リスナーポート、収集、および保管の設定

[NTA 設定] ダイアログ ([設定] > [ネットワークトラフィック分析] > [NTA 設定]) では、ログメッセージの詳細と重大度のレベル、収集間隔、保管、およびデータ管理プロパティとともに、NTA がリッスンするポートなど、NTA システムとアプリケーションの設定を行うことができます。NTA データボリューム設定の制限に近づいているかどうかを自動的に確認するには、WhatsUp 正常性しきい値を使用してアラートを作成し、アーカイブデータベースのサイズやデータベーステーブルの使用率などの定期的なレポートを作成することができます。

NTA リスナーと収集の設定

[NTA 設定] ダイアログ ([リスナー] と [ログ設定] パネルを表示)

1Small

[リスナー]。ネットワークトラフィック分析 コレクタサービスがフローパケットを受信するためにリッスンする TCP/IP ポート番号、IP アドレス、または IP アドレスとポートの両方を指定するか、または空白のままにしてデフォルト設定を維持します。ネットワークトラフィック分析 は 1 つ以上のポート/IP アドレスでリッスンできます。

  • ポート番号を指定しない場合の指定のデフォルトは 9999 です。
  • IP アドレスを定義しないか、または値「0.0.0.0」を指定すると、NTA コレクタはすべての IPv4 アドレスでリッスンします。IPv6 でリッスンするには、IPv6 アドレスを含めるか、次の表記 [::] を使用してすべてを指定する必要があります。

Tip: 異なるベンダー (HP、Cisco、Extreme Network など) のソースデバイスで実行されているフローエクスポータは、NetFlow パケットに異なるターゲットポート (2055、9995、9996 など) を使用します。

 

Note: デフォルトポート以外のポートでリッスンするようにネットワークトラフィック分析を設定する場合は、そのポートが別のサービスで使用されていないことを確認してください。さらに Windows ファイアウォールを使用している場合は、ファイアウォールに例外を追加してください。

Note: 複数のエンドポイントを設定できます。コンマ区切りリストを使用して複数のエンドポイントを入力します。例: [IPAddress1:port1], [IPAddress2:port2],...

2

  • [ログレベル]。ログレベルの詳細度を選択します。各レベルには、より高いレベルの重大度が含まれます。たとえば、詳細には、通常エラーが含まれます。
  • [エラーのみ]。エラーを示すログメッセージを記録します。
  • [通常]。エラーと情報レベルの重大度を示すログメッセージを記録します。
  • [詳細]。ログ記録を最も詳細に示す場合に選択します (トラブルシューティングに役立ちます)。このオプションは、多数のログメッセージを生成するため、リソースを大幅に消費します。

3

[データ収集間隔]。NTA データがデータベースに保存される頻度。ネットワークトラフィック分析がソースからデータベースに生フローデータを書き込む頻度を選択します。

1 分、2 分、3 分、4 分、5 分、10 分のいずれかを選択できます。デフォルトでは、生データは 2 分ごとにデータベースに書き込まれます。

Important: [データ収集間隔] 設定を変更すると、グラフィカルな詳細 (間隔ごとに生フロー測定値がグループ化され、プロットされる方法) に影響し、ネットワークトラフィック分析レポート内の時間に関する精度にも影響します。たとえば、間隔を 5 分に設定した場合、最初の 1 分間に収集したトラフィックのスパイクと、4 分目に収集したトラフィックを区別できません。

過去 30 分間のグラフで明らかになった 2 分間のデータ収集間隔 (ピークイベントと低イベントを矢印で示す)

同じ期間に確認された毎時間間隔 (明らかになった毎時間のトレンドと、マスクされている分単位のトレンド)

4

[プライベートアドレス解決間隔]。ネットワークトラフィック分析コレクタサービスは、IP アドレスを検出すると、その IP アドレスに関連付けられているホストに関する情報を特定しようとします。この情報は、解決後、ネットワークトラフィック分析データベースに保存されます。そのアドレスについて変更された可能性のある情報を解決するために、ネットワークトラフィック分析がプライベート IP アドレスを再び確認するまでの時間 (時間数) を入力します。デフォルトでは、プライベートアドレスは 48 時間ごとに解決されます。

[パブリックアドレス解決間隔]。ネットワークトラフィック分析コレクタサービスは、IP アドレスを検出すると、その IP アドレスに関連付けられているホストに関する情報を特定しようとします。この情報は、解決後、ネットワークトラフィック分析データベースに保存されます。そのアドレスについて変更された可能性のある情報を解決するために、ネットワークトラフィック分析がパブリック IP アドレスを再び確認するまでの時間 (時間数) を入力します。デフォルトでは、パブリックアドレスは 720 時間 (30 日) ごとに解決されます。

Tip: パブリック IP アドレスが変更される可能性は低いため、[プライベートアドレス解決間隔] オプションに指定した間隔よりも長い間隔を指定できます。

[未分類トラフィックの有効期限]。ネットワークトラフィック分析が未分類のトラフィックを消去するまでの時間数を入力します。未分類トラフィックは、ネットワークトラフィック分析が監視していないポートから送信されたトラフィックです。デフォルトでは、このオプションは 1 に設定されています。この場合、ネットワークトラフィック分析はすべての未分類ポートのデータを 1 つの値に集計したものを維持し、トラフィックが送信された個々の未分類ポートに関する詳細情報は破棄されます。

Important: [未分類トラフィックの有効期限] の時間数を増やすと、時間の経過とともにネットワークトラフィック分析データベースのサイズが非常に大きくなる可能性があることに注意してください。

Note: コレクタは、[未分類トラフィックの有効期限] のしきい値で指定された時間が経過してもアクティビティのない未分類データをすべて消去します。

 

データ保管 (データのクリーニングと調整)

[Flow Monitor の設定] ダイアログのデータ保管セクションを使用すると、監視対象のフローデータとインターフェイスデータのデータ保管パラメータを設定できます。フローデータを定期的にロールアップおよびアーカイブすることで、データの処理と保管に必要なシステムリソースが最小化され、データ量の多い操作時のシステムの応答を向上させることができます。

Caution: 有効にすると、[保管するトラフィックの割合] コントロールが影響を受けます。自動調整をオフにした場合は、トラフィックの多いネットワーク上のフローデータが 10 分の 1 または数百分の 1 パーセント増加しても、データベースが大幅に拡張される可能性があることを理解しておいてください。自動調整を使用することをお勧めします。

[NTA 設定] ダイアログ ([データ保管] パネルを表示)

5

データ保管を手動で調整するか、またはネットワークトラフィック分析でフローデータの保管を自動調整し最適化することができます。ネットワークトラフィック分析データベースの増加率を管理するには調整が必要です。

自動調整により、フローデータの自動クリーンアップを有効にする

Tip: [フローデータ保管の NTA 自動調整] を有効にしておくことをお勧めします。自動調整では、空または重要でないデータが追加される前にこれらをスクラブできます。必要な場合に受信データをスクラブすると、正確度を著しく低下させないパフォーマンスの実現に役立ちます。

フローデータには、多くのパラメータ (入力および出力インターフェイス、ソースおよびターゲット IP アドレス、ポート番号、バイトレート、フロー終了時刻など) が含まれます。これらのパラメータは役立つ情報を提供しますが、ストレージがすぐに満杯になる可能性もあります。データをロールアップすると効率的に保管できますが、個々のフロー内の時間に関連する情報は失われます。

フローデータのクリーンアップの制御には、次のパラメータを使用します。

[フローデータ保管の自動調整]。このオプションを選択すると、ネットワークトラフィック分析コレクタはフローデータのクリーンアップ設定を最適化します。これらのコントロールを使用して、システムパフォーマンスに対してデータベースサイズを管理します。自動調整はデフォルトで設定されています。フローデータ保管の自動調整を有効にしておくことをお勧めします。

[保管するトラフィックの割合]。(手動モード。非常に影響力があるため、お勧めしません。) この設定にアクセスするには、[フローデータ保管を自動調整する] チェックボックスをオフにする必要があります。コレクタがデータベースに書き込む生のトラフィックデータの割合を指定するには、このオプションを使用します。このコントロールを誤用すると、データベースが非常に短時間でいっぱいになる可能性があります。NTA データベースのサイズは、データベーステーブルの使用率レポートとアーカイブデータベースのサイズレポートで表示でき、WhatsUp 正常性しきい値を使用してサイズの傾向を追跡できます。

Caution: これらの設定を増やす前に、容量と I/O パフォーマンスがあることを確認してください。データクリーンアップのデフォルト設定は標準的な設定になっています。ロールアップの設定を変更すると、ネットワークトラフィック分析 データベースのサイズとアプリケーションのパフォーマンスに直接影響します。これらの設定の変更がネットワークトラフィック分析コレクタデータベースのサイズとアプリケーションパフォーマンスに及ぼす影響を監視してください。

 

6

Note: 値を変更するためにボックス内にカーソルを置くと、ダイアログの下部にメッセージが表示されます。このメッセージは、ネットワークトラフィック分析データおよびアーカイブデータベースに保管するフローレコードの推奨最大数と割合に関する情報を示します。変更を加えると、ネットワークトラフィック分析データおよびアーカイブデータベースに保管されたレコード数への影響を予測するメッセージが表示されます。

[現在の合計の保管期間] をクリックします (日次の NetFlow アーカイブデータを表示)。

[生データの保管期限]。(デフォルト値 = 4 時間) フローパケットデータを保管する最小時間数を指定するか、デフォルト値のままにします。期間の終わりに、生フローデータは削除されますが、毎時間 (および最終的には毎日の合計) ロールアップされたデータには引き続きアクセスできます。生データ測定値のローリングは、このデータが到着するとすぐに行われます。ただし、[データ収集間隔] よりも長い期間を使用しない限り、レポートグラフは有効ではありません。

[時間データの保管期限]。(デフォルト値 = 4 日間) 毎時データを維持する日数を指定するか、またはデフォルト値のままにします。この日数を経過した毎時データはロールアップされます。毎時データのロールアップは 1 日に 1 度実行されます。

[日次データの保管期限]。(デフォルト値 = 15 日間) 日次データをアーカイブするまでの最小保管日数を指定するか、デフォルト値のままにします。その日数を経過した日次データはアーカイブされます。ネットワークトラフィック分析はアーカイブ後のデータを引き続き表示できますが、一部制限があります。このデータは、毎日アーカイブにまとめられます。

[アーカイブデータの保管期限]。アーカイブデータを保管する最小日数を指定するか、デフォルト値 (デフォルト = 40 日間) のままにします。この設定により、アーカイブした日次データを指定した日数維持する保管期間が指定されます。指定した期間を経過したアーカイブデータは、フローコレクタデータベースから消去されます。データが消去されると、ネットワークトラフィック分析はそのデータについて報告できなくなります。

生データ、毎時データ、日次データ、アーカイブデータを保管する期間の選択

これらの設定をデフォルトから変更する前に、このデータを保管する理由として考えられるものを検討してください。

データ

使用/説明

役に立つ

生データ

  • 生データは、実際のフローパケットです。
  • 生データは、[データ収集間隔] での指定に従って 1 時間ごと収集されます。
  • 生データは、現在の時間の毎時データの合計にまとめられます。
  • グラフの観点から見ると、ピーク、低、または変更イベントはこの数の倍数で発生します。

生データは、フローの基本単位であり、他のすべての時間間隔において必要です。短い (2 分間など) 間隔でキャプチャされた生データのテーブルを保管することは、次の場合にも役立ちます。

  • 毎時データを時間単位から分単位の表示にズームします。
  • 短期間のトラブルシューティング。
  • 1 時間、30 分、数分、1 分未満継続したバーストまたはギャップ (ドロップオフ) の表示 (この設定の値による)。

毎時間

  • 毎時データは 1 時間に 1 回書き込まれます。
  • 毎時データは、日次データの合計にまとめられます。
  • グラフの観点から見ると、ピーク、低、または変更の各イベントは 1 時間に 1 回発生します。
  • 2 つ以上のタイムゾーンからのトラフィック期間が重複する場合など、毎日の傾向や、その日のバースト期間を監視します。
  • 日次データを時間単位の表示にズームします。

毎日

  • 日次データは 1 日に 1 回書き込まれます。
  • 日次データは、アーカイブにまとめられます。
  • グラフの観点から見ると、ピーク、低、または変更の各イベントは 24 時間 (1 日) ごとに発生します。

長期間 (週次、月次、四半期ごと) の傾向を表示します。

アーカイブ

  • アーカイブされたデータは、日次データの長期間ストレージとなります。
  • グラフの観点から見ると、ピーク、低、または変更の各イベントは 24 時間 (1 日) ごとに発生します。

長期間 (週次、月次、四半期ごと) の傾向を表示します。

See Also

ネットワークトラフィック分析

ネットワーク分析を開始する

始める前に

NTA の機能と利点

NTA ソースの選択

ソースに関する収集の設定と有効化

集約ソースの作成

集約ソース

トラフィックのグループ化

ポート番号別にトラフィックを分類する (NTA アプリケーション)

サービスの種類 (ToS) ID のカスタムラベルの追加

コレクタデータベースの保守

詳細フィルタによるトラフィックの削減と分析

ネットワークトラフィック分析の設定

IP レピュテーションライブラリ