Apps

全般

プロフィール

ニュース

02_PASTE: PASTE (syslog_integration) ver4.07.01 リリース

komoriya約7年前に追加

バグフィックスを含むメンテナンスリリースです

次の点が変更されました。

  1. PASTE動作確認用syslog message送信ツールの設定ファイルの引継ぎ処理の修正

ver4.07.00以前においてバージョンアップインストールを実施する際に、PASTE動作確認用syslog message送信ツールの設定ファイルの引継ぎが実施されない問題が修正されました。

機能拡張に相当する内容は本リリースには含まれていません。

設定:

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素 引継ぎ可能バージョン upgrade時の注意点
pcap情報 1.1.0以降 pcap情報は本アプリケーションで最も重要なものですので、基本的にバージョンアップ後も継続使用することができます
構造変更の必要があり継続的に使用できない場合は、バージョンアップの案内の際に詳細を記載します
設定ファイル(全体用) 4.00.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル(PGQ用) 4.00.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル(send_testlog用) 4.06.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(ユーザ情報用) 1.1.0以降 データベースの構造に変更があった場合は、upgrade時に初期化されます
ユーザの再登録を実施してください
データベース(DISK使用状況用) 1.4.0以降 データベースの構造に変更があった場合は、upgrade時に初期化されます

ダウンロード:
syslog_integration-4.07.01-20170906.tgz

02_PASTE: PASTE (syslog_integration) ver4.07.00 リリース

komoriya約7年前に追加

情報収集コマンド(show tech support)にて収集される情報が拡張されました。

情報収集するためのコマンドの収集する情報が追加されました。
PASTEの使用方法はこれまでと変わりません。

実行例:
設定や動作状態などを一度に収集することができます。

# /opt/momentum_client/bin/show_tech_support.sh 

[ show tech support information for PASTE ]
  filename          : /root/paste_show_tech_support-20170905162412.tgz
  file size (bytes) : 28,151

#

設定:

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素 引継ぎ可能バージョン upgrade時の注意点
pcap情報 1.1.0以降 pcap情報は本アプリケーションで最も重要なものですので、基本的にバージョンアップ後も継続使用することができます
構造変更の必要があり継続的に使用できない場合は、バージョンアップの案内の際に詳細を記載します
設定ファイル(全体用) 4.00.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル(PGQ用) 4.00.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル(send_testlog用) 4.06.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(ユーザ情報用) 1.1.0以降 データベースの構造に変更があった場合は、upgrade時に初期化されます
ユーザの再登録を実施してください
データベース(DISK使用状況用) 1.4.0以降 データベースの構造に変更があった場合は、upgrade時に初期化されます

ダウンロード:
syslog_integration-4.07.00-20170905.tgz

01_PSCLI-Ruby: PSCLI-Ruby ver2.4.0 リリース

komoriya約7年前に追加

PSCLI-Rubyを任意のディレクトリから実行できるようになりました。

従来はPSCLI-Rubyが保存されている場所をカレントディレクトリとしてPSCLI-Rubyを実行する必要がありましたが、その必要がなくなりました。
PSCLI-Rubyを任意のディレクトリから実行できます。

動作イメージ:
PSCLI-Rubyを使ってpcapを取り出す際に、pcapを保存する場所から直接取り出しを行うことができます。
本機能により、これまでよりも直感的に調査を進めることができます。

C:\Users\User1\Desktop>mkdir research20170904   ← 作業ディレクトリを作る

C:\Users\User1\Desktop>cd research20170904

C:\Users\User1\Desktop\research20170904>dir
 ドライブ C のボリューム ラベルは Windows7_OS です
 ボリューム シリアル番号は A426-254B です

 C:\Users\User1\Desktop\research20170904 のディレクトリ

2017/09/04  14:49    <DIR>          .
2017/09/04  14:49    <DIR>          ..
               0 個のファイル                   0 バイト
               2 個のディレクトリ  293,371,928,576 バイトの空き領域

C:\Users\User1\Desktop\research20170904>ruby c:\tools\pscli\pscli.rb -c FH -t 20170904130000 -d 2 -s 1   ← 調査を行う
開始時間,パケット数,パケットサイズ
2017/09/04 13:00:00,1346,854042
2017/09/04 13:00:01,967,560365

C:\Users\User1\Desktop\research20170904>ruby c:\tools\pscli\pscli.rb -c P -t 20170904130000 -d 2 -s 1 -p output1.pcap   ← 詳細解析したい範囲のpcapを取り出す
2017/09/04 13:00:00 >>> 875,578 byte
2017/09/04 13:00:01 >>> 575,837 byte
              TOTAL >>> 1,451,439 byte

C:\Users\User1\Desktop\research20170904>dir
 ドライブ C のボリューム ラベルは Windows7_OS です
 ボリューム シリアル番号は A426-254B です

 C:\Users\User1\Desktop\research20170904 のディレクトリ

2017/09/04  14:50    <DIR>          .
2017/09/04  14:50    <DIR>          ..
2017/09/04  14:50         1,451,439 output1.pcap   ← 取り出したpcap
               1 個のファイル           1,451,439 バイト
               2 個のディレクトリ  293,369,782,272 バイトの空き領域

C:\Users\User1\Desktop\research20170904>

設定:

設定は、 wiki - PSCLI設定ファイル を参照ください。

ダウンロード:

pscli-ruby-2.4.0-20170904.tgz

01_PSCLI-Ruby: PSCLI-Ruby ver2.3.1 リリース

komoriya7年以上前に追加

PSCLI-Rubyにおいて、新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み(loader2_12)の利用がサポートされました。
loader2_12では、5tuple(source IP、destination IP、source port、destination port、protocol)に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

動作イメージ:
PSCLI-Rubyを使って、loader2_12の動作するPSSを利用して個別調査する動作イメージです。
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# ruby ./pscli.rb -c I
フィールドタイプID:
   0.TEMPLATE_ID
   1.PROTOCOL
   2.IPV4_SRC_ADDR
   3.IPV4_DST_ADDR
   4.L4_SRC_PORT
   5.L4_DST_PORT
   6.ICMP_TYPE
   70.HTTP_NO_QUERY
入力インターフェース:
   1.eth0_0
開始時間:2017/08/21 09:08:00
PCAPバッファサイズ:314572800byte
# 
# ruby ./pscli.rb -c FH -t 20170824134300 -d 10 -s 1 
開始時間,パケット数,パケットサイズ
2017/08/24 13:43:00,1047,616759
2017/08/24 13:43:01,395,165415
2017/08/24 13:43:02,877,555116
2017/08/24 13:43:03,858,506251
2017/08/24 13:43:04,1335,675379
2017/08/24 13:43:05,1144,526594
2017/08/24 13:43:06,1021,462830
2017/08/24 13:43:07,2046,1168658
2017/08/24 13:43:08,1020,471040
2017/08/24 13:43:09,411,136813
[root@dev-dnsv pscli-ruby]# ruby ./pscli.rb -c FH -t 20170824134300 -d 10 -s 1 -n '70=*terilogy*' -f '70' | grep -e html
www.terilogy.com:/momentum/lineup/probe_type-r.html,1,624
www.terilogy.com:/momentum/index.html,1,619
www.terilogy.com:/momentum/jichitai/index.html,1,633
# 
# ruby ./pscli.rb -c FH -t 20170824134300 -d 10 -s 1 -n '70=*terilogy*' 
開始時間,パケット数,パケットサイズ
2017/08/24 13:43:00,16,8793
2017/08/24 13:43:01,0,0
2017/08/24 13:43:02,0,0
2017/08/24 13:43:03,0,0
2017/08/24 13:43:04,9,5194
2017/08/24 13:43:05,0,0
2017/08/24 13:43:06,0,0
2017/08/24 13:43:07,18,10031
2017/08/24 13:43:08,0,0
2017/08/24 13:43:09,0,0
# 
# ruby ./pscli.rb -c P -t 20170824134300 -d 10 -s 1 -n '70=*terilogy*' -p /root/tmp/output-1.pcap
2017/08/24 13:43:00 >>> 9,049 byte
2017/08/24 13:43:01 >>> 0 byte
2017/08/24 13:43:02 >>> 0 byte
2017/08/24 13:43:03 >>> 0 byte
2017/08/24 13:43:04 >>> 5,338 byte
2017/08/24 13:43:05 >>> 0 byte
2017/08/24 13:43:06 >>> 0 byte
2017/08/24 13:43:07 >>> 10,319 byte
2017/08/24 13:43:08 >>> 0 byte
2017/08/24 13:43:09 >>> 0 byte
              TOTAL >>> 24,730 byte
# 
# ls -al /root/tmp/output-1.pcap
-rw-r--r--. 1 root root 24730 Aug 24 14:00 /root/tmp/output-1.pcap
# 
# capinfos /root/tmp/output-1.pcap
File name:           /root/tmp/output-1.pcap
File type:           Wireshark/tcpdump/... - pcap
File encapsulation:  Ethernet
Packet size limit:   file hdr: 65536 bytes
Number of packets:   43 
File size:           24 kB
Data size:           24 kB
Capture duration:    8 seconds
Start time:          Thu Aug 24 13:43:00 2017
End time:            Thu Aug 24 13:43:07 2017
Data byte rate:      3,082 bytes/s
Data bit rate:       24 kbps
Average packet size: 558.56 bytes
Average packet rate: 5 packets/sec
SHA1:                c00ebb04a01771b426c876aa96413c97b55b3814
RIPEMD160:           743da5b80fb5639e88d715a6df1e3afc67b17a9a
MD5:                 cabc7c1342351649bc770ebdc71d1707
Strict time order:   False
# 

本機能により、さまざまな観点での詳細調査を実現します。

設定:

設定は、 wiki - PSCLI設定ファイル を参照ください。

ダウンロード:

pscli-ruby-2.3.1-20170824.tgz

04_ PSGUI-Win: PSGUI-Win ver3.20.00 リリース

komoriya7年以上前に追加

実行環境のpythonが3.6.2に更新されました。

利用方法はこれまでどおりです。
実行環境が更新されています。

設定:
設定については、 wiki - 4. 設定 を参照してください。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード:
PSGUI-Win-3.20.00-amd64-20170719.msi
PSGUI-Win-3.20.00-amd64-20170719.zip

02_PASTE: PASTE (syslog_integration) ver4.06.00 リリース

komoriya7年以上前に追加

PASTE動作確認用syslog message送信ツールが追加されました。

PASTEの動作確認のためにsyslog messageを送信するツールが追加されました。
実際の連係対象のセキュリティ機器からのsyslog受信を開始する前に、PASTEの設定が意図した状態となっているかを確認することができるようになりました。

現在、次のセキュリティ機器の模擬syslog messageを送信することができます。

# 種別 セキュリティ機器
1 NG Firewall Palo Alto Networks PA series
2 IPS : Intrusion Prevention System TippingPoint-SMS
3 Targeted attacks measure Lastline
4 NG Firewall Fortinet FortiGate
5 WAF : Web Application Firewall Fortinet FortiWeb
6 Targeted attacks measure TrendMicro Deep Discovery Inspector
7 DoS/DDoS measure radware DefensePro

動作イメージ:
PASTEを構築し、連係対象のセキュリティ機器からのsyslogを受信開始する前に、PASTEの設定が完了しているかを確認するために利用するイメージです。
模擬するセキュリティ機器の種類を指定すると、テスト用のsyslog messageを指定した宛先に送信することができます。

# /opt/momentum_client/bin/send_testlog.pl
invalid device_type.
input     []
available [paloalto pa tippingpoint tp lastline ll fortigate fg fortiweb fw trendddi td defensepro dp]

usage: /opt/momentum_client/bin/send_testlog.pl [options]
 [options]
  --device_type    |-d : specify device type of test message
  --syslog_address |-a : specify IP-address of syslog server (127.0.0.1)
  --syslog_facility|-f : specify syslog facility of syslog server (local0)
  --syslog_priority|-p : specify syslog priority of syslog server (crit)
  --syslog_ident   |-i : specify syslog ident of syslog server (send_testlog)
  --show_only      |-s : show message only (do not send message)
 [device_type]
   paloalto    |pa : Palo Alto Networks PA series(NG Firewall)
   tippingpoint|tp : TippingPoint-SMS(IPS : Intrusion Prevention System)
   lastline    |ll : Lastline(Targeted attacks meas.)
   fortigate   |fg : Fortinet FortiGate(NG Firewall)
   fortiweb    |fw : Fortinet FortiWeb(WAF : Web Application Firewall)
   trendddi    |td : TrendMicro Deep Discovery Inspector(Targeted attacks meas.)
   defensepro  |dp : radware DefensePro(DoS/DDoS meas.)

# 
# /opt/momentum_client/bin/send_testlog.pl -a 172.16.181.223 -d paloalto
device type  : Palo Alto Networks PA series(NG Firewall)
message body : 1,2017/07/14 09:07:48,001122344556,THREAT,vulnerability,1,2017/07/14 09:07:48,192.168.1.2,192.168.2.3,0.0.0.0,0.0.0.0,VWire-untrust_to_trust,,,msrpc,vsys1,untrust,trust,ethernet1/1,ethernet1/2,Log Transfer,2017/07/14 09:07:48,924,1,20000,80,0,0,0x0,TCP,reset-both,"",Microsoft Windows RPC Service Denial of Service Vulnerability(30155),0,any,informational,client-to-server,217,0x0,10.0.0.0-10.255.255.255,10.0.0.0-10.255.255.255,0,,0,,,0,,,,,,,
send message : done.
#
# 

このように操作すると、動作確認対象のPASTEが正しく設定されている場合、以下のようなsyslog messageが受信され、それをもとにPCAPを保存する動作が実施されます。

Jul 14 09:07:50 172.16.181.223 send_testlog[17617]: 1,2017/07/14 09:07:48,001122344556,THREAT,vulnerability,1,2017/07/14 09:07:48,192.168.1.2,192.168.2.3,0.0.0.0,0.0.0.0,VWire-untrust_to_trust,,,msrpc,vsys1,untrust,trust,ethernet1/1,ethernet1/2,Log Transfer,2017/07/14 09:07:48,924,1,20000,80,0,0,0x0,TCP,reset-both,"",Microsoft Windows RPC Service Denial of Service Vulnerability(30155),0,any,informational,client-to-server,217,0x0,10.0.0.0-10.255.255.255,10.0.0.0-10.255.255.255,0,,0,,,0,,,,,,,

本機能により、実際の機器と連係する前に、PASTEの動作確認を実施することができるようになります。

設定:

本リリースの変更に際し、これまでの設定内容・設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。
本リリースで追加された機能に関する設定が追加されています。

追加された設定については、 wiki - テストログ送信ツール設定項目(send_testlog用設定) を参照ください。
従来の設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素 引継ぎ可能バージョン upgrade時の注意点
pcap情報 1.1.0以降 pcap情報は本アプリケーションで最も重要なものですので、基本的にバージョンアップ後も継続使用することができます
構造変更の必要があり継続的に使用できない場合は、バージョンアップの案内の際に詳細を記載します
設定ファイル(全体用) 4.00.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル(PGQ用) 4.00.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル(send_testlog用) 4.06.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(ユーザ情報用) 1.1.0以降 データベースの構造に変更があった場合は、upgrade時に初期化されます
ユーザの再登録を実施してください
データベース(DISK使用状況用) 1.4.0以降 データベースの構造に変更があった場合は、upgrade時に初期化されます

ダウンロード:
syslog_integration-4.06.00-20170714.tgz

04_ PSGUI-Win: PSGUI-Win ver3.19.00 リリース

komoriya7年以上前に追加

実行環境のpythonが3.6.1に更新されました。

利用方法はこれまでどおりです。
実行環境が更新されています。

設定:
設定については、 wiki - 設定項目 - logセクション を参照してください。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード:
PSGUI-Win-3.19.00-amd64-20170626.msi
PSGUI-Win-3.19.00-amd64-20170626.zip

06_ Scheduled_Report: Scheduled Report ver1.02.00 リリース

komoriya7年以上前に追加

利用可能な環境が広がりました。

これまで、前提となるProbeのloaderは固定的にhttpのindex(loader2_4)を対象としたものとして実装していました。
これを設定により、条件を満たすものであれば自由に連係対象のProbeのindex(loader)を選択できるようになりました。

Scheduled ReportにおけるProbeのindex選択前提条件:
以下の条件を満たしたものと連係動作することができます。
  1. 5tupleを含むこと
  2. URL情報を含むこと

使い勝手や機能はこれまでと同等です。

設定:
この機能拡張に際し、設定ファイルに拡張が行われました。

設定については、 wiki - 機器設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素 引継ぎ可能バージョン upgrade時の注意点
設定ファイル 1.02.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(通信量用) 1.0.1以降 データベースの構造に変更があった場合は、upgrade時に初期化されます
データベース(daily-report用) 1.0.1以降 データベースの構造に変更があった場合は、upgrade時に初期化されます
データベース(ユーザ情報用) 1.0.1以降 データベースの構造に変更があった場合は、upgrade時に初期化されます
ユーザの再登録を実施してください

ダウンロード:
scheduled_report-1.02.00-20170608.tgz

02_PASTE: PASTE (syslog_integration) ver4.05.00 リリース

komoriya7年以上前に追加

同梱されているPSCLI-Rubyにおいて、新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み(loader2_12)の利用がサポートされました。
loader2_12では、5tuple(source IP、destination IP、source port、destination port、protocol)に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

loader2_12は5tupleを含んだ内容となっていますので、PASTEはこのloader2_12の稼働するProbeとも連係することが可能です。
PASTEの連係動作としては5tupleのみを利用した動作となりますが、そのProbeに対してURLを使った個別調査を実施することが可能となります。
個別調査はPASTEに同梱のPSCLI-Rubyを使うこともできますし、もちろん PSGUI-WinPSCLI-C を使うこともできます。

動作イメージ:
PASTEに同梱のPSCLI-Rubyを使って、loader2_12の動作するPSSを利用して個別調査する動作イメージです。
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c I
フィールドタイプID:
   0.TEMPLATE_ID
   1.PROTOCOL
   2.IPV4_SRC_ADDR
   3.IPV4_DST_ADDR
   4.L4_SRC_PORT
   5.L4_DST_PORT
   6.ICMP_TYPE
   70.HTTP_URL_NO_QUERY
入力インターフェース:
   1.eth1_0
   2.eth2_0
開始時間:2017/05/10 13:52:00
PCAPバッファサイズ:314572800byte
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,2367,971120
2017/05/10 10:06:28,2496,1251546
2017/05/10 10:06:29,3020,1250407
2017/05/10 10:06:30,2311,1251129
2017/05/10 10:06:31,2350,1249824
2017/05/10 10:06:32,2067,1250594
2017/05/10 10:06:33,2806,1250660
2017/05/10 10:06:34,2699,1250529
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -f '70'
HTTP_URL_NO_QUERY,パケット数,パケットサイズ
cloudtriage.terilogy.com:/packages/innova_analytics_log/js/log.js,1,542
cloudtriage.terilogy.com:/index.php/tools/packages/innova_analytics_log/post.php,2,2099
cloudtriage.terilogy.com:/files/4614/4887/3222/header_top.jpg,1,528
cloudtriage.terilogy.com:/packages/innova_template_practice/themes/innova_template_practice/css/bootstrap.css,1,566
cloudtriage.terilogy.com:/packages/innova_blog/js/jquery.leanModal.min.js,2,1065
cloudtriage.terilogy.com:/files/9914/4618/4519/top_002.gif,1,525
・
 中略
・
cloudtriage.terilogy.com:/packages/innova_blog/css/modal.css,2,1069

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' 
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,0,0
2017/05/10 10:06:28,0,0
2017/05/10 10:06:29,1,141
2017/05/10 10:06:30,37,20243
2017/05/10 10:06:31,2,1368
2017/05/10 10:06:32,2,1850
2017/05/10 10:06:33,1,1036
2017/05/10 10:06:34,0,0
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c P -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -p /root/tmp/output-1.pcap
2017/05/10 10:06:27 >>> 0 byte
2017/05/10 10:06:28 >>> 0 byte
2017/05/10 10:06:29 >>> 157 byte
2017/05/10 10:06:30 >>> 20,835 byte
2017/05/10 10:06:31 >>> 1,400 byte
2017/05/10 10:06:32 >>> 1,882 byte
2017/05/10 10:06:33 >>> 1,052 byte
2017/05/10 10:06:34 >>> 0 byte
              TOTAL >>> 25,350 byte
# 

本機能により、さまざまな観点での詳細調査を実現します。

設定:

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素 引継ぎ可能バージョン upgrade時の注意点
pcap情報 1.1.0以降 pcap情報は本アプリケーションで最も重要なものですので、基本的にバージョンアップ後も継続使用することができます
構造変更の必要があり継続的に使用できない場合は、バージョンアップの案内の際に詳細を記載します
設定ファイル(全体用) 4.00.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル(PGQ用) 4.00.00以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(ユーザ情報用) 1.1.0以降 データベースの構造に変更があった場合は、upgrade時に初期化されます
ユーザの再登録を実施してください
データベース(DISK使用状況用) 1.4.0以降 データベースの構造に変更があった場合は、upgrade時に初期化されます

ダウンロード:
syslog_integration-4.05.00-20170526.tgz

06_ Scheduled_Report: Scheduled Report ver1.01.00 リリース

komoriya7年以上前に追加

同梱されているPSCLI-Rubyにおいて、新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み(loader2_12)の利用がサポートされました。
loader2_12では、5tuple(source IP、destination IP、source port、destination port、protocol)に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

Scheduled_Reportの一部として使うことにおいてはなんら変更はありませんが、Scheduled_Reportに同梱のPSCLI-Rubyを使ってloader2_12の動作するPSSを利用することができるようになりました。

動作イメージ:
Scheduled_Reportに同梱のPSCLI-Rubyを使って、loader2_12の動作するPSSを利用する動作イメージです。
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c I
フィールドタイプID:
   0.TEMPLATE_ID
   1.PROTOCOL
   2.IPV4_SRC_ADDR
   3.IPV4_DST_ADDR
   4.L4_SRC_PORT
   5.L4_DST_PORT
   6.ICMP_TYPE
   70.HTTP_URL_NO_QUREY
入力インターフェース:
   1.eth1_0
   2.eth2_0
開始時間:2017/05/17 18:40:00
PCAPバッファサイズ:314572800byte
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170518103732 -d 8 -s 1
開始時間,パケット数,パケットサイズ
2017/05/18 10:37:32,2437,1006197
2017/05/18 10:37:33,2647,1251208
2017/05/18 10:37:34,2947,1250892
2017/05/18 10:37:35,2232,1249838
2017/05/18 10:37:36,2334,1250952
2017/05/18 10:37:37,2089,1249617
2017/05/18 10:37:38,2816,1251837
2017/05/18 10:37:39,2810,1251525
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170518103732 -d 8 -s 1 -n '70=*terilogy*' -f '70'
cloudtriage.terilogy.com:/packages/innova_analytics_log/js/log.js,1,542
cloudtriage.terilogy.com:/index.php/tools/packages/innova_analytics_log/post.php,2,2099
cloudtriage.terilogy.com:/files/4614/4887/3222/header_top.jpg,1,528
cloudtriage.terilogy.com:/packages/innova_template_practice/themes/innova_template_practice/css/bootstrap.css,1,566
cloudtriage.terilogy.com:/packages/innova_blog/js/jquery.leanModal.min.js,2,1065
cloudtriage.terilogy.com:/files/9914/4618/4519/top_002.gif,1,525
・
 中略
・
cloudtriage.terilogy.com:/packages/innova_blog/css/modal.css,2,1069

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170518103732 -d 8 -s 1 -n '70=*terilogy*'
開始時間,パケット数,パケットサイズ
2017/05/18 10:37:32,0,0
2017/05/18 10:37:33,0,0
2017/05/18 10:37:34,1,141
2017/05/18 10:37:35,37,20243
2017/05/18 10:37:36,2,1368
2017/05/18 10:37:37,2,1850
2017/05/18 10:37:38,1,1036
2017/05/18 10:37:39,0,0
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c P -t 20170518103732 -d 8 -s 1 -n '70=*terilogy*' -p /root/tmp/output-1.pcap
2017/05/18 10:37:32 >>> 0 byte
2017/05/18 10:37:33 >>> 0 byte
2017/05/18 10:37:34 >>> 157 byte
2017/05/18 10:37:35 >>> 20,835 byte
2017/05/18 10:37:36 >>> 1,400 byte
2017/05/18 10:37:37 >>> 1,882 byte
2017/05/18 10:37:38 >>> 1,052 byte
2017/05/18 10:37:39 >>> 0 byte
              TOTAL >>> 25,350 byte
# 

本機能により、さまざまな観点での詳細調査を実現します。

設定:
この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 機器設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素 引継ぎ可能バージョン upgrade時の注意点
設定ファイル 1.0.1以降 引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(通信量用) 1.0.1以降 データベースの構造に変更があった場合は、upgrade時に初期化されます
データベース(daily-report用) 1.0.1以降 データベースの構造に変更があった場合は、upgrade時に初期化されます
データベース(ユーザ情報用) 1.0.1以降 データベースの構造に変更があった場合は、upgrade時に初期化されます
ユーザの再登録を実施してください

ダウンロード:
scheduled_report-1.01.00-20170518.tgz

(181-190/325)

他の形式にエクスポート: Atom