ネットワーク管理の最新トレンドは プロアクティブ（事前予防型管理） 〜分散／統合管理へと進化するSnifferの最新機能〜

　皆さんは、「Sniffer」という製品をご存じだろうか？ ネットワークのトラブルが発生した場合、状況を把握するための方法として「LANアナライザ」「ネットワークモニタ」などと呼ばれるジャンルのツールが利用される。これは、実際にネットワークを流れているフレームやパケットをキャプチャして、その内容を調べるためのものだ。Snifferは、この分野における最も著名な製品の1つで、Snifferの歴史はネットワーク管理の歴史ともいわれるほどだ。

　以前からSnifferを知っている方の中には、小型のノートPCにインストールして持ち歩き、現場のネットワークに接続してトラブルシューティングを行うものを想像される方がいるかもしれない。だが最近では、ネットワークの要所にエージェントを分散配置しておき、分散ネットワークの遠隔監視を行う「Sniffer Distributed」が主流となっている（ノートPCにインストールするタイプの方は「Sniffer Portable Pro」と呼ばれる）。

　「Sniffer Distributed」では、分散配置されたネットワーク監視用のアプライアンス機器「Sniffer Distributed Agent」が自動的に情報を収集し、管理者はコンソールからネットワーク全体を一元的に監視することが可能となる。定常的な情報収集のほか、少ない人数で広い範囲のネットワークを監視できるというメリットがある。

ネットワーク管理者にはおなじみのSniffer Portable Pro（左）と、要所にエージェントとして配置することで分散管理を実現するSniffer Distributed Agent（右）

　だが、これだけでは、市場にあまたあるネットワーク管理ツールと何ら変わりない。Sniffer最大の特徴ともいえるのが、障害を事前に予知し、迅速に問題に対処することで障害を発生させない、事前予防型の「プロアクティブ・ネットワーク・マネジメント」の考え方だ。

　ネットワーク管理においては、トラブルが発生してから対処するよりも、トラブルの予兆が現れた時点で先回りして対処できる方が好ましい。実際にシステムがダウンしてしまえば、業務の停止やビジネス・チャンスの逸失が避けられず、対策も後向きのものになってしまうが、先手を打つことができれば、そうした事態を回避できるからだ。

　従来のSNMPを利用したネットワーク管理ツールでは、ハードウェアの死活管理を行うため、ネットワーク機器やサーバがトラブルを起こす際に発生するSNMPトラップを利用していた。だがこれでは、管理ツールがその情報を受け取ったタイミングで管理者はトラブルを把握することになる。そのため、どうしても事後対策になりがちだった。トラブルの予兆を見逃さず、障害を事前に察知するために、ログなどの情報解析を行うには、経験を積んだネットワーク管理者のノウハウが不可欠である。人材不足は、どの情報システム部でも抱える問題の1つだろう。

　ではここで、収集されたデータを解析／レポートするソフトウェアの中に、経験豊富なネットワーク管理者のノウハウを組み込むことができればどうだろうか？ Snifferでは、管理者の代わりに、収集されたデータの中からトラブルやその予兆となる現象を発見し、報告する機能が搭載されている。さらに障害対応のアドバイスが登録されたナレッジベースも組み込まれており、その解析項目数は250以上にも及ぶ。この「エキスパート・ネットワーク解析機能」が、Snifferの他社製トラフィック管理ツールに対する大きなアドバンテージだ。長年にわたり、ネットワーク管理ツールとして多くのユーザーに親しまれて来たSnifferだからこそ、豊富な運用実績とノウハウが生かされ、収集されたデータの解析に威力を発揮する。

Sniffer Distributed Agentで収集した情報を、エキスパートウィンドウで確認しているところ（画面をクリックすると拡大表示します）

　しかもSnifferでは、SNMPトラップによって機器やネットワークの監視を行うのではなく、分散配置されたエージェントがネットワーク上を流れるパケットやフレームを直接監視・収集して、各レイヤを流れるデータの監視を行っている。これは、源泉をプロトコル・アナライザに持つSnifferならではの特徴だろう。そのため、SNMPトラップだけでは分からないような、トラブルのわずかな兆候なども把握することが可能だ。

　このように収集した情報を元に、トラブルを事前に察知して予防的に対処する。これが「プロアクティブ（事前予防型管理）」の考え方である。

　ネットワーク管理ツールの導入、また運用にあたっては、ほかの管理ツールとの連携や、将来的な拡張性についても気になるところだ。例えばSniffer Distributedには、標準で「Sniffer Reporter」というレポーティング・ツールが用意されている。短期的なレポートの作成にはこれでも十分だが、ネットワーク管理のキモともいえるレポート機能だけに、さらに強力なレポーティング機能を提供する製品「Sniffer Watch」が用意されている。ここで、Sniffer Distributedのソリューションを強化する各種関連製品を紹介しておく。

●Sniffer Watch（レポーティング）
　Sniffer Distributed Agentによって収集されたデータを基に、中長期のトレンド・レポート作成を行うアプライアンス機器。Webブラウザ・ベースのインターフェイスを採用しており、「アプリケーション応答時間」「フレーム・リレー」「Expert」「RMON1／2」など全30種類以上のレポートを、ユーザーごとにカスタマイズして提供可能（バッチ処理によるレポートの自動生成も可能）。

　最新バージョンの4.1では、フレーム・リレー以外のWAN回線（ATM ／T1 ／E1 ／HDLCなど）もサポートし、ドリルダウンによる対話型レポーティング機能の追加のほか、アプリケーション・レポーティングの機能も強化されている。

●Sniffer Pulse（Webパフォーマンス分析）
　Sniffer Distributedが分散ネットワーク全般を対象としているのに対し、Sniffer PulseはWebサイトの監視に特化した製品となっている。HTTP ／HTTPSのトラフィックをリアルタイムに監視し、Webサーバのパフォーマンスを測定する。

　「ラストマイル分析」という機能では、ユーザーが特定のページを参照するための待機時間、バナー広告表示などによるパフォーマンスの低下状況など、ユーザーの行動トレンドを詳細にレポートすることが可能。Webサーバのログとは別に情報を収集するため、「サイトにアクセスしに行ったが、Webサーバが処理しきれずにページを表示する前に逃げられてしまった」ようなエスケープユーザーの行動データなども把握することができる。

●SniffLink（他社製品との連携）
　ユーザー企業によっては、自社のネットワーク管理にHPのOpenViewや日立のJP1などのネットワーク管理ツールをすでに導入している場合もあるだろう。だが前述のように、これらのツールではハードウェアの稼働状況は把握できても、Sniffer Distributedが提供するようなネットワーク・トラフィックの監視によるプロアクティブなネットワーク管理を行うことは難しい。もし両者の機能を統合できれば、さらに強力なネットワーク管理を行うことが可能だろう。

　そのための連携ソリューションが「SniffLink」だ。SniffLinkを導入することで、例えば連携先のネットワーク管理ツールで検出できなかったトラブルをSniffer Distributed側で把握していた場合であっても、連携先ネットワーク管理ツールのビューからアラートを確認することができる。現在SniffLinkは、日立製作所のJP1とHPのOpenView用のモジュールが提供されている。

　また、Sniffer Distributedでは、SniffLink以外にも他社製品との連携が図られている。例えば、Sniffer Distributed AgentではRMON1／2プローブのエンジンを内蔵しており、Sniffer Distributedとしての情報収集の役割以外に、RMON用のプローブとして機能させることもできるため、1台2役で活用することが可能だ。

　これまでSnifferでは、Sniffer DistributedやSniffer Pulseといったように、機能別での製品提供、つまりポイント・ソリューションが中心だった。しかし管理対象が増加するごとに、それらの管理ツールが送信してくる情報を個別に収集／分析するのは効率的ではない。

　また、ネットワークに流れている生のデータを収集するSnifferのようなツールは、情報の管理保全という観点から見て、注意すべき対象といえる。なぜなら、データだけでなく、ユーザー認証に用いられるパスワードのような重要な情報までもが、こうしたツールによって収集できてしまうからだ。したがって、Snifferのようなツールはだれもが自由に使えるようにしないで、限られた管理者だけが利用できるように、信頼できる認証システムを取り入れる必要がある。

　日本ネットワークアソシエイツではこうした問題を解決するため、Sniffer製品群を統括する統合管理システム「Sniffer Resource Manager（SRM）」を導入した。ネットワーク管理者に対するユーザー認証やエージェントは、SRMを通して集中管理する。その一方で、「Sniffer Distributed」によって集められたデータは「Sniffer Watch」によって集められ、「データ」から「レポート」の形に料理されたものがWebベースで管理者に提供される。Snifferは、これら3つの製品のサイクルを中心に、Sniffer製品群だけにとどまらず、ユーザーがすでにシステムに組み込んでいる既存の他社管理システムやセキュリティ・システムなどとも連携を可能とした。この構想により、これまでのポイント・ソリューションからトータル・ソリューションを提供するのが「Sniffer EMA（Enterprise Management Architecture）」だ。

Sniffer EMAを構成する主要な3要素「Sniffer Resource Manager」「Sniffer Distributed Agent」「Sniffer Watch」の相関図

　管理者には、専用クライアントのコンソールからではなく、Webブラウザ・ベースでのレポート提供が行われる。そのため、Webブラウザさえあれば、どこからでも必要な情報を得ることができるわけだ。ほかのシステムやサード・パーティとの連携や、優れた拡張性により、真の一元管理を実現することが、Sniffer EMAの目標である。さらに今後は、収集されたデータを個別に表示するのではなく、単一のレポートにまとめて表示できるようにする構想や、オプション対応でのセキュリティ機能の強化など、管理領域も広がっていく。このフレキシビリティとユーザビリティは、ネットワーク管理における新しい力となるだろう。

　では、このようなSnifferの統合ソリューションを用いることで、具体的にどのような成果が得られるのか、いくつかの例を基に考えてみよう。

●LAN／WANのパフォーマンス改善
　事業拠点ごとにLANを構築し、それらの間をWAN、あるいはIP-VPNなどで結ぶネットワークは、現在の企業情報システムにおいて、最もポピュラーな運用形態といえる。こういったシステムでは、重要なデータを保持するサーバが置かれた拠点に対して、そのほかの拠点から集中的にアクセスが発生する可能性が高い。そのため、ある日突然、ユーザーから「サーバにアクセスできなくなった」というクレームが飛び込んでくるかもしれない。

　ここで、Sniffer Distributedを駆使して全体のトラフィック状況を定常的に監視していれば、1日のうち、どの時間帯にどのようなトラフィックが多発するかという傾向が分かる。こうしたデータを日ごろから収集していれば、ある日突然、通常の傾向とは異なるトラフィックが大量に発生した場合、機器の故障、ワームの感染、新しいトラフィック需要の発生などのどれが原因なのか、その切り分けが容易に行える。

　ネットワーク全体におけるトラフィックの流れが正確に分かっていれば、どこがボトルネックになるかという判断もできるので、効率的な設備増強が可能になる。例えば、「サーバにアクセスできなくなった」原因として、「WAN回線が遅いからだ」と管理者が判断した場合、WAN回線の増強に設備投資が行われることになる。だが実際はWAN回線ではなく、サーバの応答能力に問題があったとしたら、この投資は無駄になってしまう。このような無駄な投資を未然に防ぐことにも、Snifferは威力を発揮する。

●データベース連動型のWebサイトの例
　EC（電子商取引）サイトの例を考えてみよう。ECサイトは、フロント部分にWebサーバ、ビジネス・ロジックを提供するアプリケーション・サーバ、バック・エンドのデータベース・サーバ、そして場合によってはロード・バランサ（負荷分散装置）といったように、複数のサーバやネットワーク機器で構成されている。また、これらのシステムは、iDCのような離れた拠点に配置されることが多いだろう。

　こうしたシステムで難しいのは、ユーザー側から見た場合のパフォーマンスを左右する要素が多岐にわたる点だ。例えば、「レスポンスが悪い」という現象を1つ取っても、iDCで確保されているWebサーバに至るまでの回線容量が細いのか、複数あるサーバのいずれかの応答能力に問題があるのか、アプリケーション・サーバのコードの品質の問題なのか、そもそもユーザー側のアクセス回線の問題なのか、考えられる原因はいろいろある。Sniffer Distributedであれば、遠隔地からこれらの情報を定期的に収集できるほか、ネットワーク上を流れるパケットの各レイヤのデータの状況を把握できるため、複数のサーバにまたがるトラブルシューティングも容易に行える。

　また、Webサーバのパフォーマンス管理には、Sniffer Pulseという専用の製品も用意されている。Sniffer Pulseではパフォーマンス測定以外にも、ユーザー個々のアクセス動向を詳細に把握できるため、アクセス・ログ解析ツールと同様の使い方が可能だ。これは、ECサイトにとっては大きなメリットだろう。ここで得られたデータは、サーバのパフォーマンス改善やコンテンツの構成見直しに役立てられるので、結果としてサイト訪問者のコンバージョン・レートを向上させ、ビジネスの効率を改善する助けになる。

　以上、いかがだろうか？ Snifferは、単にデータを収集するためだけのツールではない。データを収集したうえで、その先のレポート分析やトラブル予測までを可能にしているからこそ、多くの成果を期待することができる。

　導入に際しては、すべての機能を一括して導入するという方法も取れるし、必要な機能だけを選択して導入することもできる。また、既存のSnifferに関する資産やノウハウも、バージョンアップすることで段階的に拡張できる体制が整えられている。ネットワークの利用形態に応じた、最適な導入ソリューションを検討してほしい。