数ヶ月前、Nathanは、NSELでより深く観察するために私たちを招待してくれました。NSELは、ASAファイアウォールからネットフローをエクスポートさせます。彼は、ネットフローのためにASAをどのようにイネーブルにし、設定するのかを示しました。

基本的なネットフローは、異なる二つのフローのように二つのエンドポイントの間でアップストリームとダウンストリームトラフィックを記録します。ASAデバイスのケースでは、多くの双方向フローは、既に内部で集合していて、シングルフローだと思われます。ですので、フローの両送信先を表示するASAファイアウォール上では、ネットフローによって、フロー記録を報告しました。

今日、各テンプレートが何を示しているのか概要をお話します。

ネットフローエクスポートのためにASAを設定するとき、ネットフローコレクターを通じて、どのイベントを監視したいのかを選択します。現在、私たちが監視しているイベントは、3種類です:

  • Flow Create (フロー作成)
  • Flow Denied (フロー喪失)
  • Flow Teardown (フロー分解)

Flow Create イベントは、ASAデバイスによってフローが作られることを意味します。このイベントは、ASAが許可されたフローのログです。データの記録は、コネクションのソースと送信先をはっきりと召集し、この情報は、フローの送信先を決定するのに便利です。フロー記録のoctetTotalCounts フィールドは、フローを作成する最初のパケットを通じて、何バイト通過したのか表示します。いずれのフロー作成記録も、非常に大きなバイトがあるべきではありません。

Flow Denied は、フローが作成された最初の場所から明らかに喪失したことを意味します。2種類の喪失したイベントを確認するでしょう。喪失したXLATEのないイベントは、そのイベントが喪失し、ソースと送信先IPアドレス、完了しているポートは、変換されません。これは、NATアドレスを使用するときの典型です。

Flow Teardown イベントは、アプライアンスのフローデータベースの中にある現存フローが既に終了していることを表示しています。それは、「自然に」起こること(TCP: fin/fin-ack/ack, UDP: ファイアウォールのタイムアウト)、または、検出された流れの中ほどに問題を抱えるフローである可能性があり、ファイアウォールが止まります。分解イベントは、octetTotalCounts フィールド内の全フローの合計バイト数(インバウンドとアウトバウンドを含む)を示します。

私たちのネットフローとsフロー分析ツールを使用すると、ネットフローテンプレートを見ているときに「Graph」と言う単語をクリックすると、ネットフローを表示させることができます。ここに、どのようにScrutinizer v7がテンプレートを表示させているのかお見せします:

「Flow View 」をクリックすると、全てのテンプレート上の生フローデータにもアクセスすることが可能です。Flow Viewは、テンプレート内に含まれる全フィールドを表示します:

Flow View ウィンドウ内から、選択したフィールド上で、検索することが可能です。上記のフローテンプレートで、そのユーザ用にトラフィック分析をするめに特定のユーザネームを検索することが可能でした。

ASAファイアウォールからネットフローを集めることへの興味は、最近の大変ホットな話題となっています。Plixerでは、その全てを扱うネットフローとsフロー分析ツールを開発しています。