nProbeのダンプフィールド

ソフトウェア型NetFlow/IPFIXプローブのnProbeがダンプできるフィールドをご紹介します。

SIEM(Security Information and Event Management)製品、例えばSplunk連携に重宝します。

使い方はnProbeをWindows/Linuxサーバーにインストールして、全トラフィックをダンプします。

これをSIEM製品に食わせればいいんですね。

nProbeは様々なフィールドをダンプすることができます。

また、ntop社が販売するnProbe用プラグインを別途購入すれば、さらにそのフィールドを追加できるといった仕組みです。

ここでは、nProbeがntopngにフローをダンプするのに最適化した@NTOPNG@マクロの36種類のフィールドをご紹介します。

  1. IN_SRC_MAC
  2. OUT_DST_MAC
  3. INPUT_SNMP
  4. OUTPUT_SNMP
  5. SRC_VLAN
  6. IPV4_SRC_ADDR
  7. IPV4_DST_ADDR
  8. L4_SRC_PORT
  9. L4_DST_PORT
  10. IPV6_SRC_ADDR
  11. IPV6_DST_ADDR
  12. IP_PROTOCOL_VERSION
  13. PROTOCOL
  14. L7_PROTO
  15. IN_BYTES
  16. IN_PKTS
  17. OUT_BYTES
  18. OUT_PKTS
  19. FIRST_SWITCHED
  20. LAST_SWITCHED
  21. CLIENT_TCP_FLAGS
  22. SERVER_TCP_FLAGS
  23. CLIENT_NW_LATENCY_MS
  24. SERVER_NW_LATENCY_MS
  25. APPL_LATENCY_MS
  26. ORDER_IN_PKTS
  27. ORDER_OUT_PKTS
  28. RETRANSMITTED_IN_PKTS
  29. RETRANSMITTED_OUT_PKTS
  30. SRC_FRAGMENTS
  31. DST_FRAGMENTS
  32. DNS_QUERY
  33. HTTP_URL
  34. HTTP_SITE
  35. TLS_SERVER_NAME
  36. BITTORRENT_HASH

2020年6月14日現在、ntop社が販売するnProbeプラグインは以下の13種類です。

  1. DHCP Plugin [Linux/Win]
  2. Diameter Plugin [Linux/Win]
  3. DNS Plugin [Linux/Win]
  4. ElasticSearch/JSON/Kafka Export Plugin [Linux]
  5. FTP Plugin [Linux/Win]
  6. HTTP Plugin [Linux/Win]
  7. IMAP/SMTP/POP Plugins [Linux/Win]
  8. NetFlow-Lite Plugin [Linux/Win]
  9. SIP/RTP Plugins [Linux/Win]
  10. GTPv0 Plugin [Linux/Win]
  11. GTPv1 Plugin [Linux/Win]
  12. GTPv2 Plugin [Linux/Win]
  13. Radius Plugin [Linux/Win]

Diamterとかピンポイントでテレコミュニケーション業界には重宝されるプラグインかと思います。

(Visited 405 times, 1 visits today)
The following two tabs change content below.
【好きなもの】 インフラ技術が好き。古いものが好き。 【生きてきたフィールド】 システム運用、ソフトウェア開発、ミドルウェア検証、OSSサポート、プリセールスエンジニア、プロジェクトマネジメント 【このサイトでの役割】 サイト管理者。