Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@kakawai

SolitonNK 「IPFIXキット」とはどんなものか?

Last updated at Posted at 2021-02-15

SolitonNKがいよいよSolitonNK version 4.0.2にバージョンアップされて、大きく変化しました。アプライアンス版に加えてコンテナ版の提供が始まるなど、いくつものトピックスがありますが、技術者向けの本記事では、新たな機能である「キット」の中から「IPFIXキット」に焦点を当てて紹介します。

SolitonNK の「キット」って?

まず、「キット」とはどんなものかという説明が要りそうです。

キットは、SolitonNKの特定の運用に便利な関連アイテム(ダッシュボード、クエリー、スケジュール検索、自動抽出器)を束ねたツール集です。例えば、Netflowデータを分析するためのツールなどがキットとしてまとめられて公式サイトから提供されますし、必要があれば自家醸造装置監視用の便利ツールもユーザがまとめてキット化することもできます。キットとしてまとめられたものは、どのSolitonNKへもごく簡単にインストールすることができ、可搬性があります。(検証できていませんが、gravwellから出されている「KIT」もSolitonNKに導入可能だと思われます)

現在、「IPFIXキット」「Zeekキット」がリリースされており、今後も続々とSolitonNK オリジナルのキットが追加される予定になっています。「IPFIXキット」を使うと、IPFIXトラフィック解析も次の図ように簡単に可視化できるようになります。今回の記事では、「IPFIXキット」の導入方法を紹介します。

SolitonNK-IPFIX-KIT-dashboard-traffic.png

IPFIXのインジェスト設定

IPFIXキットを導入する前には、NetFlowインジェスターを設定して、SolitonNKにIPFIXのデータがインデックスされるようにしておかねばなりません。NetFlowインジェスターの設定方法はこちらの記事を参照してください。

SolitonNKへのIPFIXキット(日本語版)の導入

新しいSolitonNKでは、メインメニューの「キット」を選択し、キットのページでキットを運用・管理できます。

SolitonNK-Menu-Kit.png

キットをインストールするには、キットのページの右上隅にある「キットの管理」ボタンをクリックして、キット管理モードに入ります。初めてキットをインストールする場合、ウェブページは自動的に「使用可能なキット」タブに移動します。(キットを1つ以上インストールした後には、「キットの管理」に入ると、現在インストールされているキットの一覧が表示されます。2つ目以降のキットのインストールするには、画面上部の「使用可能なキット」タブをクリックして、インストールするキットの選択画面に入ってください。)

SolitonNK-availablekits.png

IPFIXキットのデプロイは、「キットの管理」ページの「使用可能なキット」タブ画面からIPFIXキットをタップし、右上の「デプロイ」ボタンをクリックします。

SolitonNK-IPFIX-KIT-install.png

キットの内容説明が表示されますので、このキットのデプロイによって、何がもたらされるのか確認しましょう。「このキットの内容を確認し、デプロイによるリスクを理解しました。」のチェック欄に印を入れて「次へ>」ボタンで進みます。

SolitonNK-IPFIX-KIT-explanation.png

2番目に示されるのは、キットに含まれるモジュール類のライセンスです。IPFIXキットには、IPアドレスと地理的位置の関係づけるデータベースである、MaxMind社のGeoLite2のライセンスが示されますので、これを読んだ上で、「ライセンスの内容を確認し、その条件に合意します。」のチェック欄に印を入れて「次へ>」ボタンで進みます。

SolitonNK-IPFIX-KIT-License.png

3番目に示されるのはキットに必要なマクロ設定です。IPFIXキットの場合は、タグに関するオプション設定ができますが、ここはデフォルトのまま「次へ>」ボタンで進みます。

SolitonNK-IPFIX-KIT-macro.png

最後に、デプロイ時のオプションが示されます。ここではデフォルトのまま「デプロイ」ボタンで進みます。

SolitonNK-IPFIX-KIT-install-option.png

「デプロイ」ボタンを押して画面が切り替わったあと、暫く待つと画面右下に「キットIPFIXインストール済」と表示されます。

SolitonNK-IPFIX-KIT-install-complete.png

IPFIXキットを使い方

画面右上の「アセットを閲覧」ボタンを押すと、IPFIXキットを導入したことによって、どのような機能が使えるようになったのかの一覧が表示されます。

SolitonNK-IPFIX-KIT-asset-list.png

例えば、検索文の一覧から、「ASNトラフィックの指向性グラフ」を選び、虫メガネアイコンの検索実行ボタンから「今日」のデータを選ぶと、

SolitonNK-IPFIX-KIT-ASN-search-graph.png

tag=ipfix ipfix src as Src dst as Dst bytes as Bytes | geoip -r asn_db Src.ASNOrg as SrcASNOrg Dst.ASNOrg as DstASNOrg | stats sum(Bytes) by SrcASNOrg DstASNOrg | fdg -v sum SrcASNOrg DstASNOrg

が実行されて、ASN間のトラフィックの指向性グラフが表示されます(この図例は「NetFlowインジェスターの導入」の記事で示したサンプルデータを用いています)。

SolitonNK-IPFIX-ASN-search-graph-display.png

もっともお手軽に、キットの機能の恩恵を大きく享受できるのは、ダッシュボードです。ダッシュボードの一覧から「IPFIXトラフィック概要」を選んでみましょう。

SolitonNK-IPFIX-KIT-dashboard-list.png

すると最初に示したIPFIXのトラフィック解析のサマリが表示できます。

SolitonNK-IPFIX-KIT-dashboard-traffic.png

レファレンス

Soliton NKを試したい人はの下の Soliton NK カスタマーコミュニティに登録の上、コミュニティページから申し込み下さい。

Soliton NK について、今後記事を追加していく予定です。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?