タグ別アーカイブ: GUI

GUIでのオペレーションに関するトピックです。

バージョンアップ後のGUI異常動作

TIPs, ,

GenieATMのソフトウェアアップグレードを行ったあと,GUIからの操作がうまく動作しないことがあります。
たとえば,以下のようなケースです。

  • 「ルータの追加」ページ(システム管理 > ネットワーク > ルータ)から新しいルータを登録して「実行」ボタンを押したのに,一覧画面に戻ったら追加されていなかった
  • 「プロトコル不正使用管理」ページ(システム管理 > ネットワーク > 異常状態 > プロトコル不正使用 タブ)で閾値を編集して「実行」ボタンを押したら”Please Input event threshold value!”というエラーメッセージが出た

これらは,ウェブ・ブラウザがキャッシュに残ったアップグレード前のページを読み込んでいることが原因の場合があります。ブラウザでスーパーリロードを行うことでバージョンアップ後のページを読み込んでから,もう一度試してみてください。スーパーリロードは,以下の操作で行えるようです。

プラットフォーム オペレーション
Windows Ctrl + F5 (IE,Firefox,Chrome)
Shift + 更新ボタン (Safari)
Mac Command + R (Chrome, Safari, Opera)

※GenieATMは上記のすべてのブラウザでの動作を保証しているわけではありません。

レポート再構成時のRawdata存在判定

TIPs, ,

レポート再構成機能(システム管理 > レポート再構成)の「Step 2.時間間隔と対象コレクターの指定」において対象日付範囲を指定するダイアログボックスがあります。ここには,コレクターごとに各日付のRawdata存在状況が,No Data,Incomplete Data,Complete Dataの3種類の色分けで表示されます。

レポート再構成時の日付範囲指定ダイアログ

この判定は,1分ごとにディスク上に作成されるRawdataファイルに基づいて以下のように行われます。

種別 条件
No Data 毎時0分,5分,10分…のRawdataファイルが一つも存在しない
Incomplete Data 毎時0分,5分,10分…のRawdataファイルのうち1つでも存在しないものがある
Complete Data 毎時0分,5分,10分…のRawdataファイルがすべて存在する

従って,正常にフローレコードを受信し続けている場合でも,トラフィックの落ち込んだ時間帯にRawdataファイルが作成されないことがあるとIncomplete Dataと判定されることになりますので,あくまでも目安としてお考えください。なお,Rawdataファイルの一覧は,CLIよりshow rawdataコマンドで見ることができます。

show rawdata {internal | nfs} [ from <from-datetime> to <to-datetime> ]

構成のディスパッチとは

仕様, ,

GenieATMでは,GUIから

システム管理 > ネットワーク

の下のページで行った変更を有効にするために,ディスパッチと呼ばれるオペレーションが必要です。

GenieATMは,コントローラとコレクタという2種類のモジュールから構成されています。GUIでのオペレーションはコントローラ側に持っている構成情報だけを変更するため,次のようなコレクタに必要な構成情報は,ディスパッチによってコレクタに展開する必要があります。

  • ルータとインターフェイスの定義
  • ホームネットワークやサブネットワークとその境界の定義
  • ルールベースレポート定義
  • 異常検出の閾値などの設定

構成のディスパッチ

ディスパッチを行うには,

システム管理 > 構成

から現在の構成に名前を付けて「ネットワーク構成をDispatchして保存」ボタンを押します。「同期ステータスを取得」ボタンを押して,ステータスが「同期化中」から「完了」になれば,すべてのコレクタへの展開が完了しています。

システム構成管理ページ

ただし,コレクタに展開された構成情報が有効になるタイミングは,毎時0分,5分,10分…であることに注意してください。たとえば,ルータからのフローパケット受信やAS経路分析用の経路テーブルを取得するためのBGPピアは,このタイミングまで開始されません。(DDoS防御時に経路変更を注入するためのBGPピアはコントローラから張られるため,GUIの設定変更直後に確立されます。)

そのほか,ソフトウェアバージョンのアップグレードを行った後や,DBの初期化を行ったときも,ディスパッチを行うようにしてください。

2種類のBGP接続の併用

設定, , , , , ,

GenieATMでは,2つの目的でBGPピアと接続します。

ひとつは,隣接ネットワークなどAS関連のレポート作成時に参照されるBGP経路テーブルを取得するため,もうひとつは,DDoS攻撃緩和(Mitigation)時に経路変更の通知(Diversion)を行うためです。前者はコレクタモジュール,後者はコントローラモジュールから接続するため,それぞれ個別のBGP接続が必要になります。

GenieATMが1台構成などのケースで1台のルータに対してコントローラと内蔵コレクタからBGP接続が必要なときは,注意が必要です。一組のIPアドレス間に2本のBGPセッションを張ることはできないため,DDoS攻撃緩和用のBGP接続に経路テーブル取得用とは異なるインターフェイス(IPアドレス)を指定します。

GenieATMにはもともと2つのイーサーネットポートが実装されているので,これらを使い分けることで異なるIPアドレスを指定できますが,別の方法として,同じ物理ポートにセカンダリIPアドレスを付与する方法もあります。以下のオペレーションではEthernet 0にセカンダリIPアドレス172.16.2.99を付与しています。このIPアドレスは,BGPピアの定義画面ではインターフェイスeth0:0として表示されています。

ATM_6367 # configure terminal
ATM_6367 (config)# interface ethernet 0
ATM_6367 (config-if)# ip address 172.16.2.99 255.255.255.0 secondary
ATM_6367 (config-if)# exit
ATM_6367 (config)# show running
#### show running configure ####
!
!
  hostname ATM_6367
  enable password 7 XXXXXX
  clock timezone JST 9
  password XXXXXX
!
interface ethernet 0
  ip address 172.16.2.50 255.255.255.0
  ip address 172.16.2.99 255.255.255.0 secondary
!
interface ethernet 1
  ip address 172.16.4.50 255.255.255.0
!
!

(中略)

ATM_6367 (config)#

BGPピアの定義

関連トピック

GenieATMのBGPの仕様

ディスク使用率の維持

設定, ,

DBとRawdataは時間とともにデータ量が増加していくため,割り当てられたパーティションが満杯になることを避けるために定期的に古いデータが消去されます。

DB領域の維持

DBについては,上限のディスク使用率に達するとレポートデータ → ログ(検出された異常やミチゲーションなど)の順序で設定した使用率になるまでデータを削除します。デフォルトでは使用率が90%に達すると60%まで使用率を落とす設定です。この設定と,各レポートやログに関する設定はGUIメニュー

システム管理 > プリファレンス > ストレージ

の「ディスク使用率」および「レポートデータ」で変更可能です。

まず,レポートデータは設定された保存期間を下回らないようにテーブル単位でパージされます。日次レポート(プロット単位5分)は日ごと,週次・月次レポート(プロット単位30分,2時間)は月ごと,年次レポート(プロット単位1日)は年ごとにテーブルが作られています。

レポートデータの削除だけでは設定した使用率まで下がらない場合は,さらに以下のログをレコード単位で削除します。

  • アラートログ
  • 異常ログ
  • ミチゲーション操作ログ
  • ログインログ

これらについては,「エントリーの最大値」の件数まで削除された後,まだ足りなければ「保存期間」分を残して削除されます。

Rawdataファイル領域の維持

Rawdataファイルについては,パーティションの使用率が95%を上回らないように古いファイルから順に削除されます。これは,異常Rawdataファイルも同様です。DBとは違い,使用率の設定を変更することはできません。

ご注意

NFS使用時にDB,Rawdata,異常Rawdataのパーティションを同一のストレージ(の異なるディレクトリ)にマウントしてしまうと,上記の動作はDB,Rawdata,異常Rawdataの合計使用量から算出された使用率に基づいて行われるため,想定外の結果を招くことがあります。

たとえば,3つのパーティションを容量100GBの同一ストレージにマウントし,DBが50GB,Rawdataと異常Rawdataが合計40GBを消費していた場合,ディスクの使用率は次のように見えます。

ATM # show disk mount
Filesystem Size Used Avail Use% Mounted on
(中略)
172.16.2.10:/export/db
           100G  90G   10G  90% /home/genie/atm_data_nfs
172.16.2.10:/export/raw
           100G  90G   10G  90% /home/genie/rawdata_nfs
172.16.2.10:/export/anomaly_raw
           100G  90G   10G  90% /home/genie/anomaly_rawdata_nfs
ATM #

これをベースに使用率が60%になるまでDBの容量を削減しようとすると,50GBのうち30GBを削除しなければならないことになります。

レポートグラフ

仕様, ,

GenieATMのレポートページで表示するグラフには 4種類あります。

  • 折れ線グラフ
  • 積み上げグラフ
  • 棒グラフ
  • 円グラフ

折れ線グラフと積み上げグラフは,標準レポートとルールベースレポートにおけるもっとも標準的なフォーマットで,トラフィックの時系列の推移を見るのに適しています。

サブネットワーク比較レポート

プロットの粒度は,以下のように表示期間によって自動的に決まります。

表示期間 プロットの粒度
表示期間 ≦ 24時間 5分
24時間 < 表示期間 ≦ 7日 30分
7日 < 表示期間 ≦ 3か月 2時間
3か月 < 表示期間 1日

出力に「CSVファイルに保存」を指定してダウンロードしたときのファイルにも同じルールが適用されます。

また,棒グラフと円グラフは,表示期間中の積算を秒平均のトラフィックに換算した数値で表示します。これは,グラフの下に表示されるTopNテーブル(平均値)をグラフ化したものです。

一方,短時間のトラフィックの傾向を見るためのスナップショットでは,表示形式は円グラフのみとなっています。

関連トピック

レポートグラフ作成時の集計時間範囲

ネットワーク境界とは

仕様, ,

GenieATMでホームネットワークやサブネットワークを定義する際は,通常ネットワーク境界も合わせて定義します。これにより,あるトラフィックが経由した複数のルータがフローを生成した場合に,フローコレクタがそれらのフローレコードを別々のトラフィックとして計上してしまう「ダブルカウント問題」を防ぐことができます。

下図のようにインタネットから4台のルータを経由してトラフィックがサブネットワークに届いた場合,すべてのルータがフローを生成する設定であればコレクタは4つのフローレコードを受け取ることになります。一般的にダブルカウントを避けるには,名寄せにより同一トラフィックを表すフローレコードを特定し,重複分を消し込む必要がありますが,非常に複雑な処理を要します。

インターネットから流入するトラフィック

しかし,例えばインターネット-ホームネットワーク間のトラフィックのみに着目したレポートを作成するのであれば,ネットワーク境界を定義することでダブルカウントを避けることができます。下図のように2つのルータR1,R2のインターネットに接するインターフェイスを境界と定めると,インターネット-ホームネットワーク間のトラフィックは,これらのインターフェイスを一度だけ通過します。したがって,そのときに発生するフローレコードのみを集計すれば正しいトラフィックレポートを作ることができます。

インターネット境界の定義

この例で,計上されるのはR1が生成するフローレコードのみです。トラフィックはR2も通りますが,境界インターフェイスは通過しないためR2のフローレコードは対象となりません。

同様にサブネットワークについても境界を設定することで,インターネットからのトラフィックもサブネットワーク間のトラフィックも正確に算出することができます。以下の例では,真ん中のサブネットワークの境界を定義することにより,他のサブネットワークからのトラフィックも,インターネットからのトラフィックも重複なくカウントすることができます。
サブネットワーク境界の定義

関連トピック

スコープとは

Exporterが4台以上追加できない

TIPs, ,

5代目のルータを追加しようとすると,エラーメッセージが表示されて失敗することがあります。
これは,db initコマンドでDBを初期化した場合など,GUIのコレクタ定義にモデル名が設定されていないことが原因です。

コレクタのモデル名を設定するには,以下の操作を行います。

  1. 以下のメニューから内蔵コレクタ情報の編集画面を開きます。

    2. システム管理 > デバイス > コレクター

  2. 編集画面でSNMP IPアドレスとCommunity Stringを入力してからSNMPWALKボタンを押します。Community StringはCLIのsnmp-server community readコマンドで設定します。
  3. SNMPWALK情報が表示されたら更新ボタンを押して,CLI設定エリアのモデル番号や管理ステータスに反映させます。
  4. 最後に実行ボタンを押して内容を確定させればコレクタモデルごとの最大数までルータが登録できるようになります。

    5. コレクタ定義の初期設定

なお,5台目のExporterを追加しようとしたときのエラーメッセージはバージョンによって異なります。

バージョン メッセージ
~ 5.3.3 No Collector Available!
5.5.1 ~ 5.5.4 RP2 The maxmimum number of Collector1 (127.0.0.1) is 4!
5.5.4 RP3 ~ The default maximum number of routers managed by Collector1 (127.0.0.1) is 4!
Please check collector model number.

IP->国名 マッピングテーブルの更新

設定, ,

IPアドレスと国名のマッピングテーブルは次のページから「インポート」ボタンで更新することができます。

システム管理 > プリファレンス > ネームマッピング > IP->国名 タブ

最新のマッピングテーブルファイルは,DB-IPのサイトなどから取得することができます。(2015年12月現在)

読み込ませたファイルにIPv6アドレスに関するレコードや国名がブランクのレコードが含まれているとエラー扱いとなり,最後に一覧表示されます。しかし,それ以外の有効なレコードによりGenieATM上のマッピングテーブルは更新されます。

IP->国名マッピングファイル読み込みエラー” /></p> </div><!-- .entry-content --> <footer class=

コメントをどうぞ

レポート内のパーセンタイル値

機能, ,

バージョン5.6.2より,いくつかのレポートでパーセンタイル(Percentile)値が表示されるようになりました。ここでは,GenieATMに実装されているパーセンタイル値の仕様をご説明します。

一般的にPパーセンタイルとは,低い方から数えてP%に相当する値と定義されます。例えば,25個の値に対する95パーセンタイル値は,昇順に並び替えた値をv1~v25とするとv24近辺の値になります。しかし,様々な解釈の仕方があり,厳密な定義は定まっていないようです。

ここでは,よく知られる2つの定義をご説明します。GenieATMはこのうち2番目の考え方に基づく方式を採用しています。

一つ目は,測定された値の中からパーセンタイル値を選択する方式です。各値が0%から100%までの一定の範囲を占めると仮定し,Pパーセントに最も近い値を採用します(nearest rank)。25個の値の場合,最初の値v1が0%から4%までを,2つ目の値v2が4%から8%までを,最後のv25が96%から100%を占めることになります。このとき,95パーセンタイル値は24番目の値v24となります。

パーセンタイルの概念1

ただし,40パーセンタイル値はv10ではなくv11となります。これは,英語での記述
A percentile (or a centile) is a measure used in statistics indicating the value below which a given percentage of observations in a group of observations fall.
となっていることからも分かるように,ちょうど40%までを占める値は40パーセンタイル値にはなれないからです。

もう一方の方式は,データは無数の値の中から取得されたサンプルに過ぎないという想定に基づきます。データは,特定のパーセントにおける値を表し,データが取得できていないところの値は,線形補完によって隣接する値から算出します。

パーセンタイルの概念2

上記の例では,v1からv25までの実測データが,それぞれ2%,6%・・・,94%,98%に位置する値だとみなされます。そのため,例えば94パーセンタイル値はv24が該当しますが,狭間に位置する95パーセンタイル値は隣接するv24とv25を距離に応じて按分した値,つまり(3v24+v25)/4となります。

一般にデータの数をN,データ列をvi (i = 1~N)とした場合,Pパーセンタイル値がviとvi+1の間に位置することがわかっているならば,Pパーセンタイル値は次の式によって求められます。

P-percentil = (vi+1 + vi)/2 + (NP/100 – i)(vi+1 – vi)

GenieATMでは,この概念に基づいてパーセンタイル値を算出します。

なお,デフォルトではレポートには95パーセンタイル値が表示されますが,

システム管理 > プリファレンス > レポート

の「詳細レポートのパーセンタイル値」から設定を変更することができます。