SonicOS/X 7 デバイス AppFlow
外部コレクター
「外部コレクター」タブには、外部 IPFIX コレクターへの AppFlow 報告に関する設定があります。
- フローとリアルタイム データを外部コレクターに送信する — 指定したフローを外部フロー コレクターへ報告できるようにします。このオプションは、既定では無効になっています。
このオプションを有効/無効にするとき、この機能を完全に有効/無効にするために装置の再起動が必要になることがあります。
-
外部フロー報告形式 — 「外部フロー コレクターに対して報告する」オプションが選択されている場合、フロー報告の種別をドロップダウン メニューから選択する必要があります。
NetFlow バージョン 5 (既定値) IPFIX NetFlow バージョン 9 拡張 IPFIX 「外部フロー報告形式」の選択内容に応じて、使用可能なオプションが変わります。
拡張 IPFIX v2 は内部設定を有効することによってサポートされます。このオプションを有効にする方法については、SonicWall サポートにお問い合わせください。現在、AppFlow エージェントはこのバージョンの IPFIX をサポートしていません。
報告形式の設定により、以下のようになります。
- Netflow バージョン 5、9 または IPFIX に設定されている場合は、任意のサードパーティ製コレクターを使用して、ファイアウォールから報告されたフローを表示できます。ファイアウォールでは、IETF で定義されている標準データ形式を使用しています。Netflow バージョンおよび IPFIX 報告形式には、接続関連フローの詳細情報のみが標準に従って含まれています。
-
拡張 IPFIX に設定されている場合、以下に関する SonicWall 動的テーブルの報告に SonicWall フロー対応のコレクターのみを使用できます。
接続 ユーザ アプリケーション ロケーション URL ログ デバイス VPN トンネル デバイス スパム 無線 脅威 (ウイルス/スパイウェア/侵入) リアルタイム状況 (メモリ/CPU/フェースの統計) このモードで報告されるフローは、コレクターとして構成された別の SonicWall ファイアウォール (特に、高可用性ペアでアイドル ファイアウォールがコレクターとして動作している場合) から、または SonicWall Linux コレクターから表示できます。標準 IPFIX サポートを使用しているいくつかのサードパーティ製コレクターも、このモードを使用してアプリケーションを表示できます。ただし、サードパーティ製コレクターですべての報告を表示できるわけではありません。
拡張 IPFIX を使う場合は、Scrutinizer など、SonicWall フローに対応したサードパーティ製コレクターを選択してください。
-
外部コレクターサーバ アドレス — 装置が Netflow/IPFIX を通してフローを送信する外部コレクター IP アドレスを指定します。コレクターがフロー報告を生成するためには、この IP アドレスは SonicWall ファイアウォールから到達可能である必要があります。コレクターが VPN トンネル経由で到達可能な場合、「VPN トンネルでコレクターを使用する際の送信元 IP」に送信元 IP を指定する必要があります。
-
VPN トンネルでコレクターを使用する際の送信元 IP— 外部コレクターに VPN トンネルを通して到達する必要がある場合、正しい VPN ポリシーに対する送信元 IP アドレスを指定します。
VPN ポリシー内で指定したローカル ネットワークから送信元 IP を選択します。指定した場合、Netflow/IPFIX フロー パケットは常に VPN パスを通ります。
-
外部コレクター UDP ポート番号 — 送信する NetFlow/IPFIX パケットの UDP ポート番号を指定します。既定のポートは 2055 です。
-
定期的に IPFIX/Netflow テンプレートを送信する — 装置はテンプレート フローを定期的に送信できるようになります。このオプションは、既定では選択されています。
このオプションは、NetFlow バージョン 9、IPFIX、および拡張 IPFIX でのみ利用可能です。
NetFlow バージョン 9 および IPFIX は、データを送信する前に外部コレクターに知らせる必要があるテンプレートを使います。IETF により、コレクターがデバイスとの同期を保つために、報告するデバイスはテンプレートを通常の間隔で送信できる必要があります。コレクターが定期的にテンプレートを必要としなければ、この機能は無効にしてかまいません。
-
定期的に静的 AppFlow を送信する — 指定された静的 AppFlow テーブルに関する IPFIX レコードの 1 時間ごとの送信が有効になります。このオプションは、既定では無効になっています。
このオプションは拡張 IPFIX でのみ利用可能です。SonicWall Scrutinizer をコレクターとして使用する場合は、このオプションが選択されている必要があります。
-
以下のテーブルに静的 AppFlow を送信する — ドロップダウン メニューから、フローに対して生成する静的マッピング テーブルを選択します。静的テーブルの詳細については、「NetFlow テーブル」を参照してください。
アプリケーション (既定で選択済み) サービス (既定で選択済み) ウイルス (既定で選択済み) 格付けマップ (既定で選択済み) スパイウェア (既定で選択済み) テーブル マップ 侵入 (既定で選択済み) カラム マップ ロケーション マップ 拡張 IPFIX モードで動作している場合は、ファイアウォールはユーザ、VPN、アプリケーション、ウイルス、スパイウェアの情報を関連付けるために、複数の種別のデータを外部デバイスに報告します。データは静的と動的の両方です。静的テーブルは、ほとんど変更されないので一度だけ必要とされます。外部コレクターの能力によっては、すべての静的テーブルが必要というわけではありません。
拡張 IPFIX モードで、ファイアウォールは静的マッピング テーブルを非同期で生成することにより、外部コレクターと同期できます。この同期は外部コレクターがファイアウォールよりも遅れて初期化されたとき必要となります。
-
以下のテーブルに動的 AppFlow を送信する — ドロップダウン メニューから、フローに対して生成する動的マッピング テーブルを選択します。動的テーブルの詳細については、「NetFlow テーブル」を参照してください。
このオプションは拡張 IPFIX でのみ利用可能です。ファイアウォールは選択されているテーブルに関するレポートを生成します。ファイアウォールは、この情報をキャッシュしていないので、送信されなかった一部のフローでは、他の関連データとフローを相関させる際にエラーが生成される場合があります。
接続 (既定で選択済み) デバイス ユーザ (既定で選択済み) スパム URL (既定で選択済み) 位置 URL 格付け (既定で選択される) VoIP (既定で選択済み) VPN (既定で選択済み) -
IPFIX に以下の追加報告を含む — フローに生成される追加の IPFIX 報告を選択します。ドロップダウン メニューから値を選択します。既定では何も選択されていません。統計は 5 秒毎に報告されます。
このオプションは拡張 IPFIX でのみ利用可能です。
- システム ログ – インターフェース状態の変化、ファン障害、ユーザ認証、HA フェイルオーバーとフェイルバック、トンネルのネゴシエーション、設定変更などのシステム ログを生成します。システム ログには、通常はフロー (セッション/接続) 関連以外のイベント (ファイアウォールを通るトラフィックに依存しないイベント) が記録されます。
- 上位 10 アプリケーション - 上位 10 アプリケーションを生成します。
- インターフェース状況 - インターフェース毎の統計 (インターフェース名、インターフェース帯域幅使用率、MAC アドレス、リンク状況など) を生成します。
- コア使用率 – コア毎の使用率を生成します。
- メモリ使用率 - 利用可能なメモリ、使用中のメモリ、AppFlow コレクターで使用中のメモリの状況を生成します。
どちらのモードで動作していても、SonicWall は接続とフローに関連しない、より多くのデータを報告できます。これらのテーブルはこのセクション (追加の報告) 下にグループ化されます。外部コレクターの能力によっては、すべての追加テーブルが必要というわけではありません。このオプションでは、必要なテーブルを選択できます。
- 接続オープン時に報告する — 新しい接続の確立時にフローを報告します。接続がオープンした時点で対象の接続に関連するすべてのデータが利用可能であるとは限りません。ただし、このオプションでは、新しい接続が確立して間もなく外部コレクター上にフローが表示されます。既定で、このオプションは有効になっています。
- 接続クローズ時に報告する — 接続のクローズ時にフローを報告します。これは、外部コレクターに対してフローを報告するための最も効率的な方法です。対象の接続に関連するすべてのデータが利用可能で、報告されます。既定で、このオプションは有効になっています。
-
動作タイムアウト時に接続を報告する — 動作タイムアウト セッション数に基づく接続を報告します。有効になっている場合、ファイアウォールはアクティブなタイムアウト周期ごとにアクティブな接続を報告します。既定で、このオプションは無効になっています。
このオプションを選択すると、「キロバイト交換時に接続を報告する」オプションを同時に選択できなくなります。このオプションが既にオンになっている場合に「キロバイト交換時に接続を報告する」を選択しようとすると、以下のメッセージが表示されます。
- 秒数 — 動作タイムアウトまでの秒数を設定します。アクティブなタイムアウトでは範囲を 1 から 999 秒の間で設定できます。既定の設定は 60 秒です。
-
キロバイト交換時に接続を報告する — キロバイトで指定した一定のトラフィック量が転送されたタイミングに基づいてフローを報告します。この設定が有効になっている場合、ファイアウォールは、アクティブな接続上で指定バイト数の双方向データが転送されるたびにアクティブな接続を報告します。このオプションは、長時間動作していて監視が必要なフローに対して理想的です。このオプションは、既定では選択されていません。
このオプションを選択すると、「動作タイムアウト時に接続を報告する」オプションを同時に選択できなくなります。このオプションが既にオンになっている場合に「動作タイムアウト時に接続を報告する」を選択しようとすると、以下のメッセージが表示されます。
- 交換されたキロバイト — 報告を行うために必要となる、接続上で転送されるデータの量をキロバイト単位で指定します。既定値は 100 キロバイトです。
- 1 度だけ報告 — 「キロバイト交換時に接続を報告する」オプションが有効になっている場合、指定した量のデータが接続上で転送されるたびに同じフローが繰り返し報告されます。これにより、ロードされたシステムで大量の IPFIX パケットが生成されることがあります。このオプションを有効にすると、レポートは 1 度しか送信されません。このオプションは、既定では選択されています。
-
以下の更新時に接続を報告する — ドロップダウン メニューから接続報告を有効にする対象を選択します (既定ではすべてが選択されています)。
選択項目 報告するフロー 脅威検知 脅威特有のフロー。ウイルス、侵入、またはスパイウェアが検知されると、フローは再度報告されます。 アプリケーション検知 アプリケーション特有のフロー。精密パケット検査の完了時に、SonicWall 装置は、フローが特定のアプリケーションの一部であるかどうかを検知できます。識別されると、フローは再度報告されます。 ユーザ検知 ユーザ特有のフロー。SonicWall 装置は、フローをログイン資格情報に基づいてユーザ基準の検知に関連付けます。識別されると、フローは再度報告されます。 VPN トンネル検知 VPN トンネルを通して送信されたフロー。VPN トンネル上で送信されたフローが識別されると、フローは再度報告されます。 -
動作 — 以下のボタンをクリックすると、テンプレートと静的フロー データを非同期で生成します。
-
「すべてのテンプレートを生成する」 — このボタンをクリックすると、IPFIX サーバ上でテンプレートの構築が開始されます。この生成には最長で 2 分かかります。
このオプションは、NetFlow バージョン 9、IPFIX、および拡張 IPFIX でのみ利用可能です。
-
「静的 AppFlow データを生成する」 — このボタンをクリックすると、IPFIX サーバへの大量のフローの生成が開始されます。この生成には最長で 2 分かかります。
このオプションは拡張 IPFIX でのみ利用可能です。
-
-
外部コレクターにログ設定を送信する — 「登録をすべて送信」をクリックすると、必要なログの設定のフィールドを外部コレクターに送信します。
このオプションは、「外部フロー報告形式」として「拡張 IPFIX」を選択した場合にのみ表示されます。
「登録をすべて送信」をクリックする前に、SonicOS と外部コレクター サーバの接続が完了していることを確認してください。
以下の場合は、ボタンを再度選択して設定を同期します。
SonicOS がアップグレードされてログ イベントが新たに追加された場合。
SonicOS と外部サーバの接続がしばらく停止し、ログ設定が編集された可能性がある場合。
Was This Article Helpful?
Help us to improve our support portal