アプリケーション識別の仕組み
作成日:2016年1月6日 | 更新日:2020年5月21日
アプリケーションは、[ポート番号][プロトコル][IPアドレス]の一致によって識別されています。上記のいずれかが異なれば、それぞれ別々のアプリケーションとして登録が可能です。
[NetFlowAnalyzerヘルプ] [AdminOperations]=>[ProductSettings]=>[Application/QoSMapping] https://www.manageengine.jp/products/NetFlow_Analyzer/help/
アプリケーション関連付けは IPアドレス、IPネットワーク、IP範囲を指定したほうがIPアドレスを指定しない場合よりも優先度が高くなります。 例えば以下のように2つのアプリケーションを関連付けたとします:
ポート | プロトコル | IPアドレス/IP範囲 | アプリケーション |
80 | TCP | 10.10.1.0( 255.255.255.0) | アプリ1 |
80 | TCP | 指定なし | アプリ2 |
送信元アドレス:10.10.10.10 かつポート:TCP-80 からフローを受信した場合はアプリ1になります。 TCP-80 のフローが10.10.10.0ネットワーク以外からの受信のみアプリ2となります。
最初に2つのポート(送信元/あて先)の小さいポートから確認します。条件に合致しない場合は2つのポートの大きいポートを関連付けます。
一つのポート番号で作成したアプリケーション関連付けは、ポート幅でアプリケーションを関連付けした場合よりも優先度が高くなります。 例えば以下のように2つのアプリケーションを関連付けたとします:
ポート | プロトコル | IPアドレス/IP範囲 | アプリケーション |
80 | TCP | 指定なし | アプリ1 |
70-90 | TCP | 指定なし | アプリ2 |
ポート:TCP-80 のフローを受信した場合はアプリ1になります。
2つのポート(送信元/宛先)の小さい方とプロトコルが、アプリケーション関連付けリストのポート-プロトコルに合致します。
アプリケーション関連付けが有効でない場合は、Unknown_App に分類されます。
※IPアドレスが指定指定されているアプリケーションを優先して処理します。