Site24x7が機器からフローを受信しているかを確認
NetFlow分析を行うには、機器設定をしてNetFlowコレクターであるオンプレミスポーラーにフローを出力する必要があります。Site24x7は生データを処理するフローアナライザで、直感的な形式で表示を行います。
フロー出力設定で、「フローが受信されていません」というメッセージが表示される場合、これはオンプレミスポーラーがどのフローも受け取っていないことを示します。
フロー確認を行うには次の方法があります。
ポートの確認
トラブルシュートのため、まず初めにNetFlowポートがファイアウォールに遮断されているか、また他のサービスに使用されていないかを確認します。オンプレミスポーラーは特定のポートと通信を行い、フローを受信します。そのため、全フロー出力で適切なポート番号が設定されている必要があります。ポート番号は、オンプレミスポーラーによって異なる場合があるため、オンプレミスポーラーとの関連付けに使用するポート番号を適切に入力することが重要です。
NetFlow出力のデフォルトポート番号は9996です。しかし、オンプレミスポーラー起動時、ポートが他のサービスに使用されている場合、代替ポートの9997や9998が使用されます。
ポート番号を表示するには、管理 > インベントリー > 監視の追加 > フロー出力(NetFlow配下) > オンプレミスポーラーの順にアクセスします。
オンプレミスポーラーと対応するNetFlowポートが表示されます。このポート番号をコピーしてフロー出力設定に使用します。
Wiresharkを用いた確認
次の手順でオンプレミスポーラーがフローを受信しているかを確認できます。
- 最新版Wiresharkをインストールします。
- Windowsの場合、Wireshark公式Webサイトからダウンロードします。
- Linuxの場合、次のコマンドを用いてインストールします。
apt install wireshark
- admin/root権限でWiresharkを起動します。
- インターフェースを選択し、取得開始(ダブルクリック、Enterクリック、または右クリック後取得開始)をクリックします。
- udp.port == 9996を入力して、UDPポート9996でフローをフィルターします。Enterをクリックします。
- フィルターを適用すると、このポートを経由して出力されたフローパケットのみ表示されます。
- 検索結果が空欄の場合、それはオンプレミスポーラーがインストールされているマシンでフローが受信されていないことを示します。
- フィルターしたパケットを表示する場合、それらがフローパケットであることを確認する必要があります。パケットに対するプロトコル名を確認してください。それがCFLOWまたはsFlowの場合、パケットをクリックしてフローデータが存在するかを確認します。
- プロトコルがUDPと表示されている場合は、次の手順を行ってください。
- NetFlow v5、v9、IPFIXの場合: 分析 > Decodeの順にクリックします。表示されたダイアログボックスで、各ドロップダウンから次の項目を選択します。
- フィールド:UDPポート
- 値:9996
- Current:CFLOW
- sFlowの場合:Currentで、ドロップダウンリストからsFlowを選択します。
- sFlowパケットが流れている場合、2タイプのパケットが受信されます。
-
フローが受信されていない場合や、手順5、6、7で不備等がある場合はフロー受信に問題があることが考えられます。
機器設定が正常かを再確認してください。
上記リストに機器が見つからない場合や、機器上で手順を行えない場合、機器ベンダーのサポートポータルにご連絡いただき、設定を行ってください。
- 上記手順が行わえて、Wiresharkを用いた確認でSite24x7がフローを受信していない場合、次の手順を行ってください。
- 新しくオンプレミスポーラーをインストールし、それを用いて機器を追加してください。
- 同じ問題が発生した場合、以下にある情報とともにご連絡ください。
- 上記手順の1-8が行えない場合、次の情報とともにご連絡ください。
- フローを監視したい機器のベンダーとモデル
- フロータイプ
- 失敗した手順
- ネットワークとオンプレミスポーラーのログ
- 取得されたWiresharkパケット:Wiresharkを用いて取得されたデータを出力して保存した後、添付ください。