01_momentum_Apps » 01_DNS_Viewer

① ./DNSviewerInstaller.sh
(1) [1]IP address of probe
利用しているmomentuemは，Probe R3 + Strage S3の構成となっています。
この場合，Strage S3に割り当てているIPアドレスを指定するとお聞きしてい
るのですが，その認識であっていますでしょうか？

はい、その構成で利用する場合、DNS viewerが参照する宛先はStrage S3です。
[1]IP address of probeには、DNS viewerから到達できるStrage S3の管理IPを指定してください。

(2) [2]Capture interface of probe
[How to use it - 01_DNS_Viewer-momentum_TAPAS]で，初期値がeth2_0, eth3_0
と記載されていますが， eth2, eth3でも良いのでしょうか？

「How to use it - 01_DNS_Viewer-momentum_TAPAS」の記載に誤りがありました。
誤っている箇所を修正しました。
問題個所の発見ありがとうございます。

R3-12TBをキャプチャ機に利用している場合は、この設定は「eth2,eth3」が正しい設定です。

(3) [3]DNS server CIDR (network)，[4]DNS server CIDR (mask)
こちらは何のために設定する項目でしょうか？
/32のアドレスを指定せずにCIDRで指定する理由が良く理解できていません。

このinstallerでの入力結果は、「(3) cachedns:cidr」で質問の部分の設定として設定されます。
本設定項目の意味合いについては、「(3) cachedns:cidr」の部分の説明を参照ください。

② 全体用設定
(1) probe0: ip
こちらも①(1)と同様のご質問となります。

この設定ファイルのこの部分は、DNSviewerInstaller.shによるクリーンインストール時に
[1]IP address of probeに入力した値が自動的に設定されます。
このため、意味合いや設定すべき内容は、前述の内容と同様に、
DNS viewerから到達できるStrage S3の管理IPを指定してください。

(2) log_output: loghost
複数のsyslogサーバに転送したい場合の書式をご教示ください。

DNS viewerのlog出力機能は複数の出力先を指定する機能は有していません。
複数のsyslogサーバで記録する場合には、DNS viewerから受信したsyslogサーバにおいて、
別のsyslogサーバに受信メッセージを転送するなどして利用してください。

(3) cachedns:cidr
こちらは何のために設定する項目でしょうか？

この設定は、「Request/Response (Cache)」機能において利用される設定です。
この機能は、キャッシュサーバとその他（主に権威サーバ）DNSサーバ間の通信を描画するものとして実装されています。

このキャッシュサーバとして考える範囲の設定としてこの設定は利用されます。
ここで設定したCIDRをキャッシュサーバの範囲と想定し、その範囲から送信されるDNSのpacketとその範囲へ受信されるDNSのpacketとを可視化しています。

https://tapas.twx-threatintel.com/projects/dns_viewer/wiki/How_to_use_it#各レポートの説明
の「Request/Response (Cache)」の項も参照してください。

また，２つまでしか設定できないのしょうか？

この設定が2つまでとなっているのは、処理負荷への対処のためです。
もっと数を増やして利用したい場合には、利用者判断で、DNS viewerのsourceを変更して利用してください。

また，IPv6アドレス(xx:xx:xx::/48)を2つめとして設定しようとしたのですが，
(Wrong settings: your setting [xx.xx.xx.xx/20 xx:xx::xx::/48]) <<<<<<<<<<
とエラーになりました。
IPv6はどのように設定すればよいのでしょうか？

このエラー表示は、現在のDNS viewerのバージョンにおけるバグです。
cachedns設定のcidr設定は、設定としてはIPv4もIPv6も設定し利用いただくことができます。
しかし、「Configuration of momentum DNS viewer 」機能にて設定の妥当性を確認する部分で、このcachedns設定のcidr設定内容にIPv6が含まれる場合に、この確認機能が正しく動作しない状態です。
今後のバージョンにてこの確認機能についての修正を実施しますので、それまでは、この設定部分にIPv6が含まれる場合には、正しい判定とならないとお考え下さい。

(4) cachedns:
chacheとなっていますが，DNS ViewerはコンテンツDNSサーバも対象でしょうか？

前述の通りです。
設定した範囲を利用された可視化が行われますので、実際のDNSサーバがどのような役割を持っているかについては
DNS viewerの本機能としては考慮されません。

③ NXDomain通知用設定
(1) syslog:
こちらは何のために設定する項目でしょうか？
②(2)のlog_outputとの違いが理解できていません。

DNS viewerには、NXDomain通知機能を提供する機能が含まれています。
この機能はその利用時にはcron jobとして起動されるものとして実装されています。
ファイルは、「/opt/momentum_client/bin/nxdomain_alert_syslog.pl」です。

この機能は、クリーンインストール時には、コメントアウト状態のcron jobとして設定されます。
利用時には「crontab -e」によって、動作するように変更して利用します。

この機能は、定期的にNXDomainの数が設定された閾値より多いかどうかを確認し、多かった場合に
通知を行う機能となっています。

質問の設定は、この機能が通知する宛先の設定です。

この機能の出力する内容のサンプルは、scriptの先頭あたりのコメントに記載しています。

④ ユーザ設定　(add_user_account.sh)
(1)
add_user_account.shで作成されるユーザは，adminと同じ権限を持つのでしょうか？
DNSViewerを表示のみの権限を持たせたユーザを作成したいと考えていますが，
それは可能でしょうか？

現在のDNS viewerのWebUIで利用できる機能にはユーザ種別情報を利用して利用可能な機能を制限するような機能は実装されていません。
作成されるユーザはすべて同じ強さの権限で、DNS viewer上のすべての機能を利用することができます。

現時点ではDNS viewerにユーザ種別情報を利用した利用制限機能が実装される予定はありません。

また，IPv6アドレス(xx:xx:xx::/48)を2つめとして設定しようとしたのですが，
(Wrong settings: your setting [xx.xx.xx.xx/20 xx:xx::xx::/48]) <<<<<<<<<<
とエラーになりました。
IPv6はどのように設定すればよいのでしょうか？

このエラー表示は、現在のDNS viewerのバージョンにおけるバグです。
cachedns設定のcidr設定は、設定としてはIPv4もIPv6も設定し利用いただくことができます。
しかし、「Configuration of momentum DNS viewer 」機能にて設定の妥当性を確認する部分で、このcachedns設定のcidr設定内容にIPv6が含まれる場合に、この確認機能が正しく動作しない状態です。
今後のバージョンにてこの確認機能についての修正を実施しますので、それまでは、この設定部分にIPv6が含まれる場合には、正しい判定とならないとお考え下さい。

DNS viewer ver4.04.01にて、このバグを解消しました。
こちらのバージョンを利用ください。

momentum DNS viewer ver4.04.01 リリース : https://tapas.twx-threatintel.com/news/294

ご回答ありがとうございました。
その後、トラフィックが取れていることが確認できましたが、いろいろと操作
することでまたいくつか不明点が出てきました。
お手数をおかけしますが、以下のご質問についてご教示ください。

[ご質問]
①　DNS Viewerの設定
(1) 全体用設定 > cachedns:
DNSサーバが複数（3つ)のセグメントに分散しているため、 /20で集約して登録しましたが、
この設定は適切でしょうか？

(2) 全体用設定 > dnsresponse:
ここのResponse Timeの対象となる送信元はDNS Viewerでしょうか？

(3) 統計情報定期取得調整用設定 > retrieve_interval: > interval
How to use it(DNS viewer-4.04.01)では、初期値 1 となっていますが、
DNSviewer-4.04.00-20210329.tgzをインストールしたものでは、初期値が 0 となっていました。
こちらを30に変更したのですが、何か設定を反映させるようなコマンド等はあるのでしょうか？
(設定を変更したことで何が変わったのかがGUI上でわかりませんでした）

(4) 統計情報定期取得調整用設定 > retrieve_interval: > interval
How to use it(DNS viewer-4.04.01)では、初期値 1 となっていますが、
inervalの設定値の説明には、 1 が含まれていません。
1(秒)でも良いのでしょうか？
また、あまり設定値が小さい場合、momentumもしくはDNS Viewerに負荷がかかるかと思いますが、
それは考慮するほどでもないのでしょうか？

② DNS Viewerの操作
(1)
左ペインの[interface Traffic]などをクリックした際、グラフ上に何も表示されないのが
デフォルトの状態でしょうか？
なお、[Given IP]から指定のIPを入れるとグラフ表示されます。

(2)
左ペインの[interface Traffic]などをクリックした際に表示されるグラフの横軸の時間幅
を、１週間や特定の時間帯などに指定することは可能でしょうか？

(3)
[Given IP]から指定のIPを入れるとグラフ表示されますが、複数のDNSサーバを指定して、
同じ画面内でグラフ表示させることはできないでしょうか？

(4)
[pcap Download]をクリック後に表示された画面で、[Download]ボタンが[Too large]となっている
ものがありました。
この[Too large]はどういった意味でしょうか？

(5)
pcapファイルが一時的にDNS Viewerに保存されますが、保存先のディレクトリはどこでしょうか？

以上です。よろしくお願いいたします。

①　DNS Viewerの設定
(1) 全体用設定 > cachedns:
DNSサーバが複数（3つ)のセグメントに分散しているため、 /20で集約して登録しましたが、
この設定は適切でしょうか？

どのような構成で利用されていてどのように指定されたのかによりますが、考え方は正しいと思えます。

(2) 全体用設定 > dnsresponse:
ここのResponse Timeの対象となる送信元はDNS Viewerでしょうか？

はい。
送信元はDNS viewerです。

(3) 統計情報定期取得調整用設定 > retrieve_interval: > interval
How to use it(DNS viewer-4.04.01)では、初期値 1 となっていますが、
DNSviewer-4.04.00-20210329.tgzをインストールしたものでは、初期値が 0 となっていました。
こちらを30に変更したのですが、何か設定を反映させるようなコマンド等はあるのでしょうか？
(設定を変更したことで何が変わったのかがGUI上でわかりませんでした）

Wikiの記載が誤っていました。
現時点の正しい初期値は「0」です。
Wikiの記載は修正しました。
指摘ありがとうございます。

設定の反映のために、なんらかのコマンドを実行する必要はありません。
次回以降の実施時に、自動的に動作に反映されます。

GUI上で設定変更の結果が反映されるのは数分後だと考えられます。
これは画面描画が数分経過してから実施されるためです。
設定変更の数分後に、GUIを確認ください。

(4) 統計情報定期取得調整用設定 > retrieve_interval: > interval
How to use it(DNS viewer-4.04.01)では、初期値 1 となっていますが、
inervalの設定値の説明には、 1 が含まれていません。
1(秒)でも良いのでしょうか？
また、あまり設定値が小さい場合、momentumもしくはDNS Viewerに負荷がかかるかと思いますが、
それは考慮するほどでもないのでしょうか？

1は設定できません。
仮に「1」と設定した場合、その動作は、この機能を「0」の無効と同じ動作となります。
DNS viewerの標準動作は、1秒毎の統計情報の収集です。

利用環境によってはこの部分の調整が必要になる場合があります。
この調整で変化するのは、momentumの統計情報提供機構の負荷です。
momentumの統計情報提供機構の負荷が大きすぎてDNS viewerの動作に支障が出るような利用環境の場合に、
この機構を利用いただくこととなります。

② DNS Viewerの操作
(1)
左ペインの[interface Traffic]などをクリックした際、グラフ上に何も表示されないのが
デフォルトの状態でしょうか？
なお、[Given IP]から指定のIPを入れるとグラフ表示されます。

正しく設定されている場合、左ペインの[interface Traffic]などをクリックした際、グラフ上に
値が表示されます。
以下の2点を確認ください。

• キャプチャに使用している機器のインターフェース設定とDNS viewerに設定されているインターフェース設定などが適合しているか
  キャプチャ装置とストレージ装置を分割した構成で利用されている場合は、次の3か所の設定が論理的に適合している必要があります。
  • キャプチャ機のなかの/opt/PKT_INDEX/SETTING/INTERFACEの内容
    機種によっては例えばeth1_0,eth2_0となっています
  • ストレージ機で/opt/momentum/mm-pss/show_conf.shを実行した結果出力の中のINTERFACEの内容
    前述の機種と組み合わせて使用する場合、eth1_0,eth2_0と設定されている状態が正しい状態です
  • DNS viewer機のなかの/opt/momentum_client/data/config.yamlのなかのprobe0のnicの内容
    momentum製品のINTERFACE設定から「_0」を削除した文字列を指定します
    この例にあるような環境の場合、DNS viewerでは、eth1,eth2と指定します
• DNS viewer機のなかの/opt/momentum_client/data/config.yamlのなかのprobe0のdelta_timeの内容
  キャプチャ装置とストレージ装置を分割した構成で利用されている場合は、この値を標準の値から4などのもう少し大きな値に変更する
  必要があります
  このように設定しないと、DNS viewerが値を取得しにいったタイミングではまだデータがとりに行った場所に来ていない、
  というような状態となる場合があります
  このことから、キャプチャ装置とストレージ装置を分割した構成で利用される場合のこの設定は、
  4もしくは5と設定されていることを確認してください

(2)
左ペインの[interface Traffic]などをクリックした際に表示されるグラフの横軸の時間幅
を、１週間や特定の時間帯などに指定することは可能でしょうか？

DNS viewerの機能としては1週間などの期間を可視化する機構は実装していません
そのような可視化を実施する場合には、PSGUI-Winなどの利用を検討ください

特定の時間帯を可視化したい場合は、Trendグラフが表示されている状態で、画面下部のDurationの入力欄に
希望する開始日と期間を入力し、set Durationボタンをクリックしてください
指定した時間帯の可視化が可能です

(3)
[Given IP]から指定のIPを入れるとグラフ表示されますが、複数のDNSサーバを指定して、
同じ画面内でグラフ表示させることはできないでしょうか？

Given IPでの可視化は指定されたものの可視化となっています
複数のDNSサーバを指定して描画する機構は実装していません

類似の機能としては、任意のTrendグラフで右クリックし、「Trend TOP DNS Server」を選択することで、
その時間帯に通信があった各DNS serverの通信を可視化する機構は実装されています
この機能は連係動作する機器の負担を考慮し、30分未満の期間が対象の機構となっています

(4)
[pcap Download]をクリック後に表示された画面で、[Download]ボタンが[Too large]となっている
ものがありました。
この[Too large]はどういった意味でしょうか？

ダウンロードされる想定のPCAPファイルのサイズが、文字通り大きすぎるということです
対象期間を短くするなどして利用ください

より長い大きなPCAPのダウンロードが必要な場合は、PSGUI-Win等の別のツールの利用についても検討ください

(5)
pcapファイルが一時的にDNS Viewerに保存されますが、保存先のディレクトリはどこでしょうか？

/opt/momentum_client/www/docs/pcap/
です

この場所は、DNS viewerに含まれる、

* * * * *   /bin/taskset -c 0 /opt/momentum_client/bin/rm-pcap.sh

追加の質問もないようですので、closeします。
必要があれば新しく書き込みをお願いします。