NetFlow Analyzer の設定に関するFAQ
ManageEngine®
NetFlow Analyzer
トラフィック解析
NetFlow Analyzer のよくあるご質問(FAQ)
NetFlow Analyzer に関するよくあるご質問(FAQ)の最新リストに関しては、米 国サイト上の FAQ(英語)、あるいはNetFlow Analyzerユーザフォーラム(英語)をご参照くださ い。
インストールに関するご質問 | ライセンスに関するご質問 | レポートに関するご質問 | ルータ設定に関するご質問 | NBARに関するご質問 | Netflow v9に関するご質問 | その他、技術情報に関するご質問
Q:NetFlowAnalyzer にルータを追加できないのですが、なぜですか?
A: NetFlow Analyzer では、どのルータあるいはインターフェースを監視するかを選択しません。 機器を自動的に検出します。 NetFlow Analyzer 上でNetFlow データを指定したポートに送信するようにインターフェースを設定するだけです。 NetFlow Analyzer が NetFlow データを受信し始めると、ダッシュボード上に機器とインターフェースが一覧表示されます。
Q:NetFlow データをエクスポートするように設定したのですがダッシュボード上で表示されません。
A: いくつかの確認事項があります。
- 機器上でNetFlow が有効にされていること、およびフローを送信していることを確認します。
- 使用中の機器が、NetFlow Analyzer がリッスンしているポートに対してNetFlowデータをエクスポートしていることを確認します。
- ルータがNetFlow v5 データをエクスポートしていることを確認します。それ以外のバージョンのフローは破棄されます。
Q:ライセンス管理ページで、ルータとその全インターフェースを削除しましたが、ダッシュボード上に表示されたままです。
A: これは、NetFlow パケットを当該ルータから受信しているために起こります。 NetFlow Analyzer へのNetFlow データのエクスポートを 停止するようにルータを設定しなければ、ダッシュボード上に再び表示されます。
A:ルータ/インターフェースの監視を一時的に停止する必要がある場合には、ライセンス管理から非管理にします。 この場合、ルータ/インターフェースはライセンス管理ページに表示されたままです。 ルータ/インターフェースを恒久的に監視しない場合は、ルータ/インターフェースからのNetFlow エクスポートを無効化してから、ライセンス管理より削除します。この場合、ルータ/インターフェースは、そこから新しいフローを送信しなければ、どのクライ アント画面にも表示されません。
Q:ルータにてSNMP コミュニティを設定するには、どうすればよいですか?
A:SNMP 設定に関しては、次の手順に従います。
1. ルータにログインします。
2. グローバル設定モードにします。
3. (Read-Only コミュニティとしてpublicを設定するために) コマンド 'snmp-server community
public RO' を入力します。
4. ctrl および Z キーを押します。
5. コマンド 'write mem' を入力します。
Q:Netflow Analyzer サーバと、ルータ時間を同期させるには、どのように設定しますか?
A:NetFlow Analyzer サーバとルータとの時間差が約10分を超えると、警告アイコンがホームのページに表示されます。
この場合、フローデータの時刻はNetFlow Analyzer サーバのシステム時間に基づきます。
こうなった場合には、ルータ上で次のことを確認してください。:
1. +時刻ゾーンおよびその時刻ゾーンに関する(時間や分での)補正値が適切に設定されていることを確認します(例:PST に関してPST -8
00、あるいはEST に関してEST -5 00)。 これは、ルータにログインして設定ターミナルを表示し、'show running-config' と入力することで確認できます。
2. タイムゾーンを確認後、お使いのルータが正しい時刻に設定されているかを確認してください。これは、ルータにログインして、'show clock' と入力することで確認できます。
コマンド clock set hh:mm:ss month date yearを使って、クロック時間を設定できます。
[ 例 - clock set 17:00:00 27 March 2007] 機器の負荷が低いときに実行してください。
Q:NBARによってサポートされないのは、どのような状況ですか?
A:NBAR によってサポートされない状況は次になります:
- 同時アクセス数24以上のURL、ホストあるいは MIME タイプマッチ
- 1つのURL で400[bytes]を超えるマッチング
- IP をもたないトラフィック
- マルチキャストとその他のCEFをもたない スイッチングモード
- 断片化されたパケット
- パイプライン型 HTTP リクエスト
- セキュアHTTP での URL/ホスト/MIME/ 分類
- ステートフルプロトコルを持つフロー
- NBAR が動作するルータから発生した、あるいはそこに向かうパケット
A:次の論理的なインターフェースでは、NBAR を設定することができません:
- Fast EtherChannel
- トンネリングあるいは暗号化を用いるインターフェース
- VLAN
- ダイアラーインターフェース
- マルチリンク PPP
メモ: NBAR は Cisco IOSリリース12.1(13)E について VLAN 上で設定可能ですが、ソフトウェアスイッチングパスのみにてサポートされます。
A:ソフトウェアベースの実行での NBAR のパフォーマンスは、次の要因により影響を受ける可能性があります。
A. ルータ設定
1. NBAR に対してマッチングするプロトコル
2. 正規表現
3. パケット検査ロジックの複雑さ
B. トラフィックプロファイル (パケットプロトコルシーケンス)
1. フロー数
2. 長時間遅延フロー
3. ステートフルプロトコルのマッチング
Q:パフォーマンスは、NBAR が有効にされているインターフェースの数に依存しますか? NBARが有効にされているインターフェースのリンク速度は、パフォーマンスに影響しますか?
A:いいえ。NBAR のパフォーマンスは、NBAR が有効にされているインターフェース数とそれらのインターフェースのリンク速度には依存しません。 パフォーマンスは、NBARエンジンが検査する必要のあるパケット数、および正規検査を実行するためにそれが参照する必要のあるパケット内部の深さに依存します。
Q:ルータ上でコマンド ip nbar protocol-discovery を発行して、その結果を見ることができます。 しかし、Netflow Analyzerはそのルータが NBAR をサポートしていないと表示します。これは、なぜですか?
A:古いIOSバージョンは、ルータ上でのみ NBAR ディスカバリをサポートしていますので、ルータ上でコマンド ip nbar protocol-discovery を実行して、その結果を見ることができます。 しかし、NBAR プロトコルディスカバリ MIB(CISCO-NBAR-PROTOCOL-DISCOVERY-MIB) は、最近のリリースでサポートされました。SNMPを介したデータ収集に必要です。 使用中のルータ IOS が CISCO-NBAR-PROTOCOL-DISCOVERY-MIBをサポートしているか確認してください。
Q:ルータが CISCO-NBAR-PROTOCOL-DISCOVERY-MIB をサポートしていることをどのように確認すればよいですか?
A: a) CISCO-NBAR-PROTOCOL-DISCOVERY-MIB をサポートするプラットフォームおよび IOSは、 こちら(英文)から確認できます。
b) 他の方法として、ルータに実装されたMIB オブジェクトを知るために、'show snmp mib | include cnpd'コマンドを実行できます。 使用中のルータが CISCO-NBAR-PROTOCOL-DISCOVERY-MIB
をサポートしている場合は、このコマンドを実行して次のオブジェクトが取得できます。
cnpdStatusEntry.1
cnpdStatusEntry.2
cnpdAllStatsEntry.2
cnpdAllStatsEntry.3
cnpdAllStatsEntry.4
cnpdAllStatsEntry.5
cnpdAllStatsEntry.6
cnpdAllStatsEntry.7
cnpdAllStatsEntry.8
cnpdAllStatsEntry.9
cnpdAllStatsEntry.10
cnpdAllStatsEntry.11
cnpdAllStatsEntry.12
cnpdTopNConfigEntry.2
cnpdTopNConfigEntry.3
cnpdTopNConfigEntry.4
cnpdTopNConfigEntry.5
cnpdTopNConfigEntry.6
cnpdTopNConfigEntry.7
cnpdTopNConfigEntry.8
cnpdTopNStatsEntry.2
cnpdTopNStatsEntry.3
cnpdTopNStatsEntry.4
cnpdThresholdConfigEntry.2
cnpdThresholdConfigEntry.3
cnpdThresholdConfigEntry.4
cnpdThresholdConfigEntry.5
cnpdThresholdConfigEntry.6
cnpdThresholdConfigEntry.7
cnpdThresholdConfigEntry.8
cnpdThresholdConfigEntry.9
cnpdThresholdConfigEntry.10
cnpdThresholdConfigEntry.12
cnpdThresholdHistoryEntry.2
cnpdThresholdHistoryEntry.3
cnpdThresholdHistoryEntry.4
cnpdThresholdHistoryEntry.5
cnpdThresholdHistoryEntry.6
cnpdThresholdHistoryEntry.7
cnpdNotificationsConfig.1
cnpdSupportedProtocolsEntry.2
A:NetFlow v9は柔軟で拡張性があり、新しいフィールドおよびレコードタイプをサポートするのに必要な多様性を備えています。 NetFlow v9は、NAT、MPLS、BGB の next hop およびマルチキャストのようなNetFlow をサポートする技術に対応します。Netflow v9エクスポート形式の主な特徴は、テンプレートベースであることです。
Q:Netflow v9によるルータ上のメモリインパクトはありますか?
A:使用されるメモリは容量、テンプレートのフローセットを保持するために使用されるデータ構造に依存します。 この実装は NetFlow キャッシュに直接アクセスしないので、使用されるメモリ容量は大きくありません。
Q:「次の装置から、非 V5/V7/V9パケットを受信中です。: 詳細は、こちらをクリック..」 というメッセージは何を意味していますか?
A:ユーザインターフェース上でこのメッセージが表示される場合は、NetFlow Analyzer が 5/7/9 以外のバージョンの NetFlow パケットを受信していることを意味します。ルータ設定を確認して、 NetFlow V5/V7/V9 のみが NetFlow Analyzer に送信されていることを確かめてください。 これは、NetFlow Analyzerが NetFlow V5/V7/V9 のみをサポートしているためです。
A:Netflow v9 は、Netflow v5 あるいはNetflow v8 と下位互換性がありません。
Q:Netflow v9はパフォーマンスに影響を与えますか?
A:Netflow v9はパフォーマンスを若干下げます。 これは、正当なテンプレートのフローセットを生成して保持するために付加的な処理が必要となるためです。
A:Netflow v9 は様々な技術とインタリーブが可能となります。 このことは、様々な技術(マルチキャスト、IPv6、BGP next hop 等)からデータをエクスポートする必要がある場合は、Netflow v9 を設定すべきであることを意味します。
A:Netflow v9 を設定するには、こちら(英文)を参照してください。
Q:NetFlowAnalyzer データベースでは、トラフィック情報はどのように保持されますか?
A:各レポートに関して、NetFlow Analyzer は異なったやり方でトラフィック情報を保持します。 以下のテーブルは、NetFlow Analyzer によって生成される様々なレポートに関するデータ保持パターンを記述しています。
トラフィックレポート (※ver5.5までの内容)
| 時間間隔 | 時間粒度 |
| 過去6時間未満 | 1分 |
| 過去6時間以上、26時間未満 | 10分 |
| 過去26時間以上、8日間未満 | 1時間 |
| 過去8日間以上、32日間未満 | 6時間 |
| 過去32日間以上、92日間未満 | 24時間 |
| 過去92日間以上 | 1週間 |
アプリケーショントラフィックレポート(※ver5.5までの内容)
(アプリケーションタブ、アプリケーション 受信側/送信側グラフ、統合レポート)
| 時間間隔 | 時間粒度 |
| 過去2時間未満 | 10分 |
| 過去2時間以上、8日間未満 | 1時間 |
| 過去8日間以上、21日間未満 | 6時間 |
| 過去21日間以上、90日間未満 | 24時間 |
| 過去90日間以上 | 1週間 |
送信元、宛先、通信トラフィックレポート(※ver5.5までの内容)
(送信元、宛先、通信タブおよび受信側/送信側グラフ;アプリケーション、送信元、宛先および通信レポート、統合レポート、カスタムレポートからグラフを掘り下げます。)
| 時間間隔 | 時間粒度 |
| 過去1時間未満 | 1分 |
| 過去1時間以上、3日間未満 | 1時間 |
| 過去3日間以上、21日間未満 | 6時間 |
| 過去21日間以上、90日間未満 | 24時間 |
| 過去90日間以上 | 1週間 |
A:以下の手順を行う前に、サーバが稼動中であることを確認します。
(1)コマンドプロンプトを開きます。
(2) \mysql\bin ディレクトリに行きます。
(3) 次を入力してください。: \mysql\bin> mysql -u root --port=13310
(4)タイプ使用 NetFlow
(5) 次のクエリを実行します。:
\mysql\bin> update AaaPassword, AaaLogin,AaaAccount, AaaAccPasswordsetAaaPassword.PASSWORD='Ok6/FqR5WtJY5UCLrnvjQQ==', AaaPassword.SALT='12345678' where AaaLogin.LOGIN_ID= AaaAccount.LOGIN_ID and AaaAccount.ACCOUNT_ID=AaaAccPassword.ACCOUNT_ID and AaaPassword.PASSWORD_ID=AaaAccPassword.PASSWORD_ID and AaaLogin.NAME = 'admin' ;
(6) MySQL を停止するために quitと入力します。
(7) コマンドプロンプトを終了するためにexitと入力します。
(8) admin / admin でログインします。 必要であれば、パスワードを再度変更することができます。
Q:NetFlow Analyzer では、ポートはどのようにアプリケーションとして割り当てられるのですか?
A: NetFlow は、プロトコル、送信元ポートおよび宛先ポートについての情報がはいっています。 フローを受信した場合、NetFlow Analyzer はフロー中のポートおよびプロトコルについて、次の順番でアプリケーションとの関連付けをします。
- アプリケーション関連付けの各アプリケーションに対して設定されたポート一覧に対する、より小さい送信元および宛先ポート番号
- アプリケーション関連付けの各アプリケーションに対して設定されたポート一覧に対する、より大きい送信元および宛先ポート番号
- アプリケーション関連付けの各アプリケーションに対して設定されたポート範囲に対する、より小さい送信元および宛先ポート番号
- アプリケーション関連付けの各アプリケーションに対して設定されたポート範囲に対する、より大きい送信元および宛先ポート番号
関連付けできるアプリケーションが見つからない場合は、アプリケーションはプロトコルに依存して<protocol>_Appとして一覧表示されます。 (例) フローが TCP プロトコルとともに受信された場合、TCP_Appと認識され 、送信元および宛先ポートとプロトコルが NetFlow Analyzer によって関連付けできない場合、 アプリケーションは、Unknown_Appとして一覧表示されます。
 |
フロー単位で1つのアプリケーションとして分類されます。競合が生じる場合は、正確に関連付けされたアプリケーションが選択されます。 |
A:これは、NetFlow Analyzer がインストールされているサーバのスペックに依存します。 NetFlow Analyzerライセンスには依存しません。
A:(1) Netflow Analyzer が起動していることを確認してください。
(2) /Troubleshootingフォルダへ移動し、DBInfo.sh / DBInfo.batを実行します。
(3) これにより、同フォルダにてInfo.logファイルが生成されます。
Q:インターフェースが100% の使用率を示すのはなぜですか?
A:使用率100%については、こちら(英文)を参照してください。
Q:問題調査のためには、Netflow Analyzer サポートにどのような情報を送ればよいですか?
A:(1)(トラブルシューティングフォルダの下で)logziputil.bat / logziputil.shを実行してください。
これにより、サポートフォルダの下に zip ファイルが生成されます。この zip ファイルを送ってください。
(2) Mysql\data フォルダ下の .err ファイルを送ってください。
(3) また、お使いのマシンの設定も送ってください。
Q:Netflow Analyzerを異なるサーバに安全に移すにはどうすればよいですか?
A:
以下の手順に従ってください。
(1) 移動したいインストール状態の /mysql フォルダ内のデータフォルダを、安全な場所にコピーしてください。
(2) 新しい場所に NetFlow Analyzer をインストールし、一度起動してからシャットダウンします。
(3) 新しいインストール状態の /mysql フォルダ内のデータをフォルダを、古いインストール状態のデータフォルダで置き換えます。
(4) NetFlow Analyzer を起動します。
Q:Netflow Analyzer サーバが遅くなった場合には、何をすればよいですか?. また、Netflow Analyzer システムのパフォーマンスを改善するには、どうすればよいですか?
A:データベースチューニングに関しては、こちら(英文)を参照してください。
Q:Netflow Analyzerが「ルータ時間の同期が取れていません」と表示し、データ収集を停止するのはなぜですか?
A:この問題を解決するには、次の手順に従ってください。
- お使いのルータ上で正確な時間が設定されているか確認してください。
ルータにログインして、show clockと入力することで確認できます。
コマンド clock set hh:mm:ss month date year を使って、クロック時間を設定できます。 +時刻ゾーンおよびその時刻ゾーンに関する(時間や分での)補正値が適切に設定されていることを確認します(例:PST に関してPST -8 00、あるいはEST に関してEST -5 00)。 これは、ルータにログインして設定ターミナルを表示し、 show running-config と入力することで確認できます。 コマンド clock timezone zone hours [minutes] (例 clock timezone PST -8 00)
を用いて時刻ゾーンと補正値を設定できます。 - 時間同期は、CPU 負荷率を高くする可能性があります。この場合、IP グループの数を減らすと効果があります。 各 IP アドレス /IP アドレス範囲 / ネットワークアドレスは、時間同期は個別に確認されます。10.10.10.1、10.10.10.2、10.10.10.3 および10.10.10.4 の4つのアドレスは、10.10.10.1 から10.10.10.4 の単一のIPアドレス範囲として生成するより高負荷となります。 インターフェースに関しては、適切に稼動している限り 「All interfaces」を選択した方がよいです。これは、フローにて インターフェースのチェックがされないためです。
