ドリルダウン・トラフィック分析

Traffic Sentinelは、リアルタイムのネットワーク・モニタリング、およびトラブルシューティングのためのツールを、いくつも備えています。これらのツールには、Traffic Sentinelウィンドウの上端のTraffic(トラフィック)メニューからアクセスできます。トラフィック機能を最も有効にするには、しきい値、ゾーン、グループを定義します。

ネットワーク・トラブルシューティングは、主に3つのフェーズ(段階)から成っています。

1. エントリー 調査をトリガーしたイベントに基づいて、スターティング・ポイントを選択します。

2. ドリルダウン 問題を調べて、根本的原因を特定します。

3. 解決策 問題の解決策を立てます。

本チュートリアルの以下の部分では、トラブルシューティングのステップを、例を用いて説明していきます。

1. エントリー

Traffic Sentinelにエントリーして、調査を開始するには、いくつかの方法があります。

1.1 Events(イベント)

RSS、Eメール、syslog、SNMPトラップからイベントが知らされる場合があります。あるいは、ウェブブラウザーで、Events>Summary(イベント>サマリー)ページやEvents>List(イベント>リスト)ページをモニタリングして、イベントに気付く場合もあります(注: Events>Summary(イベント>サマリー)は、ウィジェットとして、ホームページに置いておくこともできます)。

いずれの場合でも、イベント・リンクをクリックすると、そのイベントの詳細が記されたページにジャンプします。

イベント・ページの下端に、1つまたは複数のLink(リンク)ロー(横列)があるかもしれません。これらのリンクをクリックすると、このイベントを分析するためのスターティング・ポイントが表示されます。この例では、「utilization threshold(使用率しきい値)」リンクをクリックすると、インターフェースの使用率を示すトラフィック(Traffic)>トレンド(Trend)チャートが表示されます。

1.2 Home>Dashboard(ホーム>ダッシュボード)

それぞれのユーザーは、ネットワークの健全性を管理するのに必要な重要情報が全て表示されたホームページを、自分でカスタマイズして作成できます。

ダッシュボード上の各ウィジェットには、リンク・ボタンがあり、それをクリックすることで、ウィジェットに表示されたデータをドリルダウンし、分析することができます。

1.3 Traffic>Status(トラフィック>ステータス)

Traffic>Status(トラフィック>ステータス)ページには、ネットワーク内のデバイスやリンクのステータスが表示されます。

グリッド(格子)内の四角をクリックすると、より詳細なステータスにドリルダウンされます。ロー・ラベルをクリックすると、選択したネットワーク部分の詳細が表示されます。

1.4 Search>Host(検索>ホスト)

ホストのロケーションを探したり、あるいは、ホストに付随する可能性のある性能上の問題を特定したりするには、Search>Host(検索>ホスト)ページからスタートします(例えば、ネットワーク性能について、ユーザーから苦情があった場合など)。

検索結果には、ホスト、ホストのロケーションやアドレスに関する詳しい情報が表示されます。上に並んだボタンは各種ツールへのリンクになっていて、これらを使って、アドレスについて、さらに詳しく調べることができます。

注: Traffic Sentinelのどのページでも、アドレスをクリックすると、Search>Host(検索>ホスト)ページにジャンプします。そこに表示されたリンクから、そのホストについて集中的に調べることができます。Traffic Sentinelのページは、それぞれの設定を記憶していますから、画面上端のタブを使って、いつでも元のページに戻って、さっきまで見ていたデータを見直すことができます。

1.5 Search>Agent/Interface(検索>エージェント/インターフェース)

説明やアドレスからエージェントやインターフェースを検索するには、Search>Agent/Interface(検索>エージェント/インターフェース)ページがスターティング・ポイントになります。

検索結果には、エージェントやインターフェースに関する詳しい情報が表示されます。上に並んだボタンは各種ツールへのリンクになっていて、これらを使って、エージェントについて、さらに詳しく調べることができます。

注: Traffic Sentinelのどのページでも、エージェントやインターフェースをクリックすると、Search>Agent/Interface(検索>エージェント/インターフェース)ページにジャンプします。そこに表示されたリンクから、そのエージェントについて集中的に調べることができます。Traffic Sentinelのページは、それぞれの設定を記憶していますから、画面上端のタブを使って、いつでも元のページに戻って、さっきまで見ていたデータを見直すことができます。

1.6 Search>Protocol(検索>プロトコル)

プロトコルを分析するには、Search>Protocol(検索>プロトコル)ページがスターティング・ポイントとなります。

検索結果には、プロトコルに関する詳しい情報が表示されます。上に並んだボタンは各種ツールへのリンクになっていて、これらを使って、プロトコルについて、さらに詳しく調べることができます。

注: Traffic Sentinelのどのページでも、プロトコルをクリックすると、Search>Protocol(検索>プロトコル)ページにジャンプします。そこに表示されたリンクから、そのプロトコルについて集中的に調べることができます。Traffic Sentinelのページは、それぞれの設定を記憶していますから、画面上端のタブを使って、いつでも元のページに戻って、さっきまで見ていたデータを見直すことができます。

2. ドリルダウン

Traffic Sentinelのトップレベル・タブは、製品に含まれるさまざまな機能エリアやツールを分類するものです。それぞれのツールには、そのツール内の異なる活動ごとにサブ・タブがあります。多くの場合、ツール内のサブ・タブでは、いくつかの設定が共有されています。すなわち、1つのサブ・タブで設定を変更すれば、他のサブ・タブの設定も自動的に変更されます。それぞれのページで行われた設定は記憶されるので、素早くタブ間を移動しながら、さまざまなツールを用いて、さまざまな方法で問題を検討し、分析をより確かなものにできます。前のタブに戻っても、これまでの変更が無効になることはありません。

調査フェーズでは、問題の性質と範囲を見つけ出すため、クエリーの範囲を狭めていきます。

トラフィックに関する問題の調査には、下記のタブが最も多く用いられます。

2.1 Traffic(トラフィック)

Traffic(トラフィック)ツールは、Filter:(フィルター:)属性を共有しながら、連携して機能します。全てのツールがパス属性を共有し、ネットワークのゾーン、グループ、エージェント、ポートの分析を行います。Factors(ファクター)ツール、Circles(サークル)ツール、Trend(トレンド)ツールは、トラフィックをさまざまな方法で表示し、追加のフィルター設定を共有します。

2.1.1 Traffic>Status(トラフィック>ステータス)

Traffic>Status(トラフィック>ステータス)ページについては、Traffic Sentinelへのエントリー・ポイントの1つとして、既に紹介しました。

Utilization(使用率)カラム(縦列)の赤い四角■はTraffic>Interface(トラフィック>インターフェース)ページにリンクされていて、クリックすると、California St. ゾーン内のインターフェースでの使用率情報が表示されます。

Traffic>Status(トラフィック>ステータス)ページは、ネットワーク階層を調べる際にも便利です。California St.リンクをクリックすると、ゾーン内のグループが表示されます。そのネットワーク部分について、使用率しきい値超過によるドリルダウンを続けると、選択したスイッチのインターフェースを表示する詳細なスイッチ・ビューが得られます。


Filter:(フィルター:)バーから、パスInMon>HQ>California St.>Office>fgsを見ていることが分かります(すなわち、ゾーン=California St.、グループ=Office、エージェント=fgs)。

しきい値超過がインターフェースethernet0/1/24で起こっていること、この100Mb/secインターフェースがインターフェースA14上のスイッチHP ProCurve Switch 5304XLに接続されていることが分かります。隣のリンクをクリックすると、Search>Agent/Interface(検索>エージェント/インターフェース)ページにジャンプします。

詳細なインターフェース・ビューからは、どのホストがこのスイッチに接続されているかも分かります。chowがインターフェースethernet0/1/2に接続されているのが分かります。ホストとスイッチの接続が1Gb/secであるのに対し、アップリンクは100Mb/secしかありませんから、アップリンクが使用率アラートを発するのは当然のことです。

2.1.2 Traffic>Interfaces(トラフィック>インターフェース)

Traffic>Interfaces(トラフィック>インターフェース)では、現在のFilter:(フィルター:)パス内のインターフェースについて、ソートされたテーブル(表)が表示されます。.

この例では、サイト上の全てのインターフェースが、Utilization(使用率)によってソートされており、しきい値超過が、エージェントfgsとインターフェースethernet0/1/24で起こっていることがはっきりと分かります。他のインターフェースはどれも、使用率しきい値に近付いてもいないことも分かります。すなわち、問題は、1つのリンクに絞られました。赤いバーをクリックするとTraffic>Trend(トラフィック>トレンド)ページにジャンプし、そのインターフェースの使用率トレンドが表示されます。

Show(表示)設定は、Status(ステータス)になっています。Status(ステータス)設定から、テーブルが、各インターフェース・カウンターのしきい値に対する割合を示していることが分かります。Show(表示)設定を、Counters(カウンター)に変更すると、実際のカウンター値が表示されます。

ここでも、しきい値超過が起こっているのが、エージェントfgsとインターフェースethernet0/1/24であることは明らかです。また、インターフェースの現在の使用率が、31.27%であることが分かります。赤いバーをクリックすると、Traffic>Trend(トラフィック>トレンド)ページにジャンプし、そのインターフェースの使用率トレンドが表示されます。

その他のFilter:(フィルター:)設定により、異なるカウンターでテーブルをソートし、テーブル内のエントリー数を変えられます。

注: Factors(ファクター)ボタンから、Traffic>Factors(トラフィック>ファクター)ページにジャンプでき、しきい値超過を引き起こしたトラフィックについて分析できます。このボタンは、しきい値超過が生じている時だけ有効になります。

2.1.3 Traffic>Trend(トラフィック>トレンド)

Traffic>Trend(トラフィック>トレンド)ページでは、インターフェース・カウンターとトラフィック・フローのリアルタイム・ビューを見ることができます。

このチャートでは、インターフェースethernet0/1/24のfgs上の使用率が、過去4分間にわたって高かったことが分かります。このインターフェース上のトラフィックを生成しているのが誰かを突き止めるには、Chart(チャート)設定をTop Connections(上位接続)に変更します。

注: ずっと長時間にわたるリンク使用率のトレンドをチェックするには、Explore(エクスプロア)ボタンをクリックして、Reports>Explore(レポート>エクスプロア)ページにジャンプします。

Top Connections(上位接続)チャートからは、トラフィックが増えたのが、chow (10.0.0.7)とhouse (10.0.0.15)の間のTCP:22 (ssh)接続によるものだということが分かります。

チャートの凡例内の項目上にマウスを移動させると、それぞれのアドレスやプロトコルがリンクになっているのが分かります。アドレスまたはプロトコルをクリックすると、対応するSearch(検索)ページにジャンプします。各凡例項目の隣の[Filter(フィルター)]リンクをクリックすると、特定のトラフィックを選択するフィルターが追加されます。この例では、chow (10.0.0.7)の隣の[Filter(フィルター)]リンクをクリックすると、Client Address(クライアント・アドレス)カラムに、chowによる接続だけを表示するフィルターが追加されます。

Whereフィルターが下記のように設定されていることに注意して下さい。

clientaddress = 10.0.0.7

チャートのShow(表示)設定も、Top Protocols(上位プロトコル)を表示するように変更されました。チャートから、10.0.0.7から出ているトラフィックが、全てTCP:22 (ssh)であることが分かります。

注: 比較演算式を使って、複雑なWhereフィルターを構築できます。フィルターの構築について詳しくは、Whereフィルターの隣の(?)リンクをクリックして下さい。

注: Traffic>Trend(トラフィック>トレンド)ページは、1つのインターフェースに制限されません。Filter(フィルター)パスを変更して、調べたいネットワーク部分を設定するだけで、選択したパスのスイッチやインターフェースを介したトラフィックが全て統合され、表示されます。

2.1.4 Traffic>Factors(トラフィック>ファクター)

Traffic>Factors(トラフィック>ファクター)は、ネットワーク上で測定されたパケットに共通する属性を特定するものです。

何が表示されているのかを理解するには、トラフィックに問題があってトラブルシューティングを行う時、普通、どうするかを考えてみると良いでしょう。誰が回線容量を使用しているのかをチェックするため、転送バイトでソートした上位ソース・アドレスを調べるかもしれません。サービス拒否の攻撃を受けているサーバーがあるかを調べるため、パケット数でソートした上位デスティネーションを調べるかもしれません。Factors(ファクター)ページでは、Top Source(上位ソース)、Top Destination(上位デスティネーション)、Top Source-Destination(上位ソース‐デスティネーション)、Top Protocol(上位プロトコル)など、考えうる全てのチャートを1つのテーブルにまとめて表示します。これによって、どの属性、あるいは、属性の組み合わせが、ネットワーク上のトラフィックに共通しているかを素早くチェックできます。

このFactors(ファクター)テーブルでハイライト(強調表示)したローから、ネットワーク上の全バイトの96%が、chow (10.0.0.7)とhouse (10.0.0.15)の間の1つの接続によるものであり、そのプロトコルがTCP:22 (ssh)であることが分かります。

注: Show(表示)設定を変更して、しきい値を超過しているインターフェース上のトラフィックだけを表示させることができます。テーブルのバーをクリックすると、そのローの属性に一致するトラフィックを選択するWhere(条件)フィルターが作成されます。

2.1.5 Traffic>Circles(トラフィック>サークル)

Circles(サークル)ページでは、ゾーン、グループ、CIDR、またはエージェントごとにクラスターにまとめられたホスト間の上位100のトラフィック・フローが表示されます。.

何が表示されているのかを理解するには、トラフィックに問題があってトラブルシューティングを行う時、普通、どうするかを考えてみると良いでしょう。誰が回線容量を使用しているのかをチェックするため、転送バイトでソートした上位ソース・アドレスを調べるかもしれません。サービス拒否の攻撃を受けているサーバーがあるかを調べるため、パケット数でソートした上位デスティネーションを調べるかもしれません。Factors(ファクター)ページでは、Top Source(上位ソース)、Top Destination(上位デスティネーション)、Top Source-Destination(上位ソース‐デスティネーション)、Top Protocol(上位プロトコル)など、考えうる全てのチャートを1つのテーブルにまとめて表示します。これによって、どの属性、あるいは、属性の組み合わせが、ネットワーク上のトラフィックに共通しているかを素早くチェックできます。

このFactors(ファクター)テーブルでハイライト(強調表示)したローから、ネットワーク上の全バイトの96%が、chow (10.0.0.7)とhouse (10.0.0.15)の間の1つの接続によるものであり、そのプロトコルがTCP:22 (ssh)であることが分かります。

注: Show(表示)設定を変更して、しきい値を超過しているインターフェース上のトラフィックだけを表示させることができます。テーブルのバーをクリックすると、そのローの属性に一致するトラフィックを選択するWhere(条件)フィルターが作成されます。

2.1.5 Traffic>Circles(トラフィック>サークル)

Circles(サークル)ページでは、ゾーン、グループ、CIDR、またはエージェントごとにクラスターにまとめられたホスト間の上位100のトラフィック・フローが表示されます。.

この例では、チャートは、エージェントfgs、インターフェースethernet0/1/24におけるトラフィックの7日間のトレンドを示しています。

一部の時間範囲にズームインするには、マウスを使ってチャート上で長方形をドラッグします。

上のチャートでは、27-Mar(3月27日)のトラフィック・スパイク(急上昇)に長方形が描かれ、この部分にズームされます。

Explore(エクスプロア)ツールを用いて、トラフィック・フロー情報を調べることも可能です。下記のチャートは、7日間にわたる上位トラフィック・ソースのトレンドを示しています。

チャート凡例の項目をクリックすれば、Where(条件)フィルターを追加できます。この例では、凡例のchowをクリックします。

Where(条件)フィルターが下記のように設定されていることに注意して下さい。

sourceaddress=10.0.0.7

Chart Type(チャート・タイプ)が3D棒グラフに変更され、Category(カテゴリー)はServer Address(サーバー・アドレス)(serveraddress)に変更されました。

注: チャートの下のTXTリンク、HTMLリンク、Imageリンクから、チャート・データやチャート・イメージにアクセスできます。

2.3 Maps(マップ)

Map(マップ)ページでは、ネットワーク・トポロジー(接続形態)が表示されます。

この例では、色はステータスを表し、線の太さは各リンクのトラフィック量を表します。

注: マウスを使ってマップをドラッグしたり、右クリック・メニュー(または、ホィール付のマウスなら、ホィール)を使って、ズームイン、ズームアウトしたり、マップ上の項目を展開したり、折りたたんだりできます。

注: Filter:(フィルター:)バーのZone(ゾーン)リンクをクリックすればゾーンのマップが、Group(グループ)リンクならグループのマップが、Agent(エージェント)リンクならエージェントのマップが表示されます。

2.4 Search(検索)

ドリルダウン分析では、Search>Host(検索>ホスト)ページ、Search>Agent/Interface(検索>エージェント/インターフェース)ページ、Search>Protocol(検索>プロトコル)ページが重要な役割を果たします。アドレスやプロトコル、エージェントに関するリンクをクリックすれば、必ずこれらのページにジャンプします。これらのページでは、選択した項目やリンクについての詳細が表示され、選択した項目を集中的に分析できます。

Traffic Sentinelは、各ページの設定を記録しています。ですから、別のSearch(検索)ページにジャンプしても、今、見ている設定やデータが失われることはありません。ページ上端のタブをクリックするだけで、さっきまで使っていたツールに戻れます。あるいは、Traffic(トラフィック)タブ、Reports(リポート)タブ、Maps(マップ)タブ、Search(検索)タブで見ていた異なるデータ間を、あちこち行き来することも可能です。

3.解決策

ドリルダウンフェーズで問題を調べ、理解したら、その問題の解決にもTraffic Sentinelのツールを役立てることができます。

例えば、感染したホストを切断するなど、対策についての計画を決めたら、そのような対策が、ネットワークの他の部分に、どのような影響を与えるかについても考慮することが重要です。Traffic Sentinelを使って、変更によってどのホストが影響を受けるかを調べることができます(例えば、あなたが切断しようとしているホストが、DNSなどの極めて重要なサービスを提供していて、他のホストは、それに依存しているかもしれません)。依存関係を理解することは、変更を計画し、サービスに及ぼす悪影響を最小限にする上で、有益です。

最後に、Traffic Sentinelのコントローラーを使って、より恒久的な解決策が実行される間、トラフィック・コントロールを実行して、多くのタイプのトラフィック問題を軽減することができます。