Nagios Network Analyzer - カスタムクエリの使用

Nagios Network Analyzer – カスタムクエリの使用
目的
この資料では、ネットワークフローデータを柔軟に使用する方法について説明します。
対象読者
この資料は、ネットワークフローデータフォレンジック分析を行うネットワーク管理者を想定してい
ます。
はじめに
この資料では、希望の情報を入手するため Nagios Network Analyzer を使ってフローデータを操作
します。この操作はデータを破壊することはありません。安心して操作してください。
前提条件
この資料では、すでに Nagios Network Analyzer がインストール済みで、有効な Netflow データが
存在することを想定しています。
用語説明
この資料では、dstip, srcip, dstport, srcport という単語がたくさん出てきます。それぞれ
は、「宛先 IP」, 「送信元 IP」, 「宛先ポート」, 「送信元ポート」に相当します。「宛先 IP」はトラフィッ
クが向かう IP アドレス、「送信元 IP」はトラフィックが生成される IP アドレス、「宛先ポート」はデータ
を受信するポート、「送信元ポート」はトラフィックが転送されるポートです。
dst, src はそれぞれ「宛先（受信先）」と「送信元」の意味で使用されます。
クエリの使用
ここではクエリの使用法について説明します。
Step 1.
Nagios Network Analyzer Web インターフェイスにログインします。
Step 2.
任意のソースを開きます。
メモ：画面上部の「ソース」メニューをクリックし、任意のソースを選択します。
Step 3.
「クエリ」タブをクリックします。
ジュピターテクノロジー株式会社
Nagios Network Analyzer – カスタムクエリの使用
rev 1.0
1
Nagios Network Analyzer – カスタムクエリの使用
Step 4.
クエリ条件を指定します。
•
集計：
フローをどのように互いを関連付けるか指定します。dstip, srcip, dstport
srcport のような値をカンマ区切りで入力してください。フローが集計されると指定
した条件ですべての値をグループ化します。例えば、dstip を指定した場合、宛先
IP 別の集計結果が表示されます。
例：以下は dstip を指定した場合の結果例です。
「宛先 IP」欄に表示される IP アドレスが一意であることをご確認ください。dstip が
同じ値であるデータがグループ化され１つのエントリとして処理されます（宛先 IP ア
ドレスごとに合計値が集計されます）。
このフィールドには、複数の条件を指定できます。例えば srcip を追加した
（dstip,srcip と入力）場合、dstip と srcip をユニークなエントリとして処理し
ます。IP A から IP B への接続が１つとして集計され画面に表示されますが、IP B
から IP A への接続は別ものとして処理されます。
集約フィールドに値を追加すればするほど、ユニークな値がより多く表示されます。
この結果、クエリ処理に時間がかかることにご注意ください。似たような値を区別し
て集約する必要がないのであれば、srcip,dspip を両方同時に指定する必要は
ありません。
•
期間：
クエリ対象の期間を指定します。
固定範囲（過去 24 時間、過去 2 日間、過去 1 週間、過去 1 ヶ月）またはカスタム範
囲（カスタム日付範囲、カスタム経過時間）を指定できます。
ジュピターテクノロジー株式会社
Nagios Network Analyzer – カスタムクエリの使用
rev 1.0
2
Nagios Network Analyzer – カスタムクエリの使用
「カスタム日付範囲」を使用すれば、1/1 PM 1:00 から 1/1 PM 2:00 の範囲のよう
な検索も可能です。
「カスタム経過時間」を使用すれば、過去 3 時間といった検索が可能です（3 hours
を入力）。
•
Raw Query：
主にデータをソートする際に使用します。tcpdump の使用法とよく似ています。
このフィールドにはかなりたくさんのパラメータを指定できます。例えば、受信/送信
関係なく 80 ポートのトラフィックのみを確認したい場合、port 80 と入力します。
以下は、集計フィールドに srcip,dstip、Raw Query フィールドに port 80 を指定し
た場合の結果例です：
ジュピターテクノロジー株式会社
Nagios Network Analyzer – カスタムクエリの使用
rev 1.0
3
Nagios Network Analyzer – カスタムクエリの使用
以下は、集計フィールドに srcip,dstip,srcport,dstport、Raw Query フィール
ドに port 80 を指定した場合の結果例です：
上の例では全部で 1242 ページあります。1 ページに 20 件ずつ結果が表示されるため、
全部で 24840 件あります。「送信元ポート」または「宛先ポート」のどちらかが 80 となって
います。
次に、条件を src port 80 に変更してクエリを実行してみます。
注記： src と port の間に半角スペースを入力してください。
ジュピターテクノロジー株式会社
Nagios Network Analyzer – カスタムクエリの使用
rev 1.0
4
Nagios Network Analyzer – カスタムクエリの使用
「送信元ポート」が 80 であるデータのみが結果表示されました。
「保存」をクリックすると現在のクエリ条件を保存できます。保存済みのクエリは「読込」から読込ん
で簡単に再利用できます。
練習
練習してみます。
練習１： ip, port, net と src, dst
IP アドレスを指定してクエリを実行してみましょう。
例：
ip 192.168.5.70
この場合、「送信元 IP」「宛先 IP」のいずれかが 192.168.5.70 であるフローが結果表示され
ます。
送信元ポートを指定してクエリを実行してみましょう。
例：
dst port 80
この場合、「宛先ポート」が 80 であるフローが結果表示されます。
ip, port, net の前に src, dst を指定すると、方向（src = 送信元, dst = 宛先）を指定
できます。
ネットワークアドレスを指定してクエリを実行してみましょう。
例：
ジュピターテクノロジー株式会社
Nagios Network Analyzer – カスタムクエリの使用
rev 1.0
5
Nagios Network Analyzer – カスタムクエリの使用
net 192.168.5.0/24
この場合、192.168.5.0/24 のすべてのトラフィックが結果表示されます。システムに負荷が
かかるクエリであり結果取得に時間がかかる可能性があります。ご注意ください。
src, dst をクエリに使用することで、結果のデータ量を減らすことができます。
練習２：２つの式の組み合わせ（AND /OR）
例えば、192.168.91.0/24 ネットワークから受信して 80 ポートへ送信するトラフィックを確認し
たいとします。この場合の条件を分けて定義すると以下のようになります：
src net 192.168.91.0/24
dst port 80
AND/OR を使用すると複数のクエリ条件を組合せることができます。
この例の（両方の条件を満たす）場合は、AND 条件を使用して以下のようなクエリを実行します。
src net 192.168.91.0/24 AND dst port 80
クエリを括弧で囲むと処理を明確にすることができます。
例えば、
src net 192.168.5.0/24 AND dst port 80 OR src port 22
これはどのように評価されるか分かりにくいです。下の例のように括弧を追加すると、期待する結
果を確実に得られるようになります。
src net 192.168.5.0/24 AND (dst port 80 OR src port 22)
ジュピターテクノロジー株式会社
Nagios Network Analyzer – カスタムクエリの使用
rev 1.0
6
Nagios Network Analyzer – カスタムクエリの使用
この場合、192.168.5.0 ネットワークから宛先ポート 80 または送信元ポート 20 のトラフィック
が結果表示されます。
練習３：否定（NOT）
例えば、192.168.5.0/24 ネットワーク以外のフローを確認したい場合は、NOT を使用します。
例：
not src net 192.168.5.0/24
src, dst は必須ではありません。特定の IP アドレス、ネットワーク、ポートを除外した結果を取
得できます。
練習４：測定可能な値でフィルタ（メトリックタイプを使用）
トラフィックのある値をもとにエントリをフィルタすることもできます。
例えば、宛先が 22 ポートで 1000 バイトより少ないトラフィックを確認したいとします。
この場合は以下のクエリ条件を指定します。
dst port 22 AND bytes < 1k
オペレータには <, >, = を使用できます。
上の例では、1000 の代わりに 1k を使用しましたが、1000 を使用することもできます。その他
m や g も使用できます。
注記：上は bytes でフィルタしましたが、packets, bytes, flows も使用できます。
bps が 1MB 以上のデータを取得したい場合は、以下の条件を指定します。
bytes > 1m
さいごに
これでこの資料は終わりですが、この資料ではすべてのクエリ構文をカバーできていません。詳し
い情報が必要な場合は、ここ（英語）をお読みください。
ジュピターテクノロジー株式会社
Nagios Network Analyzer – カスタムクエリの使用
rev 1.0
7
Nagios Network Analyzer – カスタムクエリの使用
お問い合わせ
弊社では、Nagios Network Analyzer に関するご意見、フィードバックをお待ちしております。
Nagios Network Analyzer についてご不明な点がございましたら、以下までお問い合わせください。
ジュピターテクノロジー株式会社（Jupiter Technology Corp.）
住所：
〒183-0023 東京都府中市宮町 2-15-13 第 15 三ツ木ビル 8Ｆ
URL：
http://www.jtc-i.co.jp/
電話番号：
042-358-1250
FAX 番号：
042-360-6221
ご購入のお問い合わせ：
お問い合わせフォーム
https://www.jtc-i.co.jp/contact/scontact.php
メール
[email protected]
製品サポートのお問い合わせ：
カスタマーポータル
https://www.jtc-i.co.jp/support/customerportal/
ジュピターテクノロジー株式会社
Nagios Network Analyzer – カスタムクエリの使用
rev 1.0
8
Nagios Network Analyzer – カスタムクエリの使用
日本語マニュアル発行日 2015 年 08 月 28 日
本マニュアル原文 Understanding And Using Custom Queries In
Network Analyzer
Revision 1.0 – September, 2013
ジュピターテクノロジー株式会社
Nagios Netflow Analyzer – カスタムクエリの使用
rev 1.0
ジュピターテクノロジー株式会社

Download Report