ネットワークのトラフィック監視といえば、SNMP監視かパケットキャプチャーという常識は古い。フロー解析であれば、両方の良いところ取りができる。 Flowmon Networks(チェコ共和国)が提供する「Flowmon」はフロー解析のための製品で、「プローブ」と「コレクタ」を使って可視化する。規模が小さいネットワークであれば、プローブだけでもフロー解析を今すぐ開始できることが特徴だ。2018年内には分散配置が可能な最新バージョン「10」もリリース予定だ。プローブと最新バージョンの詳細に迫る。
「企業の業務では、ネットワーク依存度がますます高まっています。このため、ネットワークがどのように使われているかを可視化することが、業務を止めないためにも重要です」と話すのはオリゾンシステムズ ITサービス事業部 Flowmonユニット ユニット長 知念正樹氏。
ネットワークの安定なくして企業の業務は成り立たない。なぜなら、各種SaaS(Software as a Service)アプリケーションやクラウドサービスの利用が進み、ネットワークトラフィックが増加の一途にあるからだ。トラフィックが増えれば社内ネットワークに遅延が生じることもあり、遅延が著しければ業務に支障を来す。ネットワークに何らかの不調が起きたとき、どのようなトラフィックが増加しているのか、把握しておく必要がある。
遅延の原因が業務で使うアプリケーションやソフトウェアのアップデートなど正規の使い方であればさておき、動画サイトやSNSなど業務に関係ないサイトへのアクセス、またはサイバー攻撃という場合も考えられる。早めに検知して何らかの手を打つ必要がある。
しかしSNMP(Simple Network Management Protocol)監視や、パケットキャプチャーといったこれまでのネットワークトラフィックの解析には課題があった。SNMPでは詳細情報が分からず、パケットキャプチャーはHDDなどの消費リソースが多いため長期視点での監視には不向きである。その「良いとこ取り」ができるのが「フロー監視/解析」だ。
フロー(NetFlow/IPFIX)とはネットワークトラフィックのうち、送信元と送信先のIPアドレス、ポート番号、プロトコルなどが共通するものをいう。フローを解析すると、ユーザーやアプリケーション単位で通信を解析できる。これはまさに現場が知りたい「ネットワークが誰にどのように使われているか」を把握する手段となる。
加えて、フロー監視では基本的にヘッダ情報のみを解析するため、パケットキャプチャーに比べればデータ量はごくわずかで済み、効率的かつ高速な分析が可能だ。
フロー解析に最適な製品が「Flowmon」。国内はオリゾンシステムズが総代理店となって、導入を支援している。Flowmonの構成はフロー生成に使う「Flowmonプローブ」(以下、プローブ)と、フロー分析やデータ長期保存に使う「Flowmonコレクタ」(以下、コレクタ)、加えて各種プラグインだ。
プローブはネットワーク上のパケットをフロー情報に変換する装置。現在では多くのネットワーク機器(スイッチ/ルーター/ファイアウォールなど)がフロー生成に標準対応しているが、実際に利用する場合は対象機器が重要であるほど運用面での取り扱いが難しくなってくる。プローブはその機能を容易に肩代わりできる。主機能はフロー生成だが、ミニコレクタ機能を標準装備しているため、コレクタがなくてもプローブだけでフロー解析ができる。
ラックマウント型は1G〜100Gbpsのネットワークに対応しており、毎秒約1.5M〜150Mパケット(100GbEモデルの場合/ポート当たり)の処理能力を備える。500GBのストレージを搭載しているため、大規模ネットワークでなければ、コレクタを使わず、プローブ1台だけでもフロー解析を始めることができる。
使い方はシンプル。プローブをラックにセットして基幹スイッチのミラーポート(SPAN)やTAPに接続すればいい。するとプローブがパケットデータを取り込み、フロー情報を生成する。フローを作成するのはプローブなので、ネットワーク機器がフローを生成できるかどうかは関係がない。ネットワーク機器にフロー生成によって負荷を与えることもないし、いったん運用が始まれば、煩雑なフロー情報の定義変更をネットワーク運用ベンダーにいちいち依頼する必要もなくなる。全てはプローブから管理できるわけだ。
また、最先端のフロー形式であるIPFIX(IP Flow Information Export)の拡張フィールドを利用することで、L7レベルでの各種アプリケーション情報(DNS、SMB、DHCP、SMTP、POP3、MSSQLなど)やNBAR2、NAT、ネットワーク遅延、暗号化トラフィック(SSL/TLS情報)、HTTPホストの解析などをフローベースで提供できることもプローブの魅力である。
フロー情報を確認するには、Webブラウザを使ってモニタリングセンター(内蔵コレクタの管理画面)にログインして参照する。テキストのログデータや管理表ではなく、さまざまな視点から解析が可能な画面だ。トップページはダッシュボードになっていて、各項目のサマリーがグラフ化されている。時系列のトラフィック推移、使用率が高い通信先やアプリケーション、データ転送量が多いホストなどを一覧表示できる。
例えば社内のネットワークで遅延が発生し、不調だったとしよう。ネットワーク管理者はFlowmonのモニタリングセンターを開き、直近の数時間のトラフィックを参照する。モニタリングセンターの各種グラフはドリルダウンで分析ができるため、クリックして詳細へと踏み込んでいく。
ネットワーク使用率が高いフロー一覧を確認したとき、例えば動画サイトなど通信量の多いサイトが上位に表示されていたとしよう。その動画サイトのフローをさらにドリルダウンすると、通信していたホストを確認でき、最終的には誰が通信しているのかも分かる。
動画サイト閲覧だけで社内ネットワークが不調になることは考えにくいが、インシデントが起きた時に、モニタリングセンターからネットワークの状況を分析する手順もほぼ同じだ。全ての操作はWebブラウザからGUIを利用するため、高度なネットワーク機器操作のコマンドを知る必要はない。先述したようにフロー情報はデータ容量が少ないヘッダ情報なので、解析に長時間待たされることはなく、素早く問題の原因を究明ができる。
1台でフロー解析が試せる手軽さや、導入のシンプルさから、プローブはフロー解析のファーストステップとしても適しているという。知念氏は「プローブをフロー解析の評価版としてお使いいただくことも多いのです」と話す。
一般企業でフロー解析を始めようとすると、機器の購入や設定など技術的にハードルが高いと思われがちだ。「自力では無理」であれば、ネットワーク状況の解析はパートナーとなるネットワークベンダーに相談して依頼することも多い。そうなると時間もコストもかかる。しかしFlowmonがあれば、ある程度なら社内で素早く解決ができる。プローブはその手始めに最適だ。SIerにとっても、顧客企業にFlowmonがあればネットワーク状況を手軽かつ素早く把握できる。
機器さえ設定してしまえば、すぐにでもフロー解析ができるのもFlowmonのよいところだ。知念氏は「導入はそれこそ物理的にスイッチに接続すればいいだけですから、あっという間です」と話す。
プローブを導入したユーザーもこのようなメリットを享受しているという。Flowmonプローブを移動型のトラフィック調査ツールとして利用しているA社では、プローブの手軽さにメリットを感じているという。
A社「ミラーポートに接続するだけで、プローブ1台からフロー解析によるトラブルシューティングがすぐに始められるので、問題のある拠点に設置して、トラフィック可視化によるトラブルの原因特定に利用しています」
個人顧客向けサービスで大量のトラフィックを扱っているB社では、ネットワーク機器への負荷や運用面に懸念があったという。
B社「フロー生成はフロー生成専用機のFlowmonプローブを利用していますが、ピーク時にトラフィックが集中しても、安定的にNetFlow/IPIFXによるフロー生成が可能なのでとても助かっています」
Office 365などのクラウドサービスの利用増加により、インターネットトラフィックが急激に増大し、業務全体に影響が出始めて不安を感じていたC社では、プローブを用いて社内ネットワークを改善できた。
C社「Flowmonプローブを使ったHTTPホスト解析で、全社ネットワークにおけるクラウドの利用状況を可視化することが可能になり、それをもとに利用環境の改善提案を実施することができました」
Flowmonには2018年内にもメジャーバージョンアップが予定されている。最新バージョンは「10」。改良ポイントは分散アーキテクチャ、GUI改良、オープンプラットフォーム、そしてさらなる高速化だという。
Flowmonはプローブ1台からスモールスタートできる一方、大規模環境向けにはコレクタを分散させて拡張できるようにする。分散配置する場合、コレクタはマスタ、スレーブ、プロキシの3タイプに分けて稼働させる。
最もシンプルな配置では、マスタとスレーブで分散化する(図左)。例えば本社にマスタを配置し、支店にスレーブを配置する。支店ごとにあるスレーブでフローデータを収集し、管理データだけをマスタへ送る。すると本社で全社のフロー情報を一元的に監視できるようになる。
もう少し複雑な配置ではプロキシを使う(図右)。管理端末が大量にある場合を想定した配置だ。モデルにより差異はあるものの、コレクタで収集するフローデータの目安は1台当たり毎秒20万フロー(仕様上1台当たり収集可能なフローは毎秒25〜40万フロー)。これを超えるとコレクタの台数を増やす。一つの拠点に大量のフローデータのソースがある場合、データソースをまず一括してプロキシに接続する。プロキシはその配下にある複数のスレーブにフローデータの処理を分散させる。管理データはプロキシに集約し、集約された管理データをマスタへと送る。
分散利用に向くケースとして、ユーザー数が多く、フローデータが大量に発生する場合を想定している。将来はIoTのようにセンサーが大量にある現場にも適応できそうだ。
モニタリングセンターのデザインをモダンに変えた。操作性は変わることなく、見た目を現代風に刷新した。よく使うメニューがリストの上位に表示されるなど、細かな改良もある。例えば円グラフの表示では、従来は斜めから見たグラフだったが、最新版では真正面から見たグラフとなり、より直感的に分布を把握できる。
クラウド対応も広げる。現在はAmazon Web Services(AWS)に対応しており、今後はMicrosoft AzureやGoogle Cloud Platformにも対応を広げる予定だ。
フロー処理の性能向上を実現することが目的だ。分析するフロー数が増えれば、当然ながら、より長い処理時間を必要とする。処理性能が向上すれば、より長い期間のフローデータをまとめて分析できる。一般には問題が生じた時間帯に限定して解析することが多いものの、より長期間で遷移や分布を把握したいとき、より短時間で解析ができるようになる。
現実のネットワークの運用管理を鑑みると、なかなか細かいところまでは目が届かないというのが実情だろう。だが、サイバー攻撃を早期検知する必要性が高まっていることもあり、異常を早期に検知し、素早く原因究明するための手段が必要だ。
知念氏によると、これまでは「ネットワーク解析をしてもお金を生まないから……」とネットワーク解析に消極的だった企業が、何らかのインシデントを経験してFlowmon導入を決めるケースが珍しくないという。
Flowmonのフロー解析は、導入も運用もシンプル。プローブ1台で始められるためスモールスタートできて、規模が大きくなれば分散配置の運用も可能だ。ネットワーク運用を可視化し、サイバー攻撃の監視や振る舞い検知までカバーする。最新バージョンを機にFlowmonでフロー解析を始めてみてはいかがだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:オリゾンシステムズ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年12月17日