NetFlow データの表示、フィルタリング、およびレポート (レガシー UI)
最終更新日: 28 年 2024 月 XNUMX 日ネットワークトラフィックフローデータの収集が正しく構成され、有効になっている場合。 NetFlowのモニタリングの設定、[リソース]ページには、[トラフィック]タブと呼ばれるデバイスのデータの追加タブが表示されます。
[トラフィック]タブは、トップトーカー、トップフロー、トップの送信元/宛先エンドポイント、トップポートなど、一般的なネットワークトラフィックフロー統計を示す組み込みのテーブル、グラフ、およびチャートで構成されています。 データはいくつかの基準でフィルタリングでき、[トラフィック]タブに表示される個々のデータの視覚化をウィジェットとしてダッシュボードに追加できます。
Data Retention
LogicMonitorには、エクスポートされたネットワークトラフィックフローデータに対する特定のデータ保持ポリシーがあります。 ポリシーは インターフェイスごと、およびデータは、次のスケジュールに従ってサンプリングおよび保持されます。
- 生データは最大XNUMX分間保持されます。
- 1000分ごとに、上位30のフローが現在の生データのプールから取得され、最大XNUMX分間保持されます。
- 30分ごとに、1000分間隔ごとに保持されている上位6000フロー(この時点では、最大1000フローに対して合計24つの間隔があります)が結合され、上位XNUMXフローがプルされて最大XNUMXフローまで保持されます。 XNUMX時間。
- 24時間ごとに、1000分間隔ごとに保持されている上位30フロー(この時点では、最大48人の寄稿者に対して合計48,000間隔)が結合され、上位1000フローがプルされてローリングで保持されます。アカウント保持プランに基づいて、最大400暦日の期間の基準。
次のデータが保持されます。
- 流れ方向
- ソースIP
- ソースポート
- 宛先IP
- 宛先ポート
- プロトコル
- StartEpochInSeconds
- EndEpochInSeconds
- TCPフラグ
- インターフェースイン
- インターフェースアウト
- 受信したパケット
- 受信バイト数
- 送信されたパケット
- 受信バイト数
- アプリケーション名
- アプリケーションカテゴリ
ネットワークトラフィックフローデータの表示
ネットワークトラフィックフローデータは、このデータの収集が有効になっているデバイスの[リソース]ページに表示される[トラフィック]タブから表示されます。
デバイスまたはデバイスグループレベルでのデータの表示
ネットワークトラフィックフローデータをデバイスレベル(つまり、デバイスごと)で表示することに加えて、[トラフィック]タブには、XNUMXつ以上の有効なデバイスをメンバーとして持つデバイスグループも表示されます。
デバイスグループレベルでは、[トラフィック]タブは、グループ内の有効なデバイスからのデータを集約します。 グループレベルの集約は、現在、グループごとに10のアクティブに貢献しているネットワークフロー対応デバイスに制限されています。 グループごとに積極的に貢献しているメンバーが 10 人を超える場合は、帯域幅消費量に基づく上位 10XNUMX 人が考慮されます。 デバイス ID は system.deviceID プロパティに保存され、新しいデバイスがモニタリングに追加されるたびに自動的にインクリメントされます。 デバイス ID を手動で更新することはできません。
集約されたネットワークトラフィックフローデータは、一部のユースケースで非常に役立つ場合があります。 たとえば、グループレベルのデータを使用して、オフィスごとまたはデータセンターごとにネットワークトラフィックを視覚化できます。 デバイスグループの詳細については、を参照してください。 デバイスグループの概要.
[トラフィック]タブのデータの視覚化
[トラフィック]タブには、ウィジェット、テーブル、グラフ、および円グラフの視覚化が表示され、一般的に収集されるネットワークトラフィックフローデータが示されます。 NetFlow Healthウィジェットを除いて、これらのビジュアライゼーションの時間範囲は、ポータルで現在設定されている世界時の範囲によって制御されます。 時間範囲の変更.
[トラフィック]タブは、次の組み込みデータの視覚化で構成されています。
NetFlowHealthウィジェット。 ネットワークトラフィックフローの監視操作の状態を一目で確認できます。 このウィジェットは[トラフィック]タブの最上部にあり、堂々と展開したり折りたたんだりできます。 NetFlow Healthウィジェットの詳細については、を参照してください。 NetFlowモニタリング操作のトラブルシューティング.
スループットグラフ。 デバイスのスループット(ビット/秒)を表示します。 デバイスグループレベルで表示する場合、このグラフには、グループ内の最大10台のデバイスの総スループットが表示されます(これらのデバイスは、ネットワークグループデバイスの表/円グラフに一覧表示されます)。
ご注意: スループットグラフは、LogicMonitorインターフェイス全体の他のグラフを操作するのと同じ方法で操作できます(たとえば、Ops Notesの追加、グラフデータのダウンロード、凡例のカスタマイズなど)。 詳細については、を参照してください。 [グラフ]タブ.
トップトーカーの表/円グラフ。 デバイスのトップトーカーの使用状況の詳細を表示します。 デバイスグループレベルで表示する場合、この視覚化により、グループ内の最大10個のデバイスにわたるトップトーカーの使用状況の詳細が表示されます(これらのデバイスは、ネットワークグループデバイスの表/円グラフに一覧表示されます)。
上位のソース/宛先エンドポイントの表/円グラフ。 これらのXNUMXつのデータ視覚化は、デバイスレベルでのみ利用可能で、上位の送信元および宛先エンドポイントIPの使用状況の詳細を表示します。
トップフローテーブル/円グラフ。 デバイスの上位フローの使用状況の詳細を表示します。 デバイスグループレベルで表示する場合、このビジュアライゼーションには、グループ内の最大10個のデバイスの上位フローが表示されます(これらのデバイスは、ネットワークグループデバイスの表/円グラフに一覧表示されます)。
注意:インターフェース名はインターフェース時に表示されます index Netflowデータに存在し、同じインデックスがDataSourceで始まる場合 snmp64_if.
ネットワークグループデバイスの表/円グラフ。 デバイスグループレベルでのみ使用できます。 グループレベルで表示される集約フローデータに貢献しているNetFlow対応デバイス(最大10)のリストを表示します。 この視覚化で示されているデバイスは、このグループレベルで他のすべての視覚化にデータを提供しているデバイスです。
注意: デバイスは、最初にホストの表示名に基づいてアルファベット順にソートされ、10 個の NetFlow 対応デバイスが取得されます。 データを集計した後、デバイスは使用状況に基づいて再度並べ替えられます。
QoSテーブル/円グラフ。 差別化サービスコードポイント(DSCP)タイプごとにサービス品質(QoS)データを表示します。 デバイスグループレベルで表示すると、この視覚化グラフには、グループ内の最大10台のデバイスのQoSデータが表示されます(これらのデバイスは、ネットワークグループデバイスの表/円グラフに一覧表示されます)。
トップポートテーブル/円グラフ。 デバイスレベルで利用可能は、トラフィックフローが最も多いポートのみを表示します。
トップアプリケーションの表/円グラフ。 デバイスレベルで利用可能は、トラフィックフローが最も多いアプリケーション(NBAR2から供給)のみを表示します。
ご注意: NBAR2データを収集するようにデバイス(およびLogicMonitor)を特別に構成していない限り、上位のアプリケーションの視覚化は空として表示されます。 NBAR2の要件と構成については、 NetFlowのモニタリングの設定.
レポートとダッシュボードウィジェットを介したデータの表示
[トラフィック]タブからネットワークトラフィックフローデータを表示するだけでなく、レポートやダッシュボードを介してこのデータを表示することもできます。
ダッシュボード
[トラフィック]タブに表示されるデータ視覚化の大部分は、[ダッシュボードに追加]アイコンを使用して、ウィジェットとしてXNUMXつ以上のダッシュボードに追加できます。 [トラフィック]タブで現在アクティブなフィルターは、受信者のダッシュボードによって保持されます。 ただし、ビジュアライゼーションは組み込みのNetFlowウィジェットの構造に追加されるため、これらのフィルターはダッシュボードからいつでも([トラフィック]タブとは関係なく)更新できます。
ご注意: 前述のように ウィジェットの概要、ダッシュページからデバイスごとにNetFlowダッシュボードウィジェットを構築することもできます。 組み込みのNetFlowウィジェットは、[トラフィック]タブと同じフィルターを提供します。
レポート
LogicMonitorは、ネットワークトラフィックフローデータ専用のレポートを提供します。 を参照してください NetFlowデバイスメトリックレポート 。
IP-DNSマッピングの構成
[トラフィック]タブ(および関連するレポートやダッシュボードウィジェット)に、すでに解決されているもの以外のIPアドレスに加えてDNS名を表示する場合は、個別に、またはアップロードすることで、明示的なIP/DNSマッピングを提供できます。 CSVファイル。
CSV ファイルを使用したマッピングのアップロード
CSV ファイルを使用してマッピングをアップロードする場合は、
- クリック 設定 の左上隅に トラフィック タブには何も表示されないことに注意してください。
- [セットアップ] ダイアログ ボックスで、 マッピング CSV をアップロード.
次の列が CSV ファイルに存在する必要があります。
IP-DNS マッピング CSV:
- start – DHCP 範囲の開始 IP アドレスが含まれます。
- end – DHCP 範囲の終了 IP アドレスが含まれます。
- dns – IP アドレスに関連付けられた DNS 名が含まれます。
- コレクター – (オプション) コレクター ID が含まれており、ネットワーク フロー データを収集するコレクターごとにマッピングを構成できます。 これは、コレクターごとまたはグローバルに差別化されたマッピングを確立する場合に特に役立ちます。
ご注意: クリックすることもできます フォーマット例を参照 テンプレートをダウンロードして必要な情報を入力し、CSV ファイルをアップロードします。
CSV マッピング テンプレートをアップロードしたら、[設定] ダイアログ ボックスからマッピングを編集できます。
手動でマッピングを作成する
マッピングは、ビジュアライゼーションの[説明]列にある任意の値にカーソルを置き、値を更新してクリックするだけで、その場で作成(または編集)できます。 Save 行の最後に表示されるボタン。 これにより、[IP-DNSマッピング]ダイアログに新しいエントリまたは更新されたエントリが作成されます。
ネットワークトラフィックフローデータのフィルタリング
[トラフィック]タブに表示されるトラフィックフローデータをフィルタリングして、関連性を最適化できます。 [トラフィック]タブのすべてのデータ視覚化にアクティブフィルターが適用されます。
フィルターの作成
フィルタを適用する前に、フィルタを保存する必要があります。 フィルタ条件のセットを作成して保存するには:
1.の右側にあるプラス記号アイコンをクリックします フィルタ フィールド。
2. 利用可能なフィルター セットの条件を選択します (利用可能な条件については、次のセクションで詳しく説明します)。
3.フィルターの名前をに入力します フィルタ名 フィールド。
4。 クリック Save.
保存すると、フィルター基準のセットは、内にあるドロップダウン矢印を使用して将来選択できるようになります。 フィルタ フィールド。 鉛筆アイコンまたはごみ箱アイコンを使用して、それぞれ編集または削除することもできます。
ご注意: フィルタは、ユーザーごとおよびデバイスごと(またはデバイスグループごと)に保存されます。 つまり、フィルターを作成したユーザーのみが将来的にフィルターにアクセスでき、フィルターの作成時にアクティブだったデバイスまたはデバイスグループからのみアクセスできます。
フィルタ基準
単一の保存されたフィルターセットを構成できるいくつかの個別のフィルターがあります。 次に、各フィルターの機能の概要を説明します。
インターフェイス。 インターフェース [トラフィック]タブの視覚化をインターフェイスのサブセットに制限するフィルター。
注意:インターフェース名はインターフェース時に表示されます index Netflowデータに存在し、同じインデックスがDataSourceで始まる場合 snmp64_if.
QoSタイプ。 QoSタイプ [トラフィック]タブの視覚化をQoSポリシーのサブセットに制限するフィルター。
上。 デバイスレベルでのみ使用可能です。 トップ フィルタを使用して、データの視覚化を上位10、20、50、または100の結果に制限します。
会話。 会話 XNUMX対XNUMX、XNUMX対多、多対XNUMX、または多対多のエンドポイント間の明示的な会話を制限(または除外)するフィルター。 このフィルターは、OR演算子を使用して結合される複数の基準セットの作成をサポートします。
方向。 リーダーシップ トラフィックの方向(入力または出力)に基づいて[トラフィック]タブの視覚化を制限するフィルター。
IPバージョン。 IPバージョン 使用されているIPバージョン(IPv4またはIPV6)に基づいて[トラフィック]タブの視覚化を制限するフィルター。
プロトコル。 プロトコル 使用されているプロトコル(UDPまたはTCP)に基づいて[トラフィック]タブの視覚化を制限するフィルター。
宛先ポート。 目的地。 ポート [トラフィック]タブの視覚化を宛先ポートのサブセットに制限するためのフィルター(コンマ区切りの値がサポートされています)。
NBAR2アプリケーション名とアプリタイプ。 NBAR2アプリケーション名 NBAR2によって提供されるように、アプリケーションのサブセットに制限(または除外)するフィルター。 使用 アプリの種類 NBAR2によって提供されるように、[トラフィック]タブの視覚化をアプリケーションタイプカテゴリのサブセットに制限するフィルター。
ご注意: これらの2つのNBAR2固有のフィルターは常に存在します。 ただし、NBAR2データを収集するようにデバイス(およびLogicMonitor)を特別に構成しない限り、影響はありません。 NBARXNUMXの要件と構成については、 NetFlowのモニタリングの設定.
ご注意: XNUMXつのフィルター内の複数の基準は、OR演算子を使用して結合されます。 同じ保存済みフィルターセット内の複数のフィルターにわたる基準は、AND演算子を使用して結合されます。