クエリとレポーティング

Traffic Sentinelは、レポートを5つの機能エリアに分類します。レポート(Reports)メニュー下のタブでアクセスしてください。:

  • 表示(View) 表示可能なスケジュール・レポートをリストします。レポートを選択して、WEBブラウザ内、あるいは、PDFレポートとして、それを表示できます。
  • 実行(Run) クエリを選択し、パラメーター(時間、プロトコル、インターフェース等)を指定し、そのクエリを実行してください。WEBブラウザ内、あるいは、PDFレポートとして、結果が表示されます。
  • 編集(Edit) レポート・エディターでクエリをレポートとして組み立てます。見出しや、レポート内の説明文、クエリ・パラメーターは、このレポート・エディターで編集できます。
  • スケジュール(Schedule) レポートを自動実行するためのスケジュールを指定します。また、そのレポートを保存するかの設定やレポートを送信するeMailアドレスのリストが指定できます。
  • インストール(Install) 新しいレポート・テンプレートをアップロードします。レポート・テンプレートは、レポート・テンプレートの作成 チュートリアルに説明があります。
  • スクリプト(Script) スクリプトに関しては、クエリのスクリプト化チュートリアル内で、個別に説明されています。多くにユーザは、スクリプト・インタフェースを使用する必要はありません。なぜなら、実行(Run)メニューで実行可能な既存のクエリを編集することによって、ほとんどのレポートで表示したい内容は作成できるからです。

このチューリアルは、2つのパートで構成されます。:クエリの作成(Making Queries) は、利用可能な標準タイプのクエリの概要とそれらをデモンストレーションとして使用できる例を提供します。スケジュール・レポート(Scheduled Reporting) は、どのようにしてクエリを定期的にスケジュール化されたレポートと結合するかを示します。

クエリの作成(Making Queries)

Traffic Sentinelは、多くの質問に対して回答を提示するために編集することが可能な、多くのあらかじめ用意されたクエリを保有しています。主要なクエリのカテゴリーを確認するために、レポート(Reports)>実行(Run)メニューをクリックしてください。

クエリは、一般的なアプリケーションに従って運営上集約構成されたカテゴリー別にレポートとして定義されています。たとえば、"Security"カテゴリーは、セキュリティ上の脅威やポリシー違反の検知や特性化を行うレポートを含んでいます。一方、"Inventory"は、ネットワーク内の各種ホストやデバイスをリストすることを意図するレポートを持っています。

ネットワーク上で多量のトラフィックを発生させているホストの検索を実行したい場合は、一般的なトラフィックパターンのクエリを使用してください。これは、トラフィック(Traffic)カテゴリーをクリックするとそれらのレポートがリストされます。:

いくつかの利用可能なクエリを見ることができます。Recent Trafficで表される最近のトラフィック(過去24時間)かHistorical Trafficで表される長期間トラフィック(たとえば、過去30日)の表示したい情報を持つ適切なクエリを選択してください。トレンド(傾向)データ、あるいは、集約データかを選択してください。チャート形式かテーブル形式かの表示形式を選択してください。もし、過去30日間のトップ・ソースのトラフィックの傾向を見たいのであれば、Historical Traffic Trendを以下のように選択してください。:

フォーム内のデフォルト設定で実行すると、期間(Interval)が昨日(Yesterday)で、時間(hour)単位にプロットされるトップ5のIPアドレスに対する傾向が生成されます。実行(Submit)ボタンをクリックするとレポートが作成されます。異なるパラメータを設定して表示される内容をテストしてみてください。いくつかの属性は、入力フィールドでタイプするより設定しやすいように、入力フィールドの右側にメニューを持っています。アドレス、プロトコル、インターフェースなどが、メニューアイテムとして登録されています。

典型的な設定は、メニュー内に、時間に関する期間(Interval)を提供することです。しかし、レポート化するときに指定したい期間があるのであれば、カスタムとして、期間(Interval)の入力フィールドに直接指定することもできます(ヘルプ参照)。;

多くのレポートは、識別子を使用して条件付けを行い、レポートして表示するトラフィックさらに調整することができる、オプションの条件(Where)入力を持っています。たとえば、条件(Where)フィールド内に条件式を追加すると: 

iptos != 0
IP type-of-service ビットに設定があるトラフィックのトップ・IPソースを表示します。フィルターの設定に関しては、ヘルプ にさらに記述があります。

以下の例は、IPプロトコルを表示させたい場合に、実行画面のカテゴリ(Category)IP Protocol を選択した例です。今週についての傾向をプロットしたい場合は、期間(Interval) に、今週(This Week) をセットしてください。実行(Submit) をクリックすると以下のような結果が表示されます。:

PDFボタンをクリックすると、PDFレポートとしてリターンされます。HTMLボタンをクリックすると、HTMLとしてリターンされます。戻り(Back)ボタンをクリックすると、入力フォームに戻り、パラメータを変更し再度実行するのに便利です。エディターへコピー(Copy to Editor) ボタンは、レポート(Report)>編集(Edit)ページ下で編集されるレポート内にクエリをコピーするのに使用されます。もし、ボタンがインアクティブの場合は、現在編集されているレポートが存在しないことを意味します。 (下記、「レポートの編集」を参照).

最後に、チャートの下の小さなTXTHTMLイメージ(Image) リンクに注意してください。これらのリンクは、チャート上でプロットされたデータに、テキストやHTMLテーブル、抽出したイメージとしてアクセスすることが出来ます。

スケジュール・レポート(Scheduled Reporting)

レポートは、選択したクエリ、設定したパラメーター、レポート内に集約したクエリによって組み立てられます。一度、レポートを組み立てると、それをスケジュール化して実行を自動化できます。

レポートの編集

以下のステップは、新規レポートを作成するのに容易な方法です。:

  1. レポート(Reports)>編集(Edit)をクリックして、レポート・エディターへアクセス。
  2. 新規レポート(New Report)ボタンをクリック。
  3. カテゴリー(Category), レポート(Report)タイトル、説明(Description)を指定して、実行(Submit)をクリックし、空レポートを作成します。
  4. レポート(Reports)>実行(Run)メニューをクリックして、クエリの作成(Making Queries)で説明されているステップに従い指定し、クエリを実行してください。クエリの結果を見ることができれば、そのクエリの結果のページの上のエディターへコピー(Copy to Editor)ボタンかありますので、それをクリックして、クエリ・セッティングをレポート内の新規セクションへコピーします。

以下のスクリーンショットは、2つのセクションが追加されたあとの、レポート・エディターを示しています。:

セクションを再オーダーするには、セクション番号を指定し、セクションの再オーダー(Reorder Sections)ボタンをクリックします。セクションの編集(Edit)ボタンをクリックして、その設定を変更することができます。見出しの編集(Edit Heading)ボタンをクリックすると、レポート・タイトルや説明を変更することができます。以上で問題なければ、スケジュールの編集(Edit Schedule)ボタンをクリックして、レポートをスケジュール化します。

レポートのスケジュール化

レポートスケジュール(Report Schedule)フォームは、レポートのスケジュール化の為に使用します。:

分(Minute), 時(Hour), 月(Day of Month)曜日(Day of Week)フィールドが、どのような頻度でレポートを実行するかを指定するために使用されます。それぞれのフィールドでは、一般的な指定項目のメニューを持っています。#レポートの保存(#Reports to Keep)は、古いレポートが削除される前に、どのくらいの世代のレポートを保持し続けるかを指定します。Emailフィールドでは、レポートを送信するeMailアドレスのリストを指定します。実行(Submit)をクリックすると、レポートがスケジュール化されます。

レポートは、その機能にマッチする期間でスケジュール化する必要があります。たとえば、昨日(Yesterday)のトラフィックを集約したアカウンティング・レポートは、一日に一度実行するようスケジュール化されるべきです(通常、早朝 : デフォルト・レポート時間は、AM1:05)。先週(Last Week)のトラフィックを集約したレポートであれば、週に一度実行するようスケジュール化されるべきです。セキュリティ・レポートは、しばしば、短期間のトラフィックを調査するのに使用されますので、さらに、頻繁にスケジュール化されるべきです。たとえば、"5分前から(Last 5 Minutes)"の期間でポート・スキャニング・アクティビティを検知するレポートなどです。また、そのレポートは、アラートを生成する為の設定を行い、毎5分ごとに実行されるべきです。

レポートは、指定した期間で自動的に実行されます。スケジュール・レポートとして実行されたレポートのセーブされたコピーは、レポートの表示で見ることができます。

レポートの表示

レポート(Report)>表示(View)メニューをクリックし、スケジュール・レポートを表示します。カテゴリー(Category)レポート(Report)を選択して、その内容を表示してください。