保持データと表示粒度の詳細
目次
※上記はバージョン12.5以上に該当します。バージョン12.4以前までの内容はこちら
※本ナレッジにはEOLビルドの情報も含まれますが、製品動作を保証するものではございません。
NetFlow Analyzerが保持するデータと表示パターン
NetFlow Analyzerが保持するデータ
| ローデータ | 履歴(平均化)データ | トラフィック(1分間バイナリ)データ | |
| 保持データ | 送信元IP 宛先IP 送信元ポート 宛先ポート アプリケーション DSCP プロトコル ToS TCPフラッグ ネクストホップ AS パケット数 容量 NBAR2(対応機器から受信している場合) |
送信元IP 宛先IP 送信元ポート アプリケーション DSCP プロトコル ToS パケット数 容量 NBAR2(対応機器から受信している場合) |
パケット数 容量 |
| 時間粒度 | 1分間 | 10分間 1時間 6時間 24時間 1週間 |
1分間 |
| 保持期間 | 1時間 2時間 6時間 1日 3日 1週間 ※高性能レポートエンジンオプションの利用で最大6か月間 (追加期間:2週間/1か月/2か月/3か月/4か月/5か月/6か月) |
無期限 1か月間(先月) 2か月間 3か月間 6か月間 9か月間 1年間(昨年) 2年間 |
1か月間 3か月間 6か月間 1年間 |
| 用途 | レコードごとにデータを保持 トラフィックの詳細分析などピンポイントでの解析が可能 |
時間経過とともにデータポイント時間間隔が増加 トラフィックの傾向把握やトップ通信の分析が可能 |
1分間粒度でデータ保持 容量/速度/使用率/パケット数を表示 |
ローデータ
ローデータは、ルータやスイッチより送信されたフローデータから
NetFlow Analyzerで表示に必要なフィールド以外を切り落とし、それ以外の加工を行わずに保持する粒度の細かいデータです。
アプリケーション、送信元、宛先、会話(通信)データなどNetFlow Analyzerで表示できるデータのほぼ全てをローデータから出力することが可能です。
障害解析など、詳細なデータが必要とされる場面に有用です。
ローデータの保管に必要な容量は、フローレートと保持期間により大きく左右されるため、
ローデータを運用される場合、予め保持されたい期間を見積もり、サイジングを行ってください。
ローデータはデフォルトで最大1週間保持できます。
保持期間は以下で設定が可能です。
製品UI > 設定 > フロー解析 > ストレージ設定 > ローデータ > ローデータ保持期間
保持期間 : 1時間/2時間/6時間/1日/3日/1週間
※高性能レポートエンジンオプションを用いて最大6か月まで保持が可能
上記保持期間に加え2週間/1か月/2か月/3か月/4か月/5か月/6か月が選択肢として追加されます
※デフォルトでは[ローデータ]は[オフ]
履歴(平均化)データ
受信したフローデータは時間経過とともに平均化され、以下5段階のテーブルごとに保持されます。それらデータが履歴(平均化)データです。
またレポートは、出力期間に対応したテーブルを参照します。平均化は、時間経過とともに順次10分間隔データから大きな時間間隔データへ移行されます。
テーブル : 10分/1時間/6時間/24時間/1週間
また送信元、宛先、アプリケーションテーブルが存在し、フローデータの平均化/集約化の際に、各監視インターフェース毎の通信量が多いレコード最大トップ300を残してデータの切り落としを行います。アプリケーションテーブルでは集約期間内で合計1KB以下のアプリケーションを切り落とします。送信元、宛先テーブルは集約/平均化の際にデータの切り落としは行いません。
履歴データは[無期限]の保持設定が可能です。
保持期間と保持するレコード数は以下で設定が可能です。
製品UI > 設定 > フロー解析 > ストレージ設定 > 履歴データ
保持期間 : 無期限/1か月間(先月)/2か月間/3か月間/6か月間/9か月間/1年間(昨年)/2年間
※デフォルトでは[無期限]
レコード数 : 10/25/50/100/200/300
※デフォルトでは[100]
出力期間に応じたレポートの出力パターン
| レポート表示開始日時 | レポート表示期間幅 | 粒度 |
| 過去62日以内 | 2時間以内 | 1分(ローデータを保持している場合) |
| 過去24時間以内 | 12時間以内 | 10分 |
| 過去45日以内 | 15日以内 | 1時間 |
| 過去62日以内 | 上記以外の範囲 | 6時間 |
| 過去92日以内 | 上記以外の範囲 | 24時間 |
| - | 上記以外 | 1週間 |
トラフィック(1分間バイナリ)データ
トラフィックの速度、容量、使用率、パケット数を表示する際に使用される1分間粒度のデータです。
容量が軽く、1インターフェース/月=約2MBです。
保持期間は最大1年間です。
保持期間は以下で設定が可能です。
製品UI > 設定 > フロー解析 > ストレージ設定 > トラフィックデータ
保持期間 : 1か月間/3か月間/6か月間/1年間
※デフォルトでは[3か月]
その他表示パターン
- トラフィックレポート
以下は、ローデータの保持期間に関係なく成立します。
| レポート表示開始日時 | レポート表示期間幅 | 表示データ粒度 |
| 過去26時間以内 | - | 1分間 |
| 過去24時間を超えて過去7日間以内 | 任意の24時間以内の時間範囲指定 | 1分間 |
| 過去24時間を超えて過去7日間以内 | 任意の24時間より長い時間範囲指定 | 1時間 |
| 過去7日間を超えて過去62日間以内 | 任意の24時間以内の時間範囲指定 | 1分間 |
| 過去7日間を超えて過去62日間以内 | 任意の24時間より長い時間範囲指定 | 1時間 |
| 過去62日間を超えて過去92日間以内 | 任意の24時間以内の時間範囲指定 | 1分間 |
| 過去62日間を超えて過去92日間以内 | 任意の24時間より長い時間範囲指定 | 1時間 |
| 過去92日間を超えたとき | - | 1週間 |
- フォレンジクスレポート
以下は、ローデータが保持されている範囲であれば成立します。
| 表示期間幅(以内) | 粒度 |
| 6時間 | 1分 |
| 12時間 | 2分 |
| 24時間 | 5分 |
| 52時間 | 10分 |
| 192時間 | 30分 |
| その他 | 1時間 |
- 装置とインターフェースのアプリケーション、送信元、宛先、会話(通信)、QoSレポート
| レポート表示開始日時 | レポート表示期間幅 | 粒度 |
| 過去62日以内 | 2時間以内 | 1分(ローデータを保持している場合) |
| 過去24時間以内 | 12時間以内 | 10分 |
| 過去45日以内 | 15日以内 | 1時間 |
| 過去62日以内 | 上記以外の範囲 | 6時間 |
| 過去92日以内 | 上記以外の範囲 | 24時間 |
| - | 上記以外 | 1週間 |
機能に対する使用データ一覧
一覧表はこちら
バージョン12.4以前
NetFlowAnalyzerは1分間バイナリデータ、平均/集約化データ、ローデータの3つのデータを使用してレポートを表示します。以下に代表的なレポート上での表示粒度と使用データの詳細について説明します。
目次:
レポート表示粒度について
■トラフィックレポート(速度、容量、使用率、パケット数)
使用データ:1分間バイナリデータ、ヒストリカル(平均化/集約化)データ
注意:以下は、ローデータの保持期間に関係なく成立します。
表示期間:
(1)
過去24時間以内=>1分間粒度
(2)
過去24時間を超えて過去7日間以内の
任意の24時間以内の時間範囲指定 => 1分間粒度
任意の24時間より長い時間範囲指定 => 1時間粒度で表示
(3)
過去7日間を超えて過去62日間以内の
任意の24時間以内の時間範囲指定 => 1分間粒度で表示
任意の24時間より長い時間範囲指定 => 1時間粒度で表示
(4)
過去62日間を超えて過去92日間以内の
任意の24時間以内の時間範囲指定 => 1分間粒度で表示
任意の24時間より長い時間範囲指定 => 24時間粒度で表示
(5)
過去92日間を超えたとき --> 1週間間隔表示のみ
例:1週間前の12:30から20:00=>1分間粒度
■フォレンジックレポート/フォレンジクス(トラフィック、アプリケーション、送信元、宛先、通信など)
使用データ:ローデータ
注意 : 以下は、Highperf レポーティングエンジンオプションの有無にかかわらず、ローデータが保持されている範囲であれば成立します。
| 表示期間(以内) | 粒度 |
|---|---|
| 6時間 | 1分 |
| 12時間 | 2分 |
| 24時間 | 5分 |
| 52時間 | 10分 |
| 192時間 | 30分 |
| その他 | 60分 |
例:1週間前の12:30から13:00=>1分間粒度
■アプリケーション、送信元、宛先、通信、QoSレポート
使用データ:ローデータ、ヒストリカル(平均化/集約化)データ
ビルド10250平均化データ粒度
| 表示期間 | 粒度 |
|---|---|
| 過去62日で2時間以内 | 1分(ローデータを保持している場合) |
| 過去24時間で12時間以内 | 10分 |
| 過去45日で15日以内 | 1時間 |
| 過去62日で上記以外の範囲 | 6時間 |
| 過去92日で上記以外の範囲 | 24時間 |
| 上記以外 | 1週間 |
(※1)検索レポートではローデータ(1分間粒度)のデータを使用しません。IPグループではローデータを使用しません。
データ種類について
■1分間バイナリデータとは
トラフィックの速度、容量、使用率、パケット数を表示する際に使用されるデータです。最大1年間1分間の粒度で保持することが可能です。1年保持した場合でも1インターフェイス約24MBと軽量のデータです。
保持期間は以下の手順で設定可能です。
※デフォルトでは「3ヶ月」となっています。
一分間粒度のデータ保持期間設定方法
[設定]-->[フロー解析]-->[1分粒度バイナリデータ] -->[一分間粒度のデータ保持]で設定保持期間:1カ月、3カ月、6カ月、1年
■ローデータとは
ローデータは、ルータやスイッチより送信されたフローデータから
NetFlow Analyzerで表示に必要なフィールド以外を切り落とし、それ以外の加工を行わずに保存した粒度の細かいデータです。
アプリケーション、送信元、宛先、通信データなどNetFlowAnalyzerで表示できるデータのほぼ全てをローデータから出力することが可能で、障害解析などの詳細なデータが必要とされる場面に有用です。※表示方法(レポート)については限りがあります。
ローデータの容量はフローレートと保持期間により大きく左右されるため、予めローデータで出力が必要な期間を見積もり、サイジングを行ってください。(ローデータを保持しない運用も可能です。)
ローデータは最大1か月保存できる仕様となっております。
主にフォレンジック(フォレンジクス)レポートでローデータを使用したレポートを作成できます。
保存する期間は以下の手順で設定可能です。
※デフォルトでは「なし」となっています。
保持期間:1時間、2時間、6時間、1日、3日、1週間、2週間、1カ月
(、2カ月、6カ月、1年)
■ヒストリカル(平均化/集約化)データとは
受信したフローデータを平均化/集約化して保存します。
平均/集約化されたデータは、5段階のテーブル - 10分、1時間、6時間、24時間および1週間のテーブルで保持され、レポート出力期間に対応するテーブルにアクセスします。 例えば、直近のレポートであれば10分テーブルにアクセスし、古いレポートであれば1週間テーブルにアクセスします。
平均/集約化は時間が経過するにつれて、順次細かい粒度から荒い粒度へ行われます。まず、10:00, 10:10, 10:20, 10:30, 10:40,10:50などの10分間粒度のデータが生成さます。その後10分テーブルのデータは1時間テーブルに集約され、10:00 に関連する1データとして、1時間テーブルに移動されます。このように10:00,11:00,12:00など1時間テーブルが生成されます。さらにこの1時間テーブルから荒い粒度へ平均/集約化が進みます。
送信元、宛先、通信、アプリケーションテーブルが存在し、通信テーブルは、フローデータの平均化/集約化の際に通信量が多いレコード最大トップ300を残してデータの切り落としを行いますので、通信量の少ない細かなデータは、表示されなくなります。アプリケーションテーブルでは集約期間内で合計1KB以下のアプリケーションを切り落とします。送信元、宛先テーブルは集約/平均化の際にデータの切り落としは行いません。
保存する期間は以下の手順で設定可能です。
※デフォルトでは「永久(または無制限)」となっています。レコード数変更方法
[設定]-->[フロー解析]-->[ヒストリカル(平均化/集約化)データ] -->[保持するトップレコード数]で設定集約データ保存期間設定方法
[設定]-->[集約データ設定]-->[データの保持]で設定保持期間:無期限、先月、最新2か月、最新3カ月、最新6カ月、最新9カ月、去年、最新2年、1回のみ
