Chapter 28

フローレポート

twsnmp
twsnmp
2022.07.17に更新

NetFlow/IPFIXのデータをTWSNNP FCで集計したフローレポートについての説明です。フローレポートはクライアントとサーバーが何の目的でどのくらい通信しているかを調べるためのものです。

フローレポート画面の表示方法

メニューの「レポート」ー「NetFlow分析」ー「フロー」をクリックすると表示できます。

フローレポート画面

のような感じです。

①リスト

通信フローのリストです。信用スコア、クライアント、サーバー、サーバーの国、サービス概要、検知回数、通信量、最終検知日時と操作ボタンがあります。信用スコアはフローレポートの中で相対的に信用できる通知であることを偏差値で表しています。偏差値が低いものに注意すればよいということです。

②操作ボタン

左から、<マップ>ボタン、<アドレス分析>ボタン、<詳細>ボタン、<削除>ボタンです。
<マップ>ボタンは、クライアントかサーバーがTWSNMP FCに登録されたノードの場合に表示されます。クリックするとマップ画面を表示して対応するノードを選択状態にします。<アドレス分析>ボタンはサーバーのIPアドレスをアドレス分析で調査します。
<詳細>ボタンをクリックすると通信フローの詳細画面を表示します。
<削除>ボタンをクリックすると

のような確認のダイアログを表示します。<削除>ボタンをクリックすれば、フローを削除できます。

③ディスプレーフィルター

クライアント名、サーバー名、国名、サービス概要に入力した文字列を含むものでフィルター表示できます。

④<グラフと集計>ボタン

サーバーに関するグラフと集計のメニューを表示します。

⑤<CSV>ボタン

フローリストの内容をCSVファイルに保存します。

⑥<EXCEL>ボタン

フローリストの内容をEXCELファイルに保存します。

⑦<再計算>ボタン

クリックすると

のような確認のダイアログを表示します。<実行>ボタンをクリックすると信用スコアを再計算します。信用スコアは数分毎に計算していますが、計算を早めるためのボタンです。

⑧<更新>ボタン

フローリストの内容を最新の情報に更新します。

フロー詳細画面

のような感じです。。位置情報がわかる場合にはGoogle Mapを表示するボタンが表示されます。<削除>ボタンをクリックすれば確認ダイアログを表示して、この情報を削除できます。
<サービス割合>ボタンをクリックすると

のように、サーバーとクライアント間の通信内容がわかります。

グラフ分析

クライアントとサーバーの関係を力学モデルや円形のグラフで表示します。

この例は、サービスをDHCPでフィルター表示した状態で表示したグラフです。DHCPサーバーがローカルに1台しかないことがわかります。

地球儀

クライアントとサーバーの通信を地球儀に表示します。

IPアドレスから位置情報を取得できるような設定が必要です。

国別

フローリストのサーバー位置を国別に集計したグラフです。

不明ポート

ポート番号からサービスの名前がわからないポート番号一覧です。
(どちらかというと私が不明なポートを自分で調べてTWSNMP FCに登録するための調査用のリストです。)

フローレポートを表示するためには?

サーバーレポートの情報はNetFlowまたはIPFIXのデータが必要です。NetFlowに対応したネットワーク機器(Firewall/SW-HUBなど)かLinuxにsoftflowdをインストールしてNetFlowのデータを送信する方法もあります。

https://hub.docker.com/r/twsnmp/softflowd

が便利です。