sFlow/NetFlowによるトラフィックフロー分析

フロー管理システムのInMon Traffic SentinelによるSNMPカウンターしきい値分析からトラフィックフロー分析の流れを追っていきます。

SNMPしきい値管理

多くのノードやインターフェース、あるいは、サーバーやアプリケーションを管理していると思います。その多くの監視ポイントを目視確認するのは無理があるので、SNMPのカウンター値によるしきい値管理を前段で行うことが有効です
以下チャートにて、Data Centerで、Framesのしきい値越えが発生してる事を検知

Data CenterのFramesの赤印をクリック

Data Center下でFramesで問題がある要素の表示

Framesでしきい値超過（赤くなっている）要素の
　エージェント：switch.sf.inmon.com
　インターフェース：ethernet2
に問題がありそうです。

Framesの赤印をクリック

該当インターフェースのFramesのSNMPカウンター値を時系列レポートで表示

Utilization（帯域幅使用率）も見てみよう

これらのフレームや帯域を使用しているのは誰？

トップNを選択
Top Sourceチャートが表示される

上位利用者（Top Talker）として赤い棒グラフで表示された
　xenvm1.sf.inmon.com (10.0.0.150)
が、全時系列で利用していることがわかる

では、誰と誰の通信？

Top Source Destination Pairsチャートが表示される

xenvm1.sf.inmon.com (10.0.0.150)とxenvm3.sf.inmon.com (10.0.0.152)の通信が大半

では、どのような通信？

Top Source Destination Flowsチャートが表示される

03:08の時点では、いろいろな通信があるが多くはhttpの通信とわかる

いろいろな条件でフィルタリングしてみる

ケースとして、データセンターで、特定のWebサーバーにhttpアクセスする状況として、
Webサーバー「198.61.172.141」へ、TCP:80のhttpアクセスを行う通信
フィルタリング条件；destinationport='TCP:80' & destinationaddress='198.61.172.141'