nProbeのダンプフィールド
ソフトウェア型NetFlow/IPFIXプローブのnProbeがダンプできるフィールドをご紹介します。
SIEM(Security Information and Event Management)製品、例えばSplunk連携に重宝します。
使い方はnProbeをWindows/Linuxサーバーにインストールして、全トラフィックをダンプします。
これをSIEM製品に食わせればいいんですね。
nProbeは様々なフィールドをダンプすることができます。
また、ntop社が販売するnProbe用プラグインを別途購入すれば、さらにそのフィールドを追加できるといった仕組みです。
ここでは、nProbeがntopngにフローをダンプするのに最適化した@NTOPNG@マクロの36種類のフィールドをご紹介します。
- IN_SRC_MAC
- OUT_DST_MAC
- INPUT_SNMP
- OUTPUT_SNMP
- SRC_VLAN
- IPV4_SRC_ADDR
- IPV4_DST_ADDR
- L4_SRC_PORT
- L4_DST_PORT
- IPV6_SRC_ADDR
- IPV6_DST_ADDR
- IP_PROTOCOL_VERSION
- PROTOCOL
- L7_PROTO
- IN_BYTES
- IN_PKTS
- OUT_BYTES
- OUT_PKTS
- FIRST_SWITCHED
- LAST_SWITCHED
- CLIENT_TCP_FLAGS
- SERVER_TCP_FLAGS
- CLIENT_NW_LATENCY_MS
- SERVER_NW_LATENCY_MS
- APPL_LATENCY_MS
- ORDER_IN_PKTS
- ORDER_OUT_PKTS
- RETRANSMITTED_IN_PKTS
- RETRANSMITTED_OUT_PKTS
- SRC_FRAGMENTS
- DST_FRAGMENTS
- DNS_QUERY
- HTTP_URL
- HTTP_SITE
- TLS_SERVER_NAME
- BITTORRENT_HASH
2020年6月14日現在、ntop社が販売するnProbeプラグインは以下の13種類です。
- DHCP Plugin [Linux/Win]
- Diameter Plugin [Linux/Win]
- DNS Plugin [Linux/Win]
- ElasticSearch/JSON/Kafka Export Plugin [Linux]
- FTP Plugin [Linux/Win]
- HTTP Plugin [Linux/Win]
- IMAP/SMTP/POP Plugins [Linux/Win]
- NetFlow-Lite Plugin [Linux/Win]
- SIP/RTP Plugins [Linux/Win]
- GTPv0 Plugin [Linux/Win]
- GTPv1 Plugin [Linux/Win]
- GTPv2 Plugin [Linux/Win]
- Radius Plugin [Linux/Win]
Diamterとかピンポイントでテレコミュニケーション業界には重宝されるプラグインかと思います。
(Visited 405 times, 1 visits today)
The following two tabs change content below.
【好きなもの】
インフラ技術が好き。古いものが好き。
【生きてきたフィールド】
システム運用、ソフトウェア開発、ミドルウェア検証、OSSサポート、プリセールスエンジニア、プロジェクトマネジメント
【このサイトでの役割】
サイト管理者。
最新記事 by 伊集院 (全て見る)
- 【暗号化通信(TLS)を復元できる】WIRESHARK達人への道 第二十五歩 暗号化通信(TLS)を復号する方法 - 1月 1, 2023
- 【詳細版】NSM(ネットワークセキュリティモニタ)、Zeekとは? - 9月 1, 2022
- 【簡易版】OSSネットワークセキュリティモニタZeekとは? - 8月 26, 2022