保持データと表示粒度の詳細
NetFlowAnalyzerは1分間バイナリデータ、平均/集約化データ、ローデータの3つのデータを使用してレポートを表示します。以下に代表的なレポート上での表示粒度と使用データの詳細について説明します。
目次:
レポート表示粒度について
■トラフィックレポート(速度、容量、使用率、パケット数)
使用データ:1分間バイナリデータ、ヒストリカル(平均化/集約化)データ
注意:以下は、ローデータの保持期間に関係なく成立します。
表示期間:
(1)
過去26時間以内=>1分間粒度
(2)
過去26時間を超えて過去7日間以内の
任意の24時間以内の時間範囲指定 => 1分間粒度
任意の24時間より長い時間範囲指定 => 1時間粒度で表示
(3)
過去7日間を超えて過去62日間以内の
任意の24時間以内の時間範囲指定 => 1分間粒度で表示
任意の24時間より長い時間範囲指定 => 1時間粒度で表示
(4)
過去62日間を超えて過去92日間以内の
任意の24時間以内の時間範囲指定 => 1分間粒度で表示
任意の24時間より長い時間範囲指定 => 24時間粒度で表示
(5)
過去92日間を超えたとき --> 1週間間隔表示のみ
例:1週間前の12:30から20:00=>1分間粒度
■フォレンジックレポート(トラフィック、アプリケーション、送信元、宛先、通信など)
使用データ:ローデータ
注意:以下は、Highperf レポーティングエンジンオプションの有無にかかわらず、ローデータが保持されている範囲であれば成立します。
| 表示期間(以内) | 粒度 |
|---|---|
| 6時間 | 1分 |
| 12時間 | 2分 |
| 26時間 | 5分 |
| 52時間 | 10分 |
| 192時間 | 30分 |
| その他 | 60分 |
例:1週間前の12:30から13:00=>1分間粒度
■アプリケーション、送信元、宛先、通信、QoSレポート、検索レポート(※1)
使用データ:ローデータ、ヒストリカル(平均化/集約化)データ
ビルド10250平均化データ粒度
| 表示期間 | 粒度 |
|---|---|
| 過去62日で2時間以内 | 1分(ローデータを保持している場合) |
| 過去26時間で12時間以内 | 10分 |
| 過去45日で15日以内 | 1時間 |
| 過去62日で上記以外の範囲 | 6時間 |
| 過去92日で上記以外の範囲 | 24時間 |
| 上記以外 | 1週間 |
(※1)検索レポートではローデータ(1分間粒度)のデータを使用しません。IPグループではローデータを使用しません。
データ種類について
■1分間バイナリデータとは
トラフィックの速度、容量、使用率、パケット数を表示する際に使用されるデータです。最大1年間1分間の粒度で保持することが可能です。1年保存した場合でも1インターフェイス約24MBと軽量のデータです。
保存する期間は以下の手順で設定可能です。
※デフォルトでは「3ヶ月」となっています。
一分間粒度のデータ保存期間設定方法
[設定]-->[フロー解析]-->[1分粒度バイナリデータ]
-->[一分間粒度のデータ保持]で設定
保持期間:1カ月、3カ月、6カ月、1年
■ローデータとは
ローデータは、ルータやスイッチより送信されたフローデータから
NetFlow Analyzerで表示に必要なフィールド以外を切り落とし、それ以外の加工を行わずに保存した粒度の細かいデータです。
アプリケーション、送信元、宛先、通信データなどNetFlowAnalyzerで表示できるデータのほぼ全てをローデータから出力することが可能で、障害解析などの詳細なデータが必要とされる場面に有用です。※表示方法(レポート)については限りがあります。
ローデータの容量はフローレートと保持期間により大きく左右されるため、予めローデータで出力が必要な期間を見積もり、サイジングを行ってください。(ローデータを保持しない運用も可能です。)
ローデータは高性能レポートエンジン未使用で最大1か月、高性能レポートエンジンアドオン使用で最大12か月保存できる仕様となっております。主にフォレンジックレポートでローデータを使用したレポートを作成できます。
保存する期間は以下の手順で設定可能です。
※デフォルトでは「なし」となっています。
[設定]-->[フロー監視]-->[ローデータ保持期間]で設定
保持期間:1時間、2時間、6時間、1日、3日、1週間、2週間、1カ月
(、2カ月、6カ月、1年)
■ヒストリカル(平均化/集約化)データとは
受信したフローデータを平均化/集約化して保存します。
平均/集約化されたデータは、5段階のテーブル - 10分、1時間、6時間、24時間および1週間のテーブルで保持され、レポート出力期間に対応するテーブルにアクセスします。 例えば、直近のレポートであれば10分テーブルにアクセスし、古いレポートであれば1週間テーブルにアクセスします。
平均/集約化は時間が経過するにつれて、順次細かい粒度から荒い粒度へ行われます。まず、10:00, 10:10, 10:20, 10:30, 10:40,10:50などの10分間粒度のデータが生成さます。その後10分テーブルのデータは1時間テーブルに集約され、10:00 に関連する1データとして、1時間テーブルに移動されます。このように10:00,11:00,12:00など1時間テーブルが生成されます。さらにこの1時間テーブルから荒い粒度へ平均/集約化が進みます。
送信元、宛先、通信、アプリケーションテーブルが存在し、通信テーブルは、フローデータの平均化/集約化の際に通信量が多いレコード最大トップ300を残してデータの切り落としを行いますので、通信量の少ない細かなデータは、表示されなくなります。アプリケーションテーブルでは集約期間内で合計1KB以下のアプリケーションを切り落とします。送信元、宛先テーブルは集約/平均化の際にデータの切り落としは行いません。
保存する期間は以下の手順で設定可能です。
※デフォルトでは「永久(または無制限)」となっています。レコード数変更方法
[設定]-->[フロー解析]-->[ヒストリカル(平均化/集約化)データ]
-->[保持するトップレコード数]で設定集約データ保存期間設定方法
[設定]-->[集約データ設定]-->[データの保持]で設定保持期間:無期限、先月、最新2か月、最新3カ月、最新6カ月、最新9カ月、去年、最新2年、1回のみ
