ける必要があります。例として、VM UUID (00 11 22 33 44 55 66 77-88 99 aa bb cc dd ee ff)の場合は、「nsx-vmuuid 0x0011223344556677」または「nsx-vmuuid 0x0011223344556677 0x8899aabbc-cddeeff」となります。
nsx-vmuuid-mac <addr> - 通常、VM UUIDの最初の部分にMACアドレスが含まれるため、フィルタにもMACアドレスを使用できます。これは、最初のVMUUID番号に一致します。たとえば、MACアドレスが00:11:22:33:44:55のマシンをフィルタする場合は、「nsx-vmuuid-mac 00:11:22:33:44:55」となります。

ネットワークパフォーマンスメトリックのプリミティブ

ラウンドトリップ時間

npm-round-trip-time [<comp>] <realnumber> - ラウンドトリップ時間(RTT)。キーワードには、npm-rttおよびnrttというエイリアスがあります。
npm-round-trip-time-count [<comp>] <number> - ラウンドトリップ時間カウント(RTT Count)。キーワードには、nrtt-cntおよびnrtt_cntというエイリアスがあります。
npm-round-trip-time-sum [<comp>] <realnumber> - ラウンドトリップ時間の合計(RTT Sum)。キーワードには、nrtt-sumおよびnrtt_sumというエイリアスがあります。
npm-round-trip-time-min [<comp>] <realnumber> - ラウンドトリップ時間の最小値(RTT Min)。キーワードには、nrtt-minおよびnrtt_minというエイリアスがあります。
npm-round-trip-time-max [<comp>] <realnumber> - ラウンドトリップ時間の最大値(RTT Max)。キーワードには、nrtt-maxおよびnrtt_maxというエイリアスがあります。

サーバの応答時間

npm-server-response-time [<comp>] <realnumber> - サーバ応答時間(SRT)。キーワードには、npm-srtおよびnsrtというエイリアスがあります。
npm-server-response-time-count [<comp>] <number> - サーバ応答時間カウント(SRT Count)。キーワードには、nsrt-cntおよびnsrt_cntというエイリアスがあります。
npm-server-response-time-sum [<comp>] <realnumber> - サーバの合計応答時間(Sum SRT)。キーワードには、nsrt-sumおよびnsrt_sumというエイリアスがあります。
npm-server-response-time-min [<comp>] <realnumber> - サーバの最小応答時間(SRT Min)。キーワードには、nsrt-minおよびnsrt_minというエイリアスがあります。
npm-server-response-time-max [<comp>] <realnumber> - サーバの最大応答時間(SRT Max)。キーワードには、nsrt-maxおよびnsrt_maxというエイリアスがあります。

TCP再送信

npm-tcp-retransmission [<comp>] <realnumber> - パケット再送信(RTR)。キーワードには、npm-retrおよびnretrというエイリアスがあります。
npm-tcp-retransmission-count [<comp>] <number> - 再送信カウント(RTR Count)。キーワードには、nretr-cntおよびnretr_cntというエイリアスがあります。
npm-tcp-retransmission-sum [<comp>] <realnumber> - 再送信の合計(RTR Sum)。キーワードには、nretr-sumおよびnretr_sumというエイリアスがあります。
npm-tcp-retransmission-min [<comp>] <realnumber> - 再送信の最小値(RTR Min)。キーワードには、nretr-minおよびnretr_minというエイリアスがあります。
npm-tcp-retransmission-max [<comp>] <realnumber> - 再送信の最大値(RTR Max)。キーワードには、nretr-maxおよびnretr_maxというエイリアスがあります。

TCPアウトオブオーダー

npm-tcp-out-of-order [<comp>] <realnumber> - アウトオブオーダーパケット(OoO)の数。キーワードには、npm-oooおよびnoooというエイリアスがあります。
npm-tcp-out-of-order-count [<comp>] <number> - アウトオブオーダーカウント(OoO Count)。キーワードには、nooo-cntおよびnooo_cntというエイリアスがあります。
npm-tcp-out-of-order-sum [<comp>] <realnumber> - アウトオブオーダーの合計(OoO Sum)。キーワードには、nooo-sumおよびnooo_sumというエイリアスがあります。
npm-tcp-out-of-order-min [<comp>] <realnumber> - アウトオブオーダー最小(OoO Min)。キーワードには、nooo-minおよびnooo_minというエイリアスがあります。
npm-tcp-out-of-order-max [<comp>] <realnumber> - アウトオブオーダー最大(OoO Max)。キーワードには、nooo-maxおよびnooo_maxというエイリアスがあります。

ジッター

npm-jitter-deviation [<comp>] <realnumber> - ジッターの標準偏差(SDVジッター)。キーワードには、npm-jdevおよびnjdevというエイリアスがあります。
npm-jitter-deviation-count [<comp>] <number> - ジッターの偏差カウント(JDC)。キーワードには、njdev-cntおよびnjdev_cntというエイリアスがあります。
npm-jitter-deviation-sum [<comp>] <realnumber> - ジッターの合計偏差(JDS)。キーワードには、njdev-sumおよびnjdev_sumというエイリアスがあります。
npm-jitter-average [<comp>] <realnumber> - 平均ジッター(AVGジッター)。キーワードには、npm-javgおよびnjavgというエイリアスがあります。
npm-jitter-average-count [<comp>] <number> - ジッターの平均カウント(JAC)。キーワードには、njavg-cntおよびnjavg_cntというエイリアスがあります。
npm-jitter-average-sum [<comp>] <realnumber> - ジッターの合計平均(JAS)。キーワードには、njavg-sumおよびnjavg_sumというエイリアスがあります。
npm-jitter-min [<comp>] <realnumber> - 最小ジッター(MINジッター)。キーワードには、npm-jminおよびnjminというエイリアスがあります。
npm-jitter-max [<comp>] <realnumber> - 最大ジッター(MAXジッター)。キーワードには、npm-jmaxおよびnjmaxというエイリアスがあります。

パケット間の遅延

npm-delay-deviation [<comp>] <realnumber> - パケット間の遅延の標準偏差(SDV IPD)。キーワードには、npm-ddevおよびnddevというエイリアスがあります。
npm-delay-deviation-count [<comp>] <number> - 遅延の偏差カウント(DDC)。キーワードには、nddev-cntおよびnddev_cntというエイリアスがあります。
npm-delay-deviation-sum [<comp>] <realnumber> - 遅延の合計偏差(DDS)。キーワードには、nddev-sumおよびnddev_sumというエイリアスがあります。
npm-delay-average [<comp>] <realnumber> - パケット間の遅延の平均(AVG IPD)。キーワードには、npm-davgおよびndavgというエイリアスがあります。
npm-delay-average-count [<comp>] <realnumber> - 遅延の平均カウント(DAC)。キーワードには、ndavg-cntおよびndavg_cntというエイリアスがあります。
npm-delay-average-sum [<comp>] <realnumber> - 遅延の合計平均(DAS)。キーワードには、ndavg-sumおよびndavg_sumというエイリアスがあります。
npm-delay-min [<comp>] <realnumber> - パケット間の遅延の最小値(MIN IPD)。キーワードには、npm-dminおよびndminというエイリアスがあります。
npm-delay-max [<comp>] <realnumber> - パケット間の遅延の最大値(MAX IPD)。キーワードには、npm-dmaxおよびndmaxというエイリアスがあります。

<realnumber>には、NNN.nnnの形式で実数を指定します。

Ciscoのプリミティブ

Cisco AVC - ART

art-snt [<comp>] <realnumber> - 合計サーバネットワーク時間(Sum SNT)
art-snt-min [<comp>] <realnumber> - 最小サーバネットワーク時間(MIN SNT)。キーワードには、art-sntminというエイリアスがあります。
art-snt-max [<comp>] <realnumber> - 最大サーバネットワーク時間(MAX SNT)。キーワードには、art-sntmaxというエイリアスがあります。
art-cnt [<comp>] <realnumber> - 合計クライアントネットワーク時間(Sum CNT)
art-cnt-min [<comp>] <realnumber> - 最小クライアントネットワーク時間(MIN CNT)。キーワードには、art-cntminというエイリアスがあります。
art-cnt-max [<comp>] <realnumber> - 最大クライアントネットワーク時間(MAX CNT)。キーワードには、art-cntmaxというエイリアスがあります。
art-cnt-responses [<comp>] <number> - クライアントネットワーク時間応答(CNT Responses)。キーワードには、art-cntrespというエイリアスがあります。
art-srt [<comp>] <number> - サーバの合計応答時間(Sum SRT)
art-srt-min [<comp>] <number> - 最小サーバ応答時間(MIN SRT)。キーワードには、art-srtminというエイリアスがあります。
art-srt-max [<comp>] <number> - 最大サーバ応答時間(MAX SRT)。キーワードには、art-srtmaxというエイリアスがあります。
art-hist[n] [<comp>] <number> - 応答ヒストグラム[n]、ここでnは1～7の数字です。
art-client-retransmission [<comp>] <number> - クライアント再送信(CR)。キーワードには、art-cretrというエイリアスがあります。
art-server-retransmission [<comp>] <number> - サーバ再送信(SR)。キーワードには、art-sretrというエイリアスがあります。
art-late [<comp>] <number> - 応答遅延。
cisco-net-time [<comp>] <number> - CISCOの合計ネットワーク時間。キーワードには、cisco-nettimeというエイリアスがあります。

Cisco NEL

nat-event [<comp>] <value> - ここで、値は、数字、addまたはdeleteのいずれかです。キーワードには、nat eventおよびneventというエイリアスがあります。
[src|dst] nat-ip <ip> - NAT IPアドレスを選択します。キーワードには、nipというエイリアスがあります。
[src|dst] nat-port [comp] <port> - NATポートを選択します。キーワードには、nportというエイリアスがあります。
nat-vrf [comp] <number> - Vrfを選択します。キーワードには、vrfおよびingress vrfというエイリアスがあります。

Cisco NSEL/ASA

nsel-event [<comp>] <value>には、asa eventおよびeventというエイリアスがあります。値には以下のいずれかが入ります。
- 0 - 無視
- 1 - 作成
- 2 - 削除
- 2 - 用語
- 3 - 拒否済み
- 3 - 拒否
- 4 - アラート
- 5 - 更新
asa event denied <value> - ここで、値には、数字またはオートコンプリート機能により提案された文字列のいずれかを指定します。
nsel-extended-event [<comp>] <number>。キーワードには、asa xeventおよびxeventというエイリアスがあります。
nsel-connection-id [<comp>] <number>。キーワードには、nfcというエイリアスがあります。
nsel-user-name [<strcomp>] <string>。キーワードには、unameというエイリアスがあります。
[in|out] nsel-acl [=] <binary>。キーワードには、aclというエイリアスがあります。
[src|dst] xlate-ip <ip> - 変換済みIPアドレスを選択します。キーワードには、xipというエイリアスがあります。
[src|dst] xlate-port <number> - 変換済みポートを選択します。キーワードには、xportというエイリアスがあります。
ingress <ACN|ACE|XACE> [<comp>] <number> - ingress ACL IDフィールドを選択/比較します。
egress <ACN|ACE|XACE> [<comp>] <number> - egress ACL IDフィールドを選択/比較します
iacn [<comp>] <number>
iace [<comp>] <number>
ixace [<comp>] <number>
eacn [<comp>] <number>
eace [<comp>] <number>
exace [<comp>] <number>

集約フローのプリミティブ

フィルタは集約の前に適用されるため、フィルタの有用性は制限されます。個々のフローは常に集約されたフローカウントの値が1となります。

flows [<comp>] <num>[<scale>]- 特定の数の集約フローでNetFlowレコードをフィルタアウトします。

<scale>は倍率です。プレフィックスとして、(キロ) k、(メガ) m、(ギガ) g、(テラ) tを指定できます。係数は1024です。

パケット、バイト、ビットのプリミティブ

フィルタは集約の前に適用されるため、集約された合計に基づくのではなく、個々のフローレコードの値に基づいてフローをフィルタリングします。

パケット

[in|out] packets [<comp>] <num>[<scale>] - 特定のパケット数でNetFlowレコードをフィルタアウトします。

<scale>は倍率です。プレフィックスとして、(キロ) k、(メガ) m、(ギガ) g、(テラ) tを指定できます。係数は1024です。

例: packets > 1k.

[in|out] total-packets [<comp>] <num>[<scale>]
in-out-packets [<comp>] <num>[<scale>]
iopackets [<comp>] <num>[<scale>]

バイト

[in|out] bytes [<comp>] <num>[<scale>] - 特定のバイト数でNetFlowレコードをフィルタアウトします。

<scale>は倍率です。プレフィックスとして、(キロ) k、(メガ) m、(ギガ) g、(テラ) tを指定できます。係数は1024です。

例: bytes 46.

[in|out] total-bytes [<comp>] <num>[<scale>]
in-out-bytes [<comp>] <num>[<scale>]
iobytes [<comp>] <num>[<scale>]

パケット/秒

pps [<comp>] <num>[<scale>] - フローのppsを指定します。

ビット/秒

bps [<comp>] <num>[<scale>] - フローのbpsを指定します。

バイト/パケット

bpp [<comp>] <num>[<scale>] - フローのbppを指定します。

パケット、バイト、ビットの例

packets > 1M and bytes < 1700M - 1 MBを超える(1700 MB未満)パケットのレコードに一致します。
(pps > 200K or bps > 180M) and bpp < 130 - 最小しきい値(200 Kパケット/秒または180 Mビット/秒以上)のレコードに一致します。同時に、パケットが130 Bを上回らないように抑えます。
bpp > 1500 and bytes > 100M - 100 MBよりも大きい巨大なパケットフローを見つけます。

期間のプリミティブ

期間

duration [<comp>] <num> - 期間をミリ秒単位で指定します。

期間の例

duration > 1000 and duration < 5000 - 1～5秒かかったフローレコードに一致します。

合計

start-time [<comp>] <number>。キーワードには、tstartおよびstimeというエイリアスがあります。
end-time [<comp>] <number>。キーワードには、tendおよびetimeというエイリアスがあります。
start-uptime [<comp>] <number>。キーワードには、suptimeというエイリアスがあります。
sys-init-time <time>。キーワードには、sysinittimeというエイリアスがあります。
flow-active-timeout <seconds>
flow-end-reason <number>
time-received <time>。

Flowmon特有

uuid [<strcomp>] <string> - フローの一意の識別子
channel [<strcomp>] <string> - フローの発生源チャネル(タイプ"リアル")

その他のフィルタ例

proto tcp and net 192.168/16 and src port > 1024 and dst port 80 and bytes > 2048 - 2048バイトを超える内部ネットワークでのHTTP/TCP通信に一致します。
proto tcp and (net 192.168/16) and (src port > 1024 and dst port 80) and (bytes > 2048) - 前回と同じ(読みやすさのためにブラケットを追加)。

Flowmon User Guide