個人用ツール

「Pandora:Documentation ja:Netflow」の版間の差分

提供: Pandora FMS Wiki JP

移動先: 案内, 検索
()
(インストール)
 
732行目: 732行目:
 
== インストール ==
 
== インストール ==
  
A tarball compatible with CentOS 7 is currently available. It is distributed compressed in a tgz, available in Pandora FMS modules library in https://pandorafms.com/library. To install it you have to unzip it:
+
A tarball compatible with CentOS 7 is currently available. It is distributed compressed in a tgz, available in Pandora FMS modules library in the [https://pandorafms.com/library/pandora-nta/ Pandora FMS library]. To install it unzip it:
  
CentOS 7 で利用可能な tarball を提供しています。圧縮した tgz 形式で提供しており、Pandora FMS モジュールライブラリ https://pandorafms.com/library にあります。インストールするには、展開する必要があります。
+
CentOS 7 で利用可能な tarball を提供しています。圧縮した tgz 形式で提供しており、[https://pandorafms.com/library/pandora-nta/ Pandora FMS ライブラリ] にあります。インストールするには、展開する必要があります。
  
 
  tar xvzf pandora_nta.tgz
 
  tar xvzf pandora_nta.tgz

2019年10月12日 (土) 08:35時点における最新版

Pandora FMS ドキュメント一覧に戻る

リアルタイムネットワーク分析の概要

Pandora FMS uses two alternative and complementary systems to analyze the network in real time: Pandora NTA and Netflow. Both systems use the same principle: "listening" to the ethernet cable in a continuous way and analyze the traffic to generate statistics. In both cases it is necessary, in some way, to "intercept" the network traffic to send it to a probe that analyzes it and sends those results to Pandora FMS.

Pandora FMS はリアルタイムでネットワークを分析するために、Pandora NTA と Netflow の 2つの異なるシステムを使用します。どちらのシステムもイーサネットを連続的に リスニング し、トラフィックを分析して統計を生成するという同じ手法を用います。どちらの場合も、何らかの方法でネットワークトラフィックを "傍受" してそれを分析するプローブに送信し、その結果を Pandora FMS に送信することが必要です。

In order to intercept the network traffic and be able to analyze it, it is necessary to have physical access to that network or at least understand its topology, since the network capture point must be the most appropriate. It is not the same, for example, to capture the network traffic of a router or local AP, than all the traffic of the server network just before reaching the outgoing router.

ネットワークトラフィックを傍受して分析できるようにするには、ネットワークのキャプチャポイントを適切に判断する必要があるため、そのネットワークに物理的に確認するか、少なくともそのトポロジを理解する必要があります。たとえば、ルータまたはローカルAPのネットワークトラフィックをキャプチャすることは、ルータに到達する前のサーバのすべてのネットワークトラフィックをキャプチャするのとは同じではありません。

There are two ways to capture traffic:

トラフィックをキャプチャするには、2つの方法があります。

  • Reroute traffic from one port of the switch to another port by means of a port-mirror. Not all network devices allow this (high/medium range only). You can also port-mirror some commercial firewalls. It is the easiest way to intercept traffic and requires no additional hardware. By sending all traffic to a port, that port connects directly to the network analyzer (netflow probe or pandora nta/ntop).
  • ポートミラーリングを使用して、スイッチのあるポートから別のポートにトラフィックを再送信します。 すべてのネットワークデバイスが対応しているわけではありません(中価格帯以上のみ)。いくつかの商用ファイアーウォールでもポートミラーはできます。これはトラフィックを傍受する最も簡単な方法であり、追加のハードウェアを必要としません。すべてのトラフィックを特定のポートに送信するので、そのポートはネットワークアナライザ(netflow probe または pandora nta/ntop)を直接接続します。
  • Capture traffic using a network TAP. A tap is a very simple network device that copies traffic from one port to another in one direction only (it is impossible to interfere with the network). It is a PASSIVE device that cannot be "down" or cause discomfort of any kind as it is a hardware driven physical copy of network traffic. It is undetectable. There are TAPs from €12 to €900, but the principle is the same. The tap generates an output for each direction of communication, so you will need a probe that listens in two ports, or just listen to a single address.
  • ネットワーク TAP を使用してトラフィックをキャプチャします。 TAP は、あるポートから別のポートに一方向にのみトラフィックをコピーする非常に単純なネットワークデバイスです(ネットワークに干渉することはありません)。それはハードウエアによるネットワークトラフィックの物理的コピーであるため、"ダウン" したり、いかなる種類の問題を引き起こすことがないパッシブなデバイスで、検出できません。12ユーロから 900ユーロの TAP がありますが、原則は同じです。TAP は通信の方向ごとに出力を生成するため、2つのポートで待機するプローブ、または単一のアドレスを待機するプローブが必要になります。

300px Real example of a €12 TAP €12 の TAP の例

300px Real example of a €35 TAP €35 の TAP の例

If we are going to use Netflow to analyze our network only through Pandora FMS and we have a switch or firewall of high range, it will be possible to carry out the monitoring in a simpler way. This is due to the fact that these devices allow to send statistical information of the network flow directly to the Pandora FMS Netflow collector without using an independent probe. You must consult the hardware characteristics to know if you can enable the Netflow and send the flows to an independent Netflow collector (in this case, the Pandora FMS Netflow collector).

Pandora FMS 経由でのみ Netflow を使ってネットワークを分析しようとしていて、高機能なスイッチやファイアウォールを利用している場合は、より簡単な方法で監視を実行できます。これらのデバイスが独立したプローブを使用せずに Pandora FMS Netflow コレクタに直接ネットワークフローの統計情報を送信することが可能であるためです。Netflow を有効にしてフローを独立した Netflow コレクター(この場合は Pandora FMS Netflow コレクタ)に送信できるかどうかは、ハードウエアの仕様を確認してください。

In short, this could be a work scenario to be able to analyze the network traffic in real time. For this, it would only be necessary a pair of TAPS of 12€ (or a pair of port-mirrors) and the OpenSource version of Pandora FMS:

要するに、これはリアルタイムでネットワークトラフィックを分析することができる手法と言えます。これには、12ユーロの TAP(またはポートミラーの1つのペア)と Pandora FMS のオープンソース版があればできます。

ファイル:Diagram-how-to-use-a-network-tap.png

Netflow ネットワーク監視

概要

From version 5.0, Pandora FMS is able to monitor the IP traffic using the NetFlow protocol. It allows to show patterns and general data of the traffic that are very useful.

バージョン 5.0 の Pandora FMS から、NetFlow プロトコルを使って IP 通信をモニターできます。通信のパターンおよび全体のデータを見ることができ、とても便利です。

Netflow is a network protocol developed by Cisco Systems to collect IP traffic information. Netflow has become an industry standard for network traffic monitoring, and is currently supported by several platforms besides Ciso IOS and NXOS, like Juniper devices, Enterasys Switches and operating systems like Linux, FreeBSD, NetBSD and OpenBSD.

Netflow は、Cisco Systems により開発された IP 通信の情報を収集するためのネットワークプロトコルです。Netflow はネットワークトラフィックモニタリングの業界標準になっており、現在では Cisco IOS および NXOS、Juniper デバイス、Enterasys Switches、そして Linux, FreeBSD, NetBSD, OpenBSD といった OS など複数のプラットフォームでサポートされています。

Netflow architecture.png

Take a look on more information about what is Netflow in our blog at https://blog.pandorafms.org/what-is-netflow/

Netflow に関する詳細は、我々の blog https://blog.pandorafms.org/what-is-netflow/ を参照してください。

Net flow

Netflow capable devices (netflow probes) generate netflow records consisting of small chunks of information that are sent to a central device or netflow server (netflow collector), which stores and processes that information.

Netflow に対応したデバイス(netflowプローブ)は、情報の小さなかたまりで構成される netflow レコードを生成します。それは中央デバイスまたは netflow サーバ(netflowコレクタ)へ送信され、情報が保存、処理されます。

Data is transmitted using the Netflow protocol via UDP o SCTP. A netflow record is a small packet that only contains statistical information about a connection, not the whole raw data or the payload.

データは、UDP または SCTP にて Netflow プロトコルにより送信されます。netflow レコードは小さなパケットで、流れている全通信内容ではなく、接続に関する統計情報のみを含んでいます。

There are several Netflow implementations that may differ from the original specification and include additional information, but most of them provide at least the following:

オリジナルの仕様から異なり追加情報を含んだいくつかの Netflow 実装がありますが、ほとんどの場合少なくとも次の情報を含んでいます。

  • Source IP address.
  • 発信元 IP アドレス
  • Target IP address.
  • 宛先 IP アドレス
  • Source UDP or TCP port.
  • 発信元 UDP または TCP ポート
  • Target UDP or TCP port.
  • 宛先 UDP または TCP ポート
  • IP protocol.
  • IP プロトコル
  • Interface (SNMP ifIndex)
  • インタフェース (SNMP ifIndex)
  • Type of service.
  • サービスのタイプ

With time, some manufacturers have designed similar protocols with different names but the same purpose:

いくつかのベンダでは、異なる名前で似たようなプロトコルを定義していますが、目的は同じです。

  • Jflow o cflowd de Juniper Networks
  • Juniper Networks の Jflow または cflowd
  • NetStream de 3Com/H3C|HP
  • 3Com/H3C|HP の NetStream
  • NetStream de Huawei
  • Huawei の NetStream
  • Cflowd de Alcatel Lucent
  • Alcatel Lucent の Cflowd
  • Rflow de Ericsson
  • Ericsson の Rflow
  • AppFlow
  • AppFlow

Pandora FMS also supports sFlow( Industry standard for packet export ), which allows to Pandora FMS to analyse sniffered packets at Layer 2 of the OSI model. Moreover, because sFlow is an standard, many vendors use it on their devices.

Pandora FMS は、sFlow (パケット抽出における業界標準)もサポートします。Pandora FMS で OSI モデルのレイヤ 2でキャプチャしたパケットを解析することができます。sFlow は業界標準であるため、多くのベンダがデバイスで採用しています。

Netflow コレクタ

A Netflow collector is a device (PC or server) placed in a network to gather all the Netflow information sent by routers and switches.

Netflow コレクタは、ルータやスイッチから送られた全ての Netflow 情報を収集するためにネットワーク上に置かれたデバイス(PCやサーバ)です。

A Netflow server is needed to receive and store that information. Pandora FMS uses nfcapd for this purpose, and it must be installed before Pandora FMS can process Netflow data. Pandora FMS starts and stop this server automatically as needed.

Netflow サーバは、データを受け取り保存するために必要です。Pandora FMS は、この目的に nfcapd を利用しています。Pandora FMS が Netflow データを処理できるようにするには、これをインストールする必要があります。Pandora FMS は、必要なときに自動的にこのサーバを起動・停止します。

Netflow プローブ

Probes are usually Netflow capable routers configured to send Netflow data to the Netflow collector (in our case, a Pandora FMS server with nfcapd running).

プローブは、通常 Netflow に対応したルータで、Netflow データを Netflow コレクタ (我々の場合、nfcapd が動いている Pandora FMS サーバです) に送信するように設定されたものです。

NewNetFlowApproach.png

In our blog we wrote an step-by-step technical article about how to create a Netflow probe using a 60€ RaspBerry Pi hardware, take a look at https://blog.pandorafms.org/netflow-probe-using-raspberry/

我々の blog に、RaspBerry Pi を使った Netflow プローブの作り方を載せています。https://blog.pandorafms.org/netflow-probe-using-raspberry/ を参照ください。

インストールと必要要件

Pandora FMS uses an OpenSource tool callednfcapd to process all the netflow traffic. This daemon is automatically started by Pandora FMS Server. This system stores the data in binary files, in an specific location. You should install nfcapd in your system before working with Netflow, nfcapd by default listen in the port 9995/UDP. Please, consider this if you have firewalls to open this port.

Pandora FMS は、全ての netflow 通信を処理するためにオープンソースのツールである nfcapd を利用します。このデーモンは、Pandora FMS サーバにより自動的に起動されます。このシステムは、データを特定の場所のバイナリファイルに保存します。Netflow を使うには、nfcapd をインストールする必要があります。nfcapd のデフォルトの待ち受けポートは 9995/UDP です。ファイアーウォールがある場合は、このポートを開ける必要があることに注意してください。

nfcapd のインストール

nfcapd must be manually installed. Pandora FMS will not install nfcapd. For more information on how to install it go to the nfcapd project official page.

nfcapd は、手動でインストールする必要があります。Pandora FMS 自身は nfcapd をインストールしません。インストール方法の詳細は、nfcapd プロジェクトの公式ページを参照してください。

Pandora FMS by default uses the directory /var/spool/pandora/data_in/netflow to store Netflow data. nfcapd will point to this directory when started by the Pandora FMS Server. Do not change it unless you know what you are doing.

Pandora FMS はデフォルトで、Netflow データを保存するのに /var/spool/pandora/data_in/netflow ディレクトリを利用します。Pandora FMS サーバによって起動されるときに、nfcapd にこのディレクトリが指定されます。何を行っているかがわからない場合は、変更しないでください。

Pandora FMS needs nfdump version 1.6 to process Netflow data.

Pandora FMS では、Netflow データを処理するのに nfdump バージョン 1.6 が必要です。

To manually test your nfcapd installation run:

nfcapd の手動での動作確認には次のようにします。

nfcapd -l /var/spool/pandora/data_in/netflow -D

Bear in mind that the Pandora FMS Console, and more specifically the Web server that hosts it, needs access to /var/spool/pandora/data_in/netflow to read Netflow data files.

Pandora FMS コンソールが動いているウェブサーバプロセスから Netflow データファイルを読むために、/var/spool/data_in/netflow へアクセスできる必要があることに注意してくだい。

Netflow プローブのインストール

If a Netflow capable router is not available, but you use a Linux server to route your traffic, you can install a software Netflow probe that sends netflow information to the Netflow server.

Netflow に対応したルータが無く、Linux サーバをルータとして利用している場合は、netflow 情報を Netflow サーバへ送信するソフトウエアの Netflow プローブをインストールできます。

In Linux there is a program called 'fprobe' which obtains the traffic and sends it to a NetFlow Server.

Linux では、fprobe というプログラムがあり、トラフィックを取得し Netflow サーバへ送信します。

To download the rpm package you can use the following command and then install it:

rpm パッケージをダウンロードおよびインストールするには、以下のコマンドを用います。

wget http://repo.iotti.biz/CentOS/7/x86_64/fprobe-1.1-2.el7.lux.x86_64.rpm
yum install fprobe-1.1-2.el7.lux.x86_64.rpm

By this program you're able to generate NetFlow traffic which goes through its interfaces, e.g.:

このプログラムで、次のようにインタフェースを通る Netflow トラフィックを生成することができます。

/usr/sbin/fprobe -ieth0 -fip 192.168.70.185:9995

Once the traffic has been generated, you could see stadistics of this traffic in the command:

トラフィックが生成されたら、次のコマンドでトラフィックの状態を見る事ができます。

nfdump -S -R /home/netflow_data/

That should show you information similar to the following one:

次のような情報が表示されます。

Aggregated flows 1286
Top 10 flows ordered by packets:
Date flow start          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
2011-12-22 20:41:35.697   901.035 TCP     192.168.60.181:50935 ->     192.168.50.2:22        2105   167388     4
2011-12-22 20:41:35.702   900.874 TCP       192.168.50.2:22    ->   192.168.60.181:50935     1275   202984     4
2011-12-22 20:48:15.057     1.347 TCP       157.88.36.34:80    ->    192.168.50.15:40044      496   737160     1
2011-12-22 20:48:14.742     1.790 TCP     91.121.124.139:80    ->    192.168.50.15:60101      409   607356     1
2011-12-22 20:46:02.791    76.616 TCP      192.168.50.15:80    ->   192.168.60.181:40500      370   477945     1
2011-12-22 20:48:15.015     1.389 TCP      192.168.50.15:40044 ->     157.88.36.34:80         363    22496     1
2011-12-22 20:46:02.791    76.616 TCP     192.168.60.181:40500 ->    192.168.50.15:80         303    24309     1
2011-12-22 20:48:14.689     1.843 TCP      192.168.50.15:60101 ->   91.121.124.139:80         255    13083     1
2011-12-22 20:48:14.665     1.249 TCP     178.32.239.141:80    ->    192.168.50.15:38476      227   335812     1
2011-12-22 20:48:21.350     0.713 TCP     137.205.124.72:80    ->    192.168.50.15:47551      224   330191     1

Top 10 flows ordered by bytes:
Date flow start          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
2011-12-22 20:48:15.057     1.347 TCP       157.88.36.34:80    ->    192.168.50.15:40044      496   737160     1
2011-12-22 20:48:14.742     1.790 TCP     91.121.124.139:80    ->    192.168.50.15:60101      409   607356     1
2011-12-22 20:46:02.791    76.616 TCP      192.168.50.15:80    ->   192.168.60.181:40500      370   477945     1
2011-12-22 20:48:14.665     1.249 TCP     178.32.239.141:80    ->    192.168.50.15:38476      227   335812     1
2011-12-22 20:48:21.350     0.713 TCP     137.205.124.72:80    ->    192.168.50.15:47551      224   330191     1
2011-12-22 20:48:15.313     1.603 TCP       89.102.0.150:80    ->    192.168.50.15:52019      212   313432     1
2011-12-22 20:48:14.996     1.433 TCP     212.219.56.138:80    ->    192.168.50.15:36940      191   281104     1
2011-12-22 20:51:12.325    46.928 TCP      192.168.50.15:80    ->   192.168.60.181:40512      201   245118     1
2011-12-22 20:52:05.935    34.781 TCP      192.168.50.15:80    ->   192.168.60.181:40524      167   211608     1
2011-12-22 20:41:35.702   900.874 TCP       192.168.50.2:22    ->   192.168.60.181:50935     1275   202984     4

Summary: total flows: 1458, total bytes: 5.9 M, total packets: 15421, avg bps: 49574, avg pps: 15, avg bpp: 399
Time window: 2011-12-22 20:40:46 - 2011-12-22 20:57:21
Total flows processed: 1458, Records skipped: 0, Bytes read: 75864
Sys: 0.006s flows/second: 208345.2   Wall: 0.006s flows/second: 221177.2  


If you have this system working, the following thing will be to configure Pandora FMS to it could use this configuration.

ここまでの動作確認ができたら、次はそれを利用できるようにするための Pandora FMS の設定です。

Pandora FMS における Netflow の動作

Pandora FMS does not store Netflow data in its database, information is processed on demand to render reports.

Pandora FMS は、Netflow データをデータベースには保存しません。情報は、レポートを表示する時にオンデマンドで処理されます。

Pandora FMS works with Netflow data using filters, which are sets of rules that match certain traffic patterns. A rule can be as simple as 'all the traffic from the 192.168.70.0/24 subnet', or it can be a complex pcap expression.

Pandora FMS は、フィルタ を使って Netflow データを処理します。フィルタは、通信パターンにマッチするルールのセットです。ルールは、'サブネット 192.168.70.0/24 からの通信すべて' といったように簡単です。また、pcap の書式も利用できます。

Once filters are created, we have to define reports that determine how the information matched by those filters is going to be displayed (charts, tables...) and the time frame. Netflow reports can be accessed on demand like any other Pandora FMS reports.

フィルタを作成したら、フィルタにマッチした情報をどのように表示するか(グラフや表)および時間範囲をレポートで定義する必要があります。Netflow レポートは、他の Pandora FMS レポートと同様にオンデマンドでのアクセスです。

Una vez definidos los filtros, definiremos los informes, que son, como queremos ver los datos (graficos, listas...) y en que intervalo de tiempo. Al definir filtros e informes, dejamos definida esa información, de forma similar a como se opera con los informes de Pandora, para utilizarla -bajo demanda- cuando queramos.

Los informes Netflow aparecerán también como "tipo de informe" en la seccion de Informes generales de Pandora, para poderlos "incorporar" también a los informes "normales" de Pandora.

Netflow のレポートは、Pandora の一般的なレポートのメニューからレポートとして表示されます。そのため通常のレポートに組み込むこともできます。

There is also a live Netflow viewer to analyze traffic, modify and create rules on the spot. It can be very useful to investigate problems or temporarily display a chart that we don't want to save for later usage.

また、通信の分析や素ぽーっとでルールを作成したり修正するためのライブ Netflow ビューワがあります。これは、問題を調査したり、保存しない一時的なグラフを表示するのにするのにとても便利です。

設定

First of all, we have to authorize Netflow to it would be accessible from the Operation and Administration menus.

まず最初に、Netflow を操作(Operation)およびシステム管理(Administration)メニューからアクセスできるようにする必要があります。

900px

In the Administration menu, in the Configuration chapter, we find the Netflow option in which we specify the path in which are the files captured of the Netflow traffic. For example:/tmp/netflow. It is also important to verify that the path to the nfcapd daemon is correct.

システム管理(Administration)メニューの、設定(Configuration)の中に、Netflow オプションがあります。そこで、Netflow 通信で取得したファイルを置くパスを指定します。例えば、/tmp/netflow です。また、nfcapd デーモンのパスも正しく設定されている必要があります。

700px

The following configuration options are available:

  • Data storage path: Directory where netflow data files will be stored. IMPORTANT: The access speed of the disk where Netflow data resides is usually the limiting performance factor.
  • Daemon interval: Time interval in seconds after which data files are rotated. A value of 3600 is recommended. A bigger interval means potentially bigger files, which means less I/O overhead. But it also makes finding data for a specific time interval slower.
  • Daemon binary path: Path to the nfcapd binary.
  • Nfdump binary path: Path to the nfdump binary.
  • Maximum chart resolution: Maximum number of points that a netflow area chart will display. The higher the resolution the lower the performance. Values between 50 and 100 are recommended.
  • Disable live view custom filters: If enabled, only Netflow filters previously created by an administrator can be used in the Netflow live view.
  • Netflow max lifetime: Netflow data older than the specified number of days will be deleted.

次の設定オプションがあります。

  • データ保存パス(Data storage path): Netflow データが保存されるディレクトリです。重要: Netflow データを保存するディスクのアクセス速度はパフォーマンスに影響します。
  • デーモン間隔(Daemon interval): データファイルをローテートする時間間隔(秒)です。3600を推奨します。間隔を大きくすると大きなファイルとなり、I/O のオーバーヘッドは小さくなりますが、特定の時間間隔におけるデータの検索は遅くなります。
  • デーモンバイナリパス(Daemon binary path): nfcapd バイナリのパスです。
  • Nfdump バイナリパス(Nfdump binary path): nfdump バイナリのパスです。
  • 最大グラフ解像度(Maximum chart resolution): Netflow グラフを表示するエリアの最大サイズです。解像度を高くするとパフォーマンスが下がります。50 と 100 の間の値をお勧めします。
  • ライブビューカスタムフィルタの無効化(Disable live view custom filters): 有効にすると、管理者によってあらかじめ作成された Netflow フィルタのみが Netflow ライブビューで利用できます。
  • Netflow 最大保存期間(Netflow max lifetime): 指定した日数よりも古い Netflow データが削除されます。

Once netflow configuration is enabled, Pandora FMS server must be restarted to start nfcapd server. This server must be accesible on system path and properly installed. Check server logs on any doubt. This server will not appear in Pandora FMS server view because it is not a Pandora server.

netflow 設定を有効にした場合、nfcapd サーバを起動するために Pandora FMS サーバを再起動する必要があります。このサーバは、システムからアクセスできるパスにインストールされている必要があります。動作に関して疑問点があればサーバログを確認してください。このサーバは、Pandora FMS サーバではないため、サーバ表示には現れません。

フィルタ

You may access the creation and edition of filters by clicking on 'Administration' and 'NetFlow Filters'. This section contains a list of already created filters which can be of course altered or deleted.

'システム管理(Administration)' および 'NetFlow フィルタ(NetFlow Filters)' をクリックすることにより、作成および編集ができます。ここでは作成済のフィルタ一覧が表示され、変更したり削除したりできます。


ファイル:Netflow3.png



You can also create a filter directly from the "Netflow live view", saving the active filter as a new one. Netflow filters can be "basic" or "advanced". The difference is that the former have fixed filtering fields (source IP, destination IP, source port, destination port) and the advanced ones are defined by an expression pcap (standard in filtering expressions for network traffic) and use all kinds of tools.

"Netflow ライブビュー" からも直接フィルタを作成でき、アクティブフィルタを新規保存することもできます。 Netflow フィルタには "基本" または "高度" があります。違いは、前者はフィルタリングフィールド(送信元IP、送信先IP、送信元ポート、送信先ポート)を固定し、高度な方は pcap (ネットワークトラフィックのフィルタリングを標準入力にて)および関連ツールを用います。

フィルタ作成

This would be a basic editing view of a Netflow filter:

Netflow フィルターの基本的な編集画面:



ファイル:Netflow4.png



The configurable NetFlow filters pertaining to this particular feature are the following:

The Netflow filters allows to define some features that we are going to explain now.

この機能における設定可能な NetFlow フィルタは次のとおりです。

  • Name: It's advisable that the name of the filter would be descriptive.
  • 名前(Name): フィルタの名前です。解りやすいものを定義してください。
  • Group:An user could only create one filter or edit one filter of one group to it has access to.
  • グループ(Group): 1ユーザは、アクセス可能なグループの一つのフィルタのみ作成または編集できます。
  • Filters: There are two types of filters, basic and advanced. Advanced filters allow using advanced expressions in the same format as nfdump. Basic filters can filter traffic by source Ip, destination Ip, source port or destination port. Lists of comma separated Ips or ports are accepted.
  • フィルタ(Filters): フィルタには、基本と拡張の 2つのタイプがあります。拡張フィルタは、nfdump と同じフォーマットの拡張表現が利用できます。基本フィルタは、発信元IP、宛先IP、発信元ポート、宛先ポートで通信をフィルタできます。カンマで区切った IP またはポートリストが利用できます。
  • Aggregate by: All traffic data can be grouped by one of the following fields:

IP Origin: shows the traffic for each IP of different origin
IP Destination: shows the traffic for each IP of different destination
Origin Port: shows the traffic for each port of different origin
Destiny Port: shows the traffic for each port of different destination
Protocol: shows the traffic for each different protocol.
Any: (the data will be total).

  • 集約(Aggregate by): 通信が次の基準で集約されます:

発信元 IP(IP Origin): 異なる発信元 IP ごとに通信を表示します。
宛先 IP(IP Destination): 異なる宛先 IP ごとに通信を表示します。
発信元ポート(Origin Port): 異なる発信元ポートごとに通信を表示します。
宛先ポート(Destiny Port): 異なる宛先ポートごとに通信を表示します。
プロトコル(Protocol): 異なるプロトコルごとに通信を表示します。
全て(Any): (全データ)

Basic web traffic filter example:

基本ウェブ通信フィルタの例:



ファイル:Netflow5.png



Advanced intranet traffic filter example:

高度なイントラネット通信フィルタの例:



ファイル:Netflow6.png



Here are other examples of advanced filters:

以下に、他のフィルタ例を示します。

  • Capture traffic to or from 192.168.0.1:
host 192.168.0.1
  • Capture traffic to 192.168.0.1:
dst host 192.168.0.1
  • Capture traffic from 192.168.0.0/24:
src net 192.168.0.0/24
  • Capture HTTP and HTTPS traffic:
(port 80) or (port 443)
  • Capture all traffic except DNS:
port not 53
  • Capture SSH traffic to 192.168.0.1:
(port 22) and (dst host 192.168.0.1)
  • 192.168.0.1 発または宛のトラフィックをキャプチャ:
host 192.168.0.1
  • 192.168.0.1 宛のトラフィックをキャプチャ:
dst host 192.168.0.1
  • 192.168.0.0./24 発のトラフィックをキャプチャ:
src net 192.168.0.0/24
  • HTTP および HTTPS のトラフィックをキャプチャ:
(port 80) or (port 443)
  • DNS 以外の全トラフィックをキャプチャ:
port not 53
  • 192.168.0.1 宛の SSH トラフィックをキャプチャ:
(port 22) and (dst host 192.168.0.1)

レポート

Netflow reports are integrated with Pandora FMS reports (see Reports for more information).

Netflow レポートは、Pandora FMS のレポート機能に統合されています。(詳細は、 レポート を参照してください)

To create a report item, choose one of the available netflow report items.

新たにレポートアイテムを作成するには、netflow レポートアイテムの一つを選択します。

900px

And configure it. The following options are available:

そして、設定します。次のオプションがあります。

900px

  • Type: Item types will be explained below.
  • タイプ(Type): 以下に説明するアイテムのタイプです。
  • Filter: Netflow filter to use.
  • フィルター(Filter): 利用する Netflow フィルタです。
  • Description: Item description.
  • 説明(Description): アイテムの説明です。
  • Period: Length of the interval of data to display.
  • 間隔(Period): データを表示する期間です。
  • Resolution: Data will be retrieved in blocks of size equal to the resolution. If Period / Resolution is bigger than the configure maximum chart resolution the resolution will be dynamically readjusted. For example, for a period of 1 day and a resolution of 1 hour 24 points will be drawn in the chart.
  • 解像度(Resolution): データは、解像度に指定したサイズで取得されます。もし、間隔/解像度を最大グラフ解像度より大きく設定すると、動的に再調整されます。例えば、間隔が 1日で、解像度が 1時間の場合、24ポイントがグラフに表示されます。
  • Max. values: Maximum number of elements for aggregates. For example, if a chart of HTTP traffic is drawn aggregated by source IP address and Max. values is set to 5, only 5 IP addresses will be shown.
  • 最大値(Max. values): 集約する要素の最大値です。例えば、HTTP トラフィックのグラフを書く場合、ソースIPアドレスで集約し、最大値が 5 であれば、5つの IP アドレスのみが表示されます。

There are three types of netflow report items:

netflow レポートのアイテムは、3種類あります。

  • Area chart: An area chart, either aggregated or unaggregated.
  • 塗りつぶしグラフ(Area chart): 集約または未集約の塗りつぶしグラフです。

600px

  • Data table: A text representation of the area chart.
  • データ一覧(Data table): 塗りつぶしグラフをテキストで表したものです。

600px

  • Netflow summary chart: Summary of traffic for the given period. There are three elements: a table with global information, a pie chart with the most relevant IPs or ports and a table with the same information as the broken down pie chart.
  • Netflow サマリグラフ(Netflow summary chart): 指定した間隔のトラフィックサマリです。グローバル情報を含む表、最も関連性のある IP またはポートを含む円グラフ、分割された円グラフと同じ情報を含む表の 3つの要素があります。

550px

Netflow ライブビュー

This view is used to consult the history of data captured based on different search filters. You can use filters and different ways of displaying information. It is necessary to define the way to group the displayed information, as well as the way to obtain this information in order to start visualizing data.

この表示は、さまざまな検索フィルタに基づいて取得されたデータの履歴を調べるために使用します。フィルタを使用して、さまざまな異なる情報を表示することができます。データの視覚化をするには、表示された情報をグループ化する方法と、この情報を取得する方法があります。

750px

The way to get the information can be by: Source IP, Destination IP, Source Port or Destination Port. If you choose, for example, to show the destination IP information, the information ordered by the IP's with the most traffic to the destination from highest to lowest will be shown. The same would be true for knowing the consumption of your network by protocol, choosing by destination port.

情報を取得する方法の場合、発信元IP、宛先IP、送信元ポート、宛先ポートから行います。たとえば、受信先 IP 情報を表示するように選択した場合、受信先へのトラフィックが最も多い IP から最も低い IP の順に表示されます。 宛先ポートを選択して、プロトコルごとにネットワークの利用量を見る場合も同じことが言えます。

The possible ways of visualization are the following:

可能な表示方法は以下の通りです。

  • Area Graphs (stacked): show over time (from the date of origin to the date of destination), the evolution of the data. The level of precision of the graph in the "Resolution" token must be chosen.
  • 塗りつぶしグラフ(Area Graph) (積み重ね): 時間の経過とともに(開始日から終了日まで)、データの変化を表示します。 "解像度(Resolution)" で、グラフの精度を選択する必要があります。

600px

  • Summary: Displays a summary table, a pie chart and a table with data for the entire period.
  • 概要(Summary): サマリ表、円グラフ、および期間全体のデータを含む表を表示します。

600px

  • Detailed: Shows a map of portions that represent the IP traffic.
  • 詳細(Detailed): IP トラフィックを表すマップを表示します。

600px

  • Data table: Displays a data table with each IP and a number of rows depending on the chosen resolution.
  • データ表(Data table): 選択に応じて、各 IP と行数を含むデータテーブルを表示します。

600px

  • Circle graph: Displays an interactive pie chart representing the pairs of connections between IP and traffic volume.
  • 円グラフ(Circle graph): IP とトラフィック量の間の関係を表すインタラクティブな円グラフを表示します。

600px

The filters can be viewed in real time from "Operation > Netflow Live View". This tool allows you to visualize the changes that are made to a filter and save it once the desired result is obtained. It is also possible to load and modify existing filters.

フィルタした情報は、"操作 -> Netflow -> ライブビュー" から表示できます。このツールで、フィルタの変更のプレビューおよび、好みの出力結果を保存できます。設定したフィルタをロードし編集することもできます。

See Reports and Filters to learn how to configure live view options.

ライブビューオプションの設定方法については、レポートフィルタ を参照してください。

ネットワークトラフィックマップ

This is a new features introduced in OUM 733 and will be improved in the future. It creates dynamic network maps, based on the traffic between nodes. It show you the relationship (connections) between different address, showing the top N connections (by size of data transferred between them).

これは、OUM 733 から追加された機能で、この先も改善の予定です。ノード間のトラフィックに基づいて動的なネットワークマップを作成します。異なるアドレス間の関係(接続)および、(データ転送量による)トップ N を表示します。

700px

分散設定

It is possible to locate the pandora node that collects Netflow data on a host independent from the console. In environments with a lot of Netflow data it is more than recommended to place it on a server with fast disks and a fast CPU of at least two cores. In order for Pandora console to extract Netflow data it will be necessary to modify the default configuration of the system, following the steps described below:

コンソールから独立したホスト上に Netflow データを収集する pandora ノードを配置することも可能です。大量の Netflow データがある環境では、高速ディスクと 2コア以上の高速 CPU を備えたサーバに配置することをお勧めします。 Pandora コンソールがNetflow データを抽出するためには、以下の手順に従ってシステムのデフォルト設定を変更する必要があります。

  • Configure automatic SSH authentication between the user who owns the web daemon and the user with the ability to run nfdump on the collector node.
  • Web デーモンを実行するユーザと、コレクターノードで nfdump を実行するユーザとの間の自動 SSH 認証を構成します。

For its configuration the steps below must be followed:

その設定には、次の手順を実行する必要があります。

Enable the apache user. In order to do this, the line of the apache user in the file /etc/passwd must be modified with this configuration :

apache ユーザを有効化します。それには、/etc/passwd ファイル内の apache ユーザを次のように編集します。

apache:x:48:48:Apache:/var/www:/bin/bash

Create the .ssh directory inside the /var/www directory and give it the correct permissions:

/var/www ディレクトリ内に .ssh ディレクトリを作成し、正しいパーミッションを設定します。

#mkdir /var/www/.ssh
#chown apache:apache /var/www/.ssh

Create ssh keys from the user and copy them to the server where the Netflow traffic is hosted.

ssh 鍵を作成し、それを Netflow トラフィックを収集するホストにコピーします。

#su apache
bash-4.2$ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/var/www/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /var/www/.ssh/id_rsa.
Your public key has been saved in /var/www/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:vYvl5V00E4faa14zN08ARzGUQ9IfAQJnMzkaqLAGRHI apache@<server>
The key's randomart image is:
+---[RSA 2048]----+
|+oE     ...*o=B+.|
|.o .   . .oo+o++ |
|  . o .   o o o+o|
|   o .   o   =  +|
|  .     S . . oo.|
|           .   +o|
|          o . o+=|
|         + + + +*|
|        . o . o .|
+----[SHA256]-----+
bash-4.2$ ssh-copy-id root@<netflow_server>

Once shared, it must be verified that it is possible to access the server through the apache user without entering a password:

コピーしたら、パスワード無しで apache ユーザがサーバにアクセスできるかどうかを確認します。

bash-4.2$ ssh usuario@<netflow_server>
  • Create a script in Pandora FMS console that replaces /usr/bin/nfdump with one similar to the following
  • 以下のように Pandora FMS コンソールで /usr/bin/nfdump を置き換えるスクリプトを作成します。
#!/bin/bash
NFDUMP_PARAMS=$(sed 's/(\(.*\))/\"\(\1\)\"/' <<< "$@");

ssh usuario@<netflow_server> "/usr/bin/nfdump $NFDUMP_PARAMS"

Give the script execution permissions:

スクリプトに実行パーミッションを与えます。

chmod 755 /usr/bin/nfdump

Try executing the script like this:

以下のようにスクリプトを実行してみます。

/usr/bin/nfdump -V

It should return something similar to:

つぎのような応答があります。

nfdump: Version: 1.6.13

Pandora NTA によるネットワーク監視

Pandora Network Traffic Analyzer (Pandora NTA) is a network traffic analysis tool designed for environments where you don't want, or can't, use Netflow to do a network analysis. It is important to highlight that they offer slightly different functionalities,'Netflow shows information (related to ports) that Pandora NTA does not show and Netflow allows a much more advanced real time interface, as well as unique features such as being able to create data modules as a result of advanced filters of PCAP expressions.

Pandora Network Traffic Analyzer(Pandora NTA)は、Netflow を使用したくない、または使用できない環境用に設計されたネットワークトラフィック分析ツールです。NetFlow は Pandora NTA が表示できない情報(ポートに関連した情報)を表示し、NetFlow はより高度なリアルタイムインターフェースを可能にするだけでなく、PCAP の高度なフィルタの結果としてデータモジュールを作成できるなど、提供される機能はわずかに異なります。

As a base for Pandora NTA/NTOP we use a fork of the NTOP project (of the version licensed as GPL2), besides the own code of the Pandora FMS project. It is in charge of collecting the data and sending them in XML format to Pandora FMS server. All that code is available in our public repository for anyone who wants it, because it is a 100% opensource functionality.

Pandora NTA/NTOP のベースとして、Pandora FMS プロジェクトのコードの他に、NTOP プロジェクト(GPL2としてライセンスされています)をフォークしたものを使用しています。データの収集と XML フォーマットでの Pandora FMS サーバへのデータ送信を担当します。 100% オープンソースの機能であるため、だれもが公開されたリポジトリからソースコードを利用できます。

Pandora NTA uses one or several network sensors to inspect traffic and generate consumption statistics by source IP and destination IP. It does not generate specific traffic information by port or application, for that more advanced function NetFlow should be used.

Pandora NTA は 1つまたは複数のネットワークセンサーを使用してトラフィックを検査し、送信元 IP と宛先 IP ごとに統計を行います。ポートやアプリケーションごとの特定のトラフィック情報は生成しません。それが必要な場合は、より高度な機能である NetFlow を使用する必要があります。

Pandora NTA is a simple way to monitor your network at a low level, without investing in specialized hardware or third party tools, and incorporate this information in your existing monitoring platform.

Pandora NTA は、特殊なハードウェアやサードパーティのツールを用意することなく、ネットワークを低レベルで監視し、この情報を既存の監視プラットフォームに取り込むための簡単な方法です。

Pandora NTA offers:

Pandora NTA は以下を提供します。

  • Detailed consumption by incoming and outgoing traffic of each local IP of the local network.
  • Detection of network problems (by generating events).
  • Specific reports on network consumption, by source IP.
  • A list of the destination IPs with the most traffic per source IP on the network.
  • Reports of local network consumption by origin, dynamic maps and search and filtering options with the accumulated data.
  • ローカルネットワークの各ローカル IP の送受信トラフィックの詳細。
  • ネットワークの問題の検出(イベントの生成による)
  • 送信元 IP 別のネットワーク流量に関する具体的なレポート。
  • ネットワーク上の送信元 IP あたりのトラフィックが最も多い宛先IPのリスト。
  • 発信元別のローカルネットワーク流量のレポート、動的マップ、および累積データを含む検索およびフィルタリングオプション。

With the individual traffic data of each network equipment, Pandora NTA will be able to generate alerts, TopN reports and use any other Pandora FMS function, since they are saved as modules of an agent.

Pandora NTA では、データはエージェントのモジュールとして保存されるので、各ネットワーク機器の個々のトラフィックデータで、Pandora NTA は、アラートの生成、トップN レポートの生成、その他 Pandora FMS 機能を利用することができます。

アーキテクチャと機能

Se necesitará instalar la sonda Pandora-NTOP en una máquina que tenga acceso al tráfico de la red LAN, generalmente en un servidor Linux que actúa como router o firewall, o bien redireccionando el tráfico a un puerto por medio de un port-mirror desde un switch, firewall o router. También se puede duplicar el tráfico en un sólo sentido por medio de un TAP, pero requerirá un equipamiento hardware específico.

LAN トラフィックにアクセスできるマシン、通常はルータやファイアウォールとして機能する Linux サーバにPandora-NTOP プローブをインストールする必要があります。 スイッチ、ファイアウォール、またはルータからのポートミラや、TAP を使用してトラフィックを一方向に複製することもできますが、特定のハードウェア機器が必要になります。

Info.png

It's important to understand that if Pandora NTA is installed in an ordinary computer, without previously making a portmirror or connecting a TAP that redirects traffic to that machine, it will not receive all the network traffic, it will only observe the traffic generated by that machine, not the rest of the network.


Info.png

Pandora NTA を通常のコンピュータにインストールした場合、事前にポートミラーを作成したり、トラフィックをそのマシンにリダイレクトする TAP を接続したりしないと、すべてのネットワークトラフィックが受信されるわけではないので注意してください。 そのマシンを出入りするトラフィックのみで、ネットワーク全体のトラフィックではありません。


Pandora-NTOP will listen to the traffic and will generate data without storing them in any place (it keeps them in the RAM). Pandora NTA will send the data collected by Pandora-NTOP to Pandora FMS Data Server. You can install as many Pandora NTA as you need, if there are several local networks and several listening points, you can perform a distributed deployment.

Pandora-NTOP は、トラフィックを受信しデータを保存せずに生成します(RAM 上に保存します)。Pandora NTA は、収集したデータを Pandora FMS データサーバへ送信します。 Pandora NTA を必要なだけインストールできます。 複数のローカルネットワークおよび収集ポイントがある場合は、分散した展開が可能です。

Pandora NTA also offers information related to problems in the local network in real time, since it can generate events of three types:

Pandora NTA は、3種類のイベントを生成することができ、ローカルネットワークの問題に関する情報もリアルタイムで提供します。

  • Invalid mask (Wrong netmask).
  • Sending data via port p (Host sent data to zero port).
  • Duplicate MAC Address (Duplicated mac).
  • ネットマスクの不正(Wrong netmask)
  • ポート p 経由でのデータ送信(Host sent data to zero port)
  • MAC アドレスの重複(Duplicated mac)

Alerts of events can be created to know in real time, for example, when a duplicate MAC appears in your system. The English text strings described above should be used to create an event alert.

たとえば、重複した MAC がシステムに出現したときなど、イベントのアラートをリアルタイムで確認することができます。上記の英語のテキスト文字列でイベントアラートが作成されます。

インストール

A tarball compatible with CentOS 7 is currently available. It is distributed compressed in a tgz, available in Pandora FMS modules library in the Pandora FMS library. To install it unzip it:

CentOS 7 で利用可能な tarball を提供しています。圧縮した tgz 形式で提供しており、Pandora FMS ライブラリ にあります。インストールするには、展開する必要があります。

tar xvzf pandora_nta.tgz

Then run the installation script inside the uncompressed directory.

展開したディレクトリ内で、インストールスクリプトを実行します。

cd pandora_nta_tarball
./install_pandora_nta.sh --install

To uninstall Pandora NTA you have to launch the same script in the following way:

Pandora NTA をアンインストールするには、同じスクリプトを次のように実行します。

./install_pandora_nta.sh --uninstall

If the version of Pandora FMS distributed in ISO is installed, it will already be installed in the system, only having to activate it (From OUM 733).

Pandora FMS を ISO イメージからインストールした場合はすでにインストール済ですので、有効化だけします。(OUM 733 以上)

To start it, in a CentOS7 it will be enough to execute

開始するには、以下のように実行します。

systemctl start pandora_nta

必要要件

The Perl part of Pandora NTA needs some dependencies, besides having a Perl interpreter in the machine where it runs.

Pandora NTA の Perl 部分は、それが動作するマシンに Perl のインタプリタが入っていること以外に、いくつかの依存ファイルを必要とします。

Pandora NTA uses external Perl modules. Some of them are part of the Core and others are distributed in the normal installations of the interpreter. This is the list of external modules used:

Pandora NTA は外部の Perl モジュールを利用します。いくつかはコアの一部であり、他は通常のインストールで配布されています。以下は利用されている外部モジュールの一覧です。

  • Getopt::Std
  • Config::Simple
  • LWP::Simple
  • Sys::Hostname
  • JSON
  • POSIX
  • MIME::Base64
  • XML::Simple
  • Digest::SHA

To find out if a dependency is missing just run the main script with the -h option, and if an error appears instead of a help window it means that dependencies are missing. With this error you can see what they are and you can install them with CPAN or directly by downloading the Perl packages from the official repositories of each distribution.

依存関係が欠けているかどうかを調べるには、-h オプションを付けてメインスクリプトを実行するだけです。ヘルプウィンドウの代わりにエラーが表示された場合は、依存関係が欠けていることを意味します。エラーによって何が必要であるかを見ることができます。CPAN もしくは、各配布元の公式リポジトリから直接 Perl パッケージをダウンロードすることによってそれらをインストールすることができます。

From the binary part of Pandora NTA based on NTOP (Pandora-NTOP), you can obtain the code for its compilation from the public repository of github (https://github.com/pandorafms), or use one of the precompiled binaries that are distributed in the Pandora FMS modules library in (https://pandorafms.com/library). It is distributed by default in the ISO images of Pandora FMS installation from NG 733.

NTOP(Pandora-NTOP) に基づく Pandora NTA は、github の公開リポジトリ (https://github.com/pandorafms) からコンパイルするためのソースコードを入手することができます。コンパイル済のバイナリは Pandora FMS モジュールライブラリ (https://pandorafms.com/library) で配布しています。NG 733 以降の Pandora FMS のインストール ISOイメージでは、デフォルトで含まれています。

Pandora NTA の設定

Parameters accepted by command line

コマンドラインで指定可能なパラメータ

-h: Shows help.
-f: Path of the configuration file. It is not necessary because the default configuration can be used. The user must have read permissions on the file.
-h: ヘルプの表示。
-f: 設定ファイルのパス。デフォルトの設定ファイルが利用されるため指定は必須ではありません。ユーザはファイルに対する読み出し権限が必要です。

Parameters of the Configuration file pandora_nta.conf

設定ファイル pandora_nta.conf のパラメータ

daemon

daemon

If set to 1, the program is executed in the background (0 by default).

1 に設定すると、プログラムはバックグラウンドで実行されます。(デフォルトは 0)

encoding

encoding

Encoding of XML sent through Tentacle. It will go in the XML header (UTF-8 by default).

tentacle を通して送信する XML のエンコーディングです。XML ヘッダーに記載されます。(デフォルトは UTF-8)

interval

interval

Interval in seconds between two Pandora NTA work cycles (300 seconds by default).

Pandora NTA の動作サイクルを秒で指定します。(デフォルトは 300秒)

log_file

log_file

File where to dump the application logs. It has to have writing permissions on the file and the folder that contains it. If it doesn't exist, Pandora NTA creates it automatically (by default it overturns it to STDOUT).

ログ出力先のファイルです。指定のファイルおよびフォルダに書き込み権限がある必要があります。ファイルが存在しない場合は、Pandora NTA が自動的に作成します。(デフォルトでは STDOUT に出力します)

retries

retries

The number of consecutive failures that the application can give before it is considered to be a serious error and stops. If it is at 0 it will never stop, no matter how many bugs there are (2 by default).

アプリケーションが重大なエラーと見なして停止するまでに、連続して失敗を許容する回数。0 に設定すると何度失敗しても停止することはありません。(デフォルトは 2)

transfer_timeout

transfer_timeout

Maximum time in seconds to send the files by Tentacle. If this time is exceeded, Pandora NTA will restart all its state and memory (15 seconds by default).

tentacle でファイルを送信する最大秒数です。この時間を超過すると、Pandora NTA はすべての状態をリセットし再起動します。(デフォルトは 15秒)

verbose

verbose

Level of information dumped by the log. The higher it is, the more information it yields. With 0 nothing is shown, with 3 serious errors are shown, with 5 warnings are shown and with 9 everything is shown. Very high values are not recommended so that you do not consume too much disk (3 by default).

ログファイルに記録する情報レベルです。数字が大きいほどより多くの情報が記録されます。0 の場合は何も記録されません。3 の場合は重大なエラーが記録されます。5 の場合は警告が記録され、9 の場合はすべてが記録されます。多くのディスクを消費するため高い値はお勧めしません。(デフォルトは 3)

quiet

quiet

Doesn't show error messages.

エラーメッセージを表示しません。

cache_file

cache_file

Folder where the cache file of the application is. It is necessary to write in this file. If it is not created, Pandora NTA creates it. You have to be careful when changing it, because you can create a new one and duplicate the agents that send information to Pandora, since it doesn't find their names and would generate new ones (* /tmp/pandorata_cache.json*).

アプリケーションのキャッシュファイルのフォルダです。ファイルに書き込める必要があります。存在しない場合は、Pandora NTA が作成します。名前を見つけられないと新しいエージェントを生成することにより、新しいエージェントを作成して Pandora に情報を送信するエージェントを複製することになるため、変更するときは注意が必要です。(* /tmp/pandorata_cache.json*)

ntop_host

ntop_host

Host to which to make Pandora-NTOP web server requests (by default localhost).

Pandora-NTOP ウェブサーバリクエスト送信先のホストです。(デフォルトは localhost)

ntop_port

ntop_port

Port through which Pandora-NTOP process requests are made (default 3000).

Pandora-NTOP プロセスが処理するポート番号です。(デフォルトは 3000)

ntop_local_subnets

ntop_local_subnets

Subnets that are considered local by NTOP. If you want to specify more than one subnet, you can concatenate them with commas (for example ntop_local_subnets 192.168.50.0/24,114.15.0.0/16.

NTOP によりローカルと認識されるサブネットです。複数のサブネットを指定したい場合は、カンマ区切りで続けることができます。(例: ntop_local_subnets 192.168.50.0/24,114.15.0.0/16)

Template warning.png

If there is no subnet configured it will dump information to Pandora of all the hosts that NTOP discovers (default option). Please make sure to configure at least one local network.


Template warning.png

サブネット設定が無い場合、NTOP が見つけた全ホストの情報を Pandora へ送ります(デフォルトオプション)。少なくとも 1つのローカルネットワークを設定してください。


ntop_logs_to_syslog

ntop_logs_to_syslog

If it's set to 1 NTOP it dumps its logs into syslog. Otherwise it doesn't dump them anywhere (0 by default).

1 に設定すると、NTOP はログを syslog に転送します。そうでなければ、どこにも出力しません。(デフォルトは 0)

self_name

self_name

Alias of the self-monitoring agent. Once the cache file has been created, it cannot be changed since the Data Server does not support changing the alias through XML (pandoraNTA by default).

自己監視エージェントの別名です。 キャッシュファイルが作成されると、データサーバは XML を介した別名の変更をサポートしていないため、別名を変更することはできません。(デフォルトは pandoraNTA)

tentacle_host

tentacle_host

Host where is the Tentacle server that will receive the XML (by default localhost).

XML を受信する tentacle サーバのホストです。(デフォルトは localhost)

tentacle_port

tentacle_port

Port where the Tentacle server is listening to receive the XML (default 41121).

XML を受信する tentacle サーバのポート番号です。(デフォルトは 41121)

temp_dir

temp_dir

Directory where XML is written for the Tentacle client to send them. You have to have write permissions. (default /tmp).

tentacle クライアントが XML を送信するために利用するディレクトリ。書き込み権限が必要です。(デフォルトは /tmp)

展開と起動

The pandora_db script deletes the NTA connection data from the history. The number of days this information remains in the system can be configured in the Performance section of the console configuration.

pandora_db スクリプトは、履歴から NTA 接続データを削除します。 この情報がシステムに残る日数は、コンソールの パフォーマンス 設定画面で設定できます。

表示

By default (although this behavior can be modified in the configuration of pandora_nta.conf) an agent called Pandora NTA will be created that will contain the following metrics:

デフォルトでは、Panodra NTA というエージェントが作成され(pandora_nta.conf の設定で変更できます)、次の要素を含んでいます。

  • The state of the NTA system
  • The number of IP's discovered by the system.
  • Sum of the traffic flow of the whole network (input and output).
  • Current transfer rate of the network (input and output).
  • Packages in the network (input and output).
  • NTA システムの状態
  • システムによって検出された IP の数
  • ネットワーク全体のトラフィックの合計 (入出力)
  • 現在のネットワークの転送速度 (入出力)
  • ネットワークのパケット数 (入出力)

700px
Vista del nodo central NTA que resume todos los datos すべてのデータを要約したセントラルノード NTA の表示

In addition, the system will create an agent for each one of the IP's it finds in the local network (as defined in pandora_nta.conf).

加えて、システムは、ローカルネットワークで見つけたそれぞれの IP のエージェントを作成します(pandora_nta.conf で定義された通り)。

For each managed IP, the same parameters will be monitored:

それぞれの管理 IP では、同じパラメータが監視されます。

  • Sum of the traffic flow of the whole network (input and output).
  • Current network transfer rate (input and output).
  • Packages in the network (input and output).
  • MAC address associated with the IP.
  • ネットワーク全体のトラフィックの合計 (入出力)
  • 現在のネットワークの転送速度 (入出力)
  • ネットワークのパケット数 (入出力)
  • IP に関連付けられた MAC アドレス

700px
"View of an NTA agent with its data modules." "データモジュールをもつ NTA エージェントの表示"

レポート

An NTA-specific report is available when creating reports:

レポート作成に、NTA 特有のレポートがあります。

ファイル:Pandora NTA report create.png

This report shows a top-N of network consumption in the last X days of all IP analyzed by Pandora NTA:

このレポートは、Pandora NTA によって見つかったすべての IP における、直近 X 日間のネットワーク利用のトップ N を表示しています。

ファイル:Pandora NTA sample report 1.png

NTA エクスプローラ

Pandora has a view in which you can visualize network data provided by Pandora NTA in real time. It is a much more flexible view than reports and useful to detect network problems with a few clicks.

Pandora は、Pandora NTA によって提供されたネットワークデータをリアルタイムで表示することができます。レポートよりも柔軟性があり、数クリックでネットワークの問題を見つけるのに便利です。

600px

This view shows the IPs with the most outgoing or incoming traffic. The top of IPs can be set by number of packets or by number of bytes. In addition, there is the possibility of filtering by a specific IP, to see the IP's to which there is traffic from that source.

これは、最も入出力のトラフィックが多い IP を表示しています。パケット数またはバイト数が多い上位の IP が設定されます。さらに、特定の IP でフィルタリングして、その送信元からのトラフィックがある IP を確認することもできます。

For example, if there is an IP that sends a lot of data and you want to see where it sends it, just click on the filter icon next to the IP and you will see a list and a graph with the addresses that receive data from that IP. In this way, detecting the most overloaded pairs on a given date is quite simple.

たとえば、大量のデータを送信する IP があり、送信先を確認するには、IP の横にあるフィルタアイコンをクリックするだけで、データを受信したアドレスのリストとグラフが表示されます。このように、ある日に最も過負荷になっているペアを検出するのは非常に簡単です。

NTA 利用量マップ

This view allows you to display the traffic in a certain time interval in the form of a topological map. Simply select a start date and an end date, showing the IPs with the most outgoing or incoming traffic.

この表示では、トポロジマップの形式で特定の時間間隔のトラフィックを表示できます。 開始日と終了日を選択するだけで、最も送信トラフィックまたは受信トラフィックが多い IP が表示されます。

ファイル:Usage map.png

Go back to Pandora FMS documentation index

Pandora FMS ドキュメント一覧に戻る