Free NetFlow Resources

数ヶ月前から、ネットフロー界におけるホットな話題は間違いなくCisco ASAです。 それらは大小両方のネットワークに発見されるので、ここからKalamazoo へ、全てのネットワーク管理者の設定の手助けになるのではと感じています。
私はネットフローAnalyzer を評価してくれている人と話をして、彼のASAフローの見方を知りたいと彼は思っていました。私は初め、彼が正しく設定していたことを確信したかったので、私は彼に質問をしました。
“ASA設定について書いてある文書を見つけましたか。
 “はい、Cisco のウェブサイトで見つけました”
~彼はそう言ったあとすぐに、私のコレクターと働く際に行われるべき設定調節があるかもしれないと考えるようになりました。思った通り、私達はASDMｎにログインして作る小さな調整をする必要がありました。
ほとんどのCiscoデバイスのように、どのくらいの頻度でスイッチやルータやファイヤーウォールがネットフローをエクスポートするか管理することができます。ASAで1分後ごとにフローテンプレートをエクスポートするファイヤーウォールを設定する必要があります。
このことは、Scrutinizerがテンプレートを通常基盤に送らずにフローにタイムリーにアップデートすることができないので重要です。

あなたに逐一フローを提供するために、テンプレートタイムアウト率をデフォルトの30分から1分に修正する必要があります。これをどこに調整するかデモするスクリーンショットが下図です。
なので、もしScrutinizerがあなたのデバイスを発見することができると分かっても、数分後に表示されるインタフェースデータはありません。みなさんにASAのチェックを再度してほしいし、上記で提案している最適なセットアップを実行するようにしてほしいです。
もしCiscoASAについてより詳しく知りたければ、私達に電話して下さい。喜んでフロー監視の始め方をお教えします。

最初にパート1のブログをお読みください。
なぜサービスプロバイダには、95パーセンタイルが必要なのでしょうか。
競争力がある価格を保ち、新しいお客様を魅了しようと、サービスプロバイダは、用法に基づく請求書顧客に対して努力をしています。このことは、どのように95パーセンタイルが標準的技法になったのかということです。ここに稼動例があります:  お客様の帯域幅は、スイッチまたは、ルータから測定(試す)され、ログファイルに記録されます。多くの事例では、5分ごとに行なわれています。月の終わりに、サンプルは、広域から低域まで分類され、データの上位5%（30日請求サイクルの約36時間と同じ）は、破棄されます。次に高い測定は、その月で請求可能な利用になります。
報告事例
以下の報告では、95パーセンタイルは、インバウンド(上位)とアウトバウンド(下位)データを分けて計算されています。まっすぐな赤い線（95パーセンタイル）を超えているので、上位にあるライトグリーンのトレンドは、請求が漏れたデータポイントです。
 
テーブル(2010-01-05 11:40)のハイライト上の上記ALTにご注目ください:このデータポイントを掘り下げ、時間内のこのインターバルで上位通信者、アプリケーション等は誰だったか、確認することができます。 Scrutinizer は、請求を基本としたシンプルな典型的使用において制限はありません。
お客様の利益
お客様は、同時に実際の利用だけに支払いをするので、高速通信の業績を得られます。ISPsは、頻繁にご利用いただくお客様にむやみに売り過ぎてしまう割合について心配する必要がないので愛用しています。別のブログ95th percentileでこのコンセプトをとても良く説明しています。上位5%を破棄したあとに総合帯域幅使用の平均がまだ高い場合には、マイナスになるように95パーセンタイルを働かせることが可能です。いくつかのサービスプロバイダは、Scrutinizerがサポートしている定額の請求システムを利用しています。以下の表で、http (TCP port 80)に関わるどんなトラフィックにおいても、24.x.x.x 内の全トラフィック上では、フィルターを通ることにご注目ください。Scrutinizerは、ネットフローフィールドのどのような組み合わせを基盤にしていても請求可能です。
 
注意:これはサンプルデータなので上記では、sフローを使用することはできません。
要約
ネットワークトラフィック分析を超えてネットフローは広く使用されています。ネットフローがある請求を基盤としたネットワーク用法は、テクノロジーのために最初に望まれていた使用の一つに戻って来ています。最良のネットフロー報告ツールは、あなたが請求書を送る全ての必要性のために余地を残すことです。

我々ほとんどが気付いているようにネットフローの主な使用目的はネットワークトラフィック請求のためでした。広くネットワークトラフィック分析やベースラインに使われていますが、ネットフロー請求モジュールに興味を持っているサービスプロバイダがどのようにそれを使用するか指摘する機会があると思いました。まず第一にburstable billingの95パーセンタイルはどの様に測定するのか理解するのは重要です。最初に“95パーセンタイル”と聞いたとき、すぐに学校でとっていた統計と確立の授業を思い出しました。しかし、confidence intervals と normal curves は異なるアプリケーションを持っていて帯域幅請求には理想的ではないでしょう。
サービスプロバイダと帯域幅の歴史
なぜサービスプロバイダは彼らが発売したより多くの帯域幅を再販しているのでしょう。 この質問に答えるには、サービスプロバイダは他のサービスプロバイダからWAN帯域幅を購入していることを知る必要があります。そして彼らは一部の帯域幅を他のお客様に再販します。もしサービスプロバイダが3GB帯域幅を発売したらそれぞれのお客様はインターネットに１MG接続できます。お客様3000人だけしか？と思うかもしれませんが。もうお気付きの様にそうではありません。サービスプロバイダには同じパイプを使っている1万人のお客様がいるのです。どうやってでしょう。
サービスプロバイダはほとんどのお客様が購入した帯域幅の全部を使っていないことを知っています。例えば私達にとって、仕事をしているのでビジネスアワーには家の接続は広く使われなくなってきています。このため、サービスプロバイダは夜よりも日中に使うビジネス向けに同じ帯域幅を再販するのです。夜でさえオンラインでつなげている際、私たちの多くはたくさんのデータをダウンロードしていません（10代の子がいなければ）。 帯域幅の拡大で、サービスプロバイダはパイプを共有するお客様をどんどん増やそうとしています。
新規顧客が連れて来られると、サービスプロバイダは全部でどのくらいの帯域幅が顧客ベースによって使われているか注意深く監視します。
 
Denika Performance Trenderからの上記のようなトレンドを使用すると、サービスプロバイダは帯域幅を購入する前により多くのお客様に紹介するかどうかみることができます。
このブログのパート2でサービスプロバイダがなぜ95パーセンタイルを必要とするのか書きたいと思います。

あなたの組織のネットワーク監視に値札をつけるとしたらいくらにしますか。$10,000? $100,000? $1,000,000?
その値段には何が含まれていますか。ネットワークをサポートするスタッフ？ネットワーク監視ハードウェアやソフトウェア？スタッフや備品のためのオフィススペース？
ネットワーク監視は安価ではありません。しかしさらなる毎日のネットワーク資源の需要に対して、ネットワーク監視をしなかったり、節約することもできません。
あなたの地理的な場所によって、ネットワーク管理チームを構成するコストは異なり、フレキシブルになったりならなかったりします。スタッフをコンパクトに、入門レベルの人を雇うのはオプションです。
ネットワーク監視のためのハードウェアとソフトウェア要求はあなたのネットワーク環境により異なります。
ルータとスイッチがネットフローをサポートしていれば、フローanalyzerにネットフローをエクスポートすることで、あなたのネットワーク操作やトラフィックに以前よりもたくさんの情報を提供してくれます。ネットフローanalyzerアプリケーションはとてもお手頃です。 価格も無料のものから$10,000、それ以上と様々です。
他ものものことは分かりませんが私達が提供している無料ネットフローAnalyzerはScrutinizerインストールと設定を手助けする初めての無料テクニカルサポートだということを知っています。フローデータは24時間保持されほとんどの機能は無料の製品で使用可能です。購入前にScrutinizer昨日のアンロックを要求すると評価キーが使えるようになります。

具体的な価格のことはなしで購入の話をすると…私達の価格はもっと安値にできるとお客様より何度も言われています。んーー。おそらく調べる必要があるでしょう。全ては安値になりつつあるネットフローとSフローに特徴付けられました。全員がこの値下げに関心を向けていないことがあるでしょうか。
初年度購入には無償テクニカルサポートが付いているのをあなたは知っていましたか。もう一度言います。無料です。
あなたの組織のコストを減らす別の方法、それはテクニカルサポートです。無料のテクニカルサポートでは、スタッフはネットワーク管理ソフトウェアとネットワークトラフィック分析へ費やす時間を減らすことができます。
おそらく全ての帯域幅は結局は何なのか、さらに帯域幅を追加する必要がないことに気付くはずです。会社にとってコスト削減となります。
この景気で、私達費用を節約できると関心を寄せています。もっと効率的に作動させることができれば、双方にとってとても有益です。Scrutinizerについて、質問があれば私達に連絡して下さい。どうすればあなたの組織に利益をもたらすことができるか議論できれば嬉しいです。

私たちのネットフローとsフロー分析ツール（http://www.plixer.com/products/netflow-sflow/scrutinizer-netflow-sflow.php）の最新バージョンがリリースされてから、新しい機能についてブログを書いています。
新しいレポート機能の一つは、通信においてフィルターにかけるができ、ユーザがそれらの通信内で関連している定義されたアプリケーションを確認することが可能となりました。
ユーザがネームを定義するように、アプリケーショングループの定義されたアプリケーションによって、特定のIPアドレスとポート上でトラフィックを特定することができます。例えば、一般的なHTTP　(80番ポート)　トラフィック以外の何かとして、Facebook や YouTubeを明確にするのにこのツールを使用しています。 Scrutinizerの以前発売されたバージョンでは、アプリケーショングループを使用してユーザアプリケーションを定義することができましたが、よく知られたポートがどのように定義されていようと、カンバゼーションレポートは、このトラフィックを表示します。
v7.3以前のカンバゼーションレポートは、ソースと送信先を示しますが、いつもカンバゼーションが起こるポートのようにHTTP(80TCP)を示します。

Scrutinizer v7.3では、よく知られたポートよりはむしろ、ユーザに定義されたアプリケーションを示すカンバゼーションレポートフィルタである、カンバゼーションアプリと呼ばれる新しいレポートフィルタを紹介しました。

acmeapplication.com　のケースでは、特定のアプリケーションから来るトラフィックのようにHTTP(TCPポート80)を使用しているトラフィックをこのレポートで簡単に識別することが可能です。
v7.3アップデートでPlixer International（http://www.plixer.com/）が紹介した多くの新しいレポートフィルタの一つに過ぎません。改良されたネットワークトラフィック分析とネットワーク監視で私たちのお客様を手助けします。        
-Scott

誰が帯域幅hogのトップ10なのか知らせてくれるネットフローレポートアプリケーションクレームはトップ10や送受信の全トラフィックを基本とした期間のホストを表示しています。これは役立つことですがネットワークトラフィック分析に入ってきた時に曲がった図を描くことができます。フローボリュームについてはどうでしょう。 
“海外顧客は帯域幅消費を制限することや一年間のサービス停止に直面することを警告したConcastからの手紙を受け取っています。情報源:  The New York Times
全てのSフローとネットフローアナライザーはトップホストレポートを表示するといってよいと思います。しかし、これは設定問題を診断しようとしたまさにその時に始まります。より正確な問題の図を手に入れるのにhog動作の詳細をさらに探る必要があります。 下記はタイムフレームの間、各ホストに送信される全バイトをトップホストが並べている様子です。しかしそれぞれがいくつのフローを作り出したのかは分かりません。気にする必要がありますか。
Yankee グループのBenoit Feltonは「帯域幅Hogをtelcosが認識する方法は他のユーザーに不正なトラフィック設定が起こったかどうか監視することではない、ユーザーごとにダウンロードされた全データを測定し、上位5％をhogsと呼んでいます」と言いました。
Benoit Felton
いくつかのアプリケーションBitTorrentはダウンロードファイルに入ってくるとFTPのような伝統的な習慣よりも活動的です。ITのRichard Bennett in Washington, DCのInnovation Foundation がうまく説明していたと思います。
“TCPが全てのTCPバーチャル回路で正しい間、ネットワークユーザーに公正さを保障しません。この理由は他のものよりTCPバーチャル回路を採用しているユーザーとアプリケーションがあるからです。ユーザーがBitTorrentのようなアプリケーションを実行しているとき特にややこしくなります。普通は、BitTorrentはダウンロード過程の間、20から40の TCP バーチャル回路を使用しています。 TCP公正は20から40のバーチャル回路は大量の帯域幅”fair”があることを保障します。 しかし、１VCにダウンロードしているFTPユーザーとしての帯域幅をBitTorrent ユーザーは20から40回手に入れているという事実はありません。 
Richard Bennett
フローボリュームのレポートは各ホストに作成されるフローボリュームやフローを誰が一番作っているか確定する必要があります。
あなたはどうやって帯域幅hogを認識していますか。まだ確定していないなら、ホストごとのフローボリュームがあるbest at NetFlow reportingをScrutinizerで探して見て下さい。

バージョン7より以前のScrutinizerのパケットロスの共通すこととその原因はデータベーステーブルがクラッシュすることです。それは、テクニカルサポートチームへの電話の課題でもあります。ネットフローコレクターによって受信される大量のネットフローデータのために、破損したデータベーステーブルは短期間に大量のパケットロスを起こします。
データロスとサポートタイムを最小限にするには破損したデータベーステーブルの修復が必要です。ネットフローとSフローアナライザーバージョン7に, 自己回復データベースを紹介しています。
 MySQL データベースチェックと修復は定期的に計画された基盤で一時間ごとに実行されています。データベースチェックが破損したあらゆるデータベーステーブルを見つけたら、修復しようと試みます。修復が有効でないと、破損したテーブルに警告するためScrutinizerにアラームが作成されます。
また、the Server Health LED (画面右上の4システムLEDの中の一番右端)はデータベース破損が検出されると赤に変化します。 別のServer Health LEDに関する注意– サーバディスクスペースが2ギガバイト低下するか使用可能メモリーが128メガバイトより少なくなると、このLEDは黄色に変わります。
Server Health LEDが赤い時に、LEDをクリックすると、どのデータベー破損が存在しているか表示できます。例えば下のイメージで、plixer.fa_threats と plixer.task_results データベース修復が失敗しました。しかしplixer.fa_topdomainresolve データベーステーブルの修復は成功しました。
破損したデータベーステーブルの修復を無効にした時にも、アラームが発生します。そして、アラームタブに行き、ドロップダウンリストからDatabase Health selectionを選択し、サーチボタンをクリックすると見ることができます。Admin→Settings→Syslog サーバに設定されたSyslog サーバを持っていたら,データベース修復が失敗したときに警告を出すようSyslog サーバを設定することができます。このようにデータロースを最小化しています。
 
このブログにある例の中で, 自動修復が初めは失敗しました。 しかしながらマニュアルチェックと修復を実行できたときまでは、自動修復はデータベーステーブル修復を成功させました。言いかえれば, マニュアル介入を必要とするデータベース破損はいくつかのケースがあるということです。破損が続くようならtechnical supportに連絡して下さい。
Scrutinizerｖ７ネットフローとSフローAnalyzeへアップグレードしていないなら私たちがお助けしますのでご連絡下さい。ネットワーク分析ツールバージョン７に紹介している新しいたくさんの機能を役立たせることが可能です。

先日、私は、お客様から「Scrutinizerにネットフローを送るには、ルータをどのように設定すればいいですか」と質問を受けました。この質問が非常に定期的にあるので、私のルータにコンフィグを固定し、フローを動かしている典型的なIPコマンドを投げる準備をしていました。しかし、私がルータのモデルについて尋ねると、お客様は、「Cisco Nexus 7000」と答えました。私は、デバイスが私たちの良く知っている通常のIOSを機能させないことが分かりました。Cisco’s NX-OSを稼動させます。そして、Cisco’s NX-OS CLI は、全く異なります。
Cisco NX-OSは、ユーザがインタフェース毎異なるアプリケーションの異なるデータを集めることができるフレキシブル構造をサポートしています。所定フィールドの大群からの選択キーによって、一部のアプリケーションに最良のフロー記録を定義することができますが、それに対し、Cisco IOS ソフトウェアは、外枠全体のために一つのフローマスクとエクスポートをサポートします。
Cisco NX-OSの中で、使用されたフレキシブル構造は、フロー記録、フローエクスポートとフローモニターで構成されていいます。 ネットフローコマンドラインインタフェース設定と検証コマンドは、ネットフローコマンド機能でネットフロー機能を有効にするまで、使用できません。もし、ネットフローコマンド機能が削除されれば、関連する全てのネットフロー設定情報も同様に削除されます。
Cisco NX-OS/IOS ネットフロー比較書類は、完全なNX-OS/IOS比較を提供しています。
ネットフローを設定する為に、以下のステップを踏んでください:
Step 1 ネットフロー機能を有効にする。　(いずれかのフローを設定する前にネットフローを全体的に有効にする必要があります。)
switch(config)#feature netflow
Step 2 適合するための特定のキーとフローを集めるためのフィールドによって、フロー記録を明確にします。
switch(config)#flow record internet
switch(config-flow-record)# description Ipv4 Flow
switch(config-flow-record)# match [command] [option]
switch(config-flow-record)# collect [command] [option]
フロー記録インターネットを表示してください (ネットフロー記録-インターネットについての情報をディスプレイ)
フロー記録の為に少なくとも一つ、以下の適合パラメータを設定する必要があります:
フロー記録適合パラメータオプション

コマンド

目的

match ip {protocol | tos}

キーとして、IPプロトコル、またはToSフィールドを特定する

match ipv4 {destination|source address}

キーとして、IPｖ4ソース、または、宛先アドレスを特定する

match ipv6 {destination|source 　　　　　　　　　　　　　　　　　
address|flow-label|options}

IPv6キーを特定する

match transport {destination-port | source-port}

キーとして、トランスポートソース、または、宛先ポートを特定する

match datalink {mac source-address | mac destination-address | ethertype | vlan}

キーとして、2特質層を特定する

フロー記録の為に少なくとも一つ、以下の集合パラメータを設定する必要があります:
フロー記録収集マラメータオプション

コマンド

目的

collect counter {bytes | packets} [...]

数週間前Scrutinizerｖ7.3(Plixer Internationalの最新のネットフローとSフロー分析ツール)で使用できるフローAnalyticツールを紹介するブログを始めました。
今日はTopフローアルゴリズムがフローAnlyticsを利用するScrutinizerv7.3で使用できる新しい分析ツールの4つ目をみなさんにご紹介します。Topフローとはたくさんのフローに関係するホストが完了しないフローの割合を占めているかどうかチェックするものです。これは各フローレコードのTCPフラッグフィールドを見て決定します。
もしTCPフローレコードでFINフラッグセットを持っていなければ、ホストにフル接続できないホストがリサーチしようとしているのを表示します。これはポートスキャンやP2Pアプリケーションとしては典型的なことです。もう一つの可能性はホストが間違って設定された対処されるべきアプリケーションを持ってるかです。
警告はTheats Overview Windowの中にUnfinished Flows Violation として報告されます。
Top フローを有効にするためのフロー Analytics Overview gadgetを使うことに関連しているTopフローアルゴリズムのセットアップです。あなたがトップフローを監視したい機器をその後加えます。それはインターネットルータ同様中心のスイッチがこのアルゴリズムにあることを示しています。
使用できなboxをチェックせずに、デバイスを取り除いたり加えたりするためにルータアイコンをクリックします。
Admin タブから、セッティングの下のフロー Analytics リンクに、このアルゴリズムへの警報しきい値の設定に使われる二つのアイテムがあります。

最小コネクション – 警報が確認される前の5分間にいくつのコネクションをホストは持っていなければならないかを設定できます。
最小フロー – この和は終了していない全てのフローの最小のパーセンテージを表しています。終了しないフローを時として持つことはとても普通のことですが、パーセンテージが高くなればなるほど、あなたのネットワークに良くない影響をもたらします。

Scrutinizerｖ7.3で使用可能な新しい分析ツールへの導入を楽しんでほしいです。
全てのフロー分析アルゴリズムは改善したネットワークトラフィック分析とネットワークトラフィック監視でお客様を助けることを目的としています。

サーバでアプリケーションかプロセスが使っているのはどのポートか今まで考えたことがありますか。ここにはあなたのネットフロー　コレクターのアプリケーショングループをセットアップするために、同様に使うことができる便利な裏技があります。
 
サーバの特別なポートにどのアプリケーションが添付されているか知りたければ、netstat-nbt を実行します。
 
Netstat-nbt ファイルに繋ぐ必要がある場合があります。
 
The –n はipだけプリントするので、より速いです。nestat-btを使えば、IPsが決まります。
全てのオプションを見るためには[netstat?]と打ち込みます。
 
アプリケーショングループをセットアップする
アプリケーションが使用するIPやポートを搭載するには、Scrutinizerを見てアプリケーショングループを決定します。
 
レポートの確認
 
Scrutinizerを見てアプリケーションレポートを実行しましょう。それがそのためにできることです。
このレポートがネットワークトラフィック分析において大きな助けになるはずです。