momentum_TAPAS

PASTE動作確認用syslog message送信ツールが追加されました。

PASTEの動作確認のためにsyslog messageを送信するツールが追加されました。
実際の連係対象のセキュリティ機器からのsyslog受信を開始する前に、PASTEの設定が意図した状態となっているかを確認することができるようになりました。

現在、次のセキュリティ機器の模擬syslog messageを送信することができます。

#	種別	セキュリティ機器
1	NG Firewall	Palo Alto Networks PA series
2	IPS : Intrusion Prevention System	TippingPoint-SMS
3	Targeted attacks measure	Lastline
4	NG Firewall	Fortinet FortiGate
5	WAF : Web Application Firewall	Fortinet FortiWeb
6	Targeted attacks measure	TrendMicro Deep Discovery Inspector
7	DoS/DDoS measure	radware DefensePro

動作イメージ：
PASTEを構築し、連係対象のセキュリティ機器からのsyslogを受信開始する前に、PASTEの設定が完了しているかを確認するために利用するイメージです。
模擬するセキュリティ機器の種類を指定すると、テスト用のsyslog messageを指定した宛先に送信することができます。

# /opt/momentum_client/bin/send_testlog.pl
invalid device_type.
input     []
available [paloalto pa tippingpoint tp lastline ll fortigate fg fortiweb fw trendddi td defensepro dp]

usage: /opt/momentum_client/bin/send_testlog.pl [options]
 [options]
  --device_type    |-d : specify device type of test message
  --syslog_address |-a : specify IP-address of syslog server (127.0.0.1)
  --syslog_facility|-f : specify syslog facility of syslog server (local0)
  --syslog_priority|-p : specify syslog priority of syslog server (crit)
  --syslog_ident   |-i : specify syslog ident of syslog server (send_testlog)
  --show_only      |-s : show message only (do not send message)
 [device_type]
   paloalto    |pa : Palo Alto Networks PA series(NG Firewall)
   tippingpoint|tp : TippingPoint-SMS(IPS : Intrusion Prevention System)
   lastline    |ll : Lastline(Targeted attacks meas.)
   fortigate   |fg : Fortinet FortiGate(NG Firewall)
   fortiweb    |fw : Fortinet FortiWeb(WAF : Web Application Firewall)
   trendddi    |td : TrendMicro Deep Discovery Inspector(Targeted attacks meas.)
   defensepro  |dp : radware DefensePro(DoS/DDoS meas.)

# 
# /opt/momentum_client/bin/send_testlog.pl -a 172.16.181.223 -d paloalto
device type  : Palo Alto Networks PA series(NG Firewall)
message body : 1,2017/07/14 09:07:48,001122344556,THREAT,vulnerability,1,2017/07/14 09:07:48,192.168.1.2,192.168.2.3,0.0.0.0,0.0.0.0,VWire-untrust_to_trust,,,msrpc,vsys1,untrust,trust,ethernet1/1,ethernet1/2,Log Transfer,2017/07/14 09:07:48,924,1,20000,80,0,0,0x0,TCP,reset-both,"",Microsoft Windows RPC Service Denial of Service Vulnerability(30155),0,any,informational,client-to-server,217,0x0,10.0.0.0-10.255.255.255,10.0.0.0-10.255.255.255,0,,0,,,0,,,,,,,
send message : done.
#
# 

このように操作すると、動作確認対象のPASTEが正しく設定されている場合、以下のようなsyslog messageが受信され、それをもとにPCAPを保存する動作が実施されます。

Jul 14 09:07:50 172.16.181.223 send_testlog[17617]: 1,2017/07/14 09:07:48,001122344556,THREAT,vulnerability,1,2017/07/14 09:07:48,192.168.1.2,192.168.2.3,0.0.0.0,0.0.0.0,VWire-untrust_to_trust,,,msrpc,vsys1,untrust,trust,ethernet1/1,ethernet1/2,Log Transfer,2017/07/14 09:07:48,924,1,20000,80,0,0,0x0,TCP,reset-both,"",Microsoft Windows RPC Service Denial of Service Vulnerability(30155),0,any,informational,client-to-server,217,0x0,10.0.0.0-10.255.255.255,10.0.0.0-10.255.255.255,0,,0,,,0,,,,,,,

本機能により、実際の機器と連係する前に、PASTEの動作確認を実施することができるようになります。

設定：

本リリースの変更に際し、これまでの設定内容・設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。
本リリースで追加された機能に関する設定が追加されています。

追加された設定については、 wiki - テストログ送信ツール設定項目（send_testlog用設定） を参照ください。
従来の設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素	引継ぎ可能バージョン	upgrade時の注意点
pcap情報	1.1.0以降	pcap情報は本アプリケーションで最も重要なものですので、基本的にバージョンアップ後も継続使用することができます 構造変更の必要があり継続的に使用できない場合は、バージョンアップの案内の際に詳細を記載します
設定ファイル（全体用）	4.00.00以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル（PGQ用）	4.00.00以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル（send_testlog用）	4.06.00以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(ユーザ情報用)	1.1.0以降	データベースの構造に変更があった場合は、upgrade時に初期化されます ユーザの再登録を実施してください
データベース(DISK使用状況用)	1.4.0以降	データベースの構造に変更があった場合は、upgrade時に初期化されます

ダウンロード：
syslog_integration-4.06.00-20170714.tgz

実行環境のpythonが3.6.1に更新されました。

利用方法はこれまでどおりです。
実行環境が更新されています。

設定：
設定については、 wiki - 設定項目 - logセクション を参照してください。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.19.00-amd64-20170626.msi
PSGUI-Win-3.19.00-amd64-20170626.zip

利用可能な環境が広がりました。

これまで、前提となるProbeのloaderは固定的にhttpのindex（loader2_4）を対象としたものとして実装していました。
これを設定により、条件を満たすものであれば自由に連係対象のProbeのindex（loader）を選択できるようになりました。

Scheduled ReportにおけるProbeのindex選択前提条件：
以下の条件を満たしたものと連係動作することができます。

1. 5tupleを含むこと
2. URL情報を含むこと

使い勝手や機能はこれまでと同等です。

設定：
この機能拡張に際し、設定ファイルに拡張が行われました。

設定については、 wiki - 機器設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素	引継ぎ可能バージョン	upgrade時の注意点
設定ファイル	1.02.00以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(通信量用)	1.0.1以降	データベースの構造に変更があった場合は、upgrade時に初期化されます
データベース(daily-report用)	1.0.1以降	データベースの構造に変更があった場合は、upgrade時に初期化されます
データベース(ユーザ情報用)	1.0.1以降	データベースの構造に変更があった場合は、upgrade時に初期化されます ユーザの再登録を実施してください

ダウンロード：
scheduled_report-1.02.00-20170608.tgz

同梱されているPSCLI-Rubyにおいて、新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み（loader2_12）の利用がサポートされました。
loader2_12では、5tuple（source IP、destination IP、source port、destination port、protocol）に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

loader2_12は5tupleを含んだ内容となっていますので、PASTEはこのloader2_12の稼働するProbeとも連係することが可能です。
PASTEの連係動作としては5tupleのみを利用した動作となりますが、そのProbeに対してURLを使った個別調査を実施することが可能となります。
個別調査はPASTEに同梱のPSCLI-Rubyを使うこともできますし、もちろん PSGUI-Win や PSCLI-C を使うこともできます。

動作イメージ：
PASTEに同梱のPSCLI-Rubyを使って、loader2_12の動作するPSSを利用して個別調査する動作イメージです。
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c I
フィールドタイプID:
   0.TEMPLATE_ID
   1.PROTOCOL
   2.IPV4_SRC_ADDR
   3.IPV4_DST_ADDR
   4.L4_SRC_PORT
   5.L4_DST_PORT
   6.ICMP_TYPE
   70.HTTP_URL_NO_QUERY
入力インターフェース:
   1.eth1_0
   2.eth2_0
開始時間:2017/05/10 13:52:00
PCAPバッファサイズ:314572800byte
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,2367,971120
2017/05/10 10:06:28,2496,1251546
2017/05/10 10:06:29,3020,1250407
2017/05/10 10:06:30,2311,1251129
2017/05/10 10:06:31,2350,1249824
2017/05/10 10:06:32,2067,1250594
2017/05/10 10:06:33,2806,1250660
2017/05/10 10:06:34,2699,1250529
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -f '70'
HTTP_URL_NO_QUERY,パケット数,パケットサイズ
cloudtriage.terilogy.com:/packages/innova_analytics_log/js/log.js,1,542
cloudtriage.terilogy.com:/index.php/tools/packages/innova_analytics_log/post.php,2,2099
cloudtriage.terilogy.com:/files/4614/4887/3222/header_top.jpg,1,528
cloudtriage.terilogy.com:/packages/innova_template_practice/themes/innova_template_practice/css/bootstrap.css,1,566
cloudtriage.terilogy.com:/packages/innova_blog/js/jquery.leanModal.min.js,2,1065
cloudtriage.terilogy.com:/files/9914/4618/4519/top_002.gif,1,525
・
　中略
・
cloudtriage.terilogy.com:/packages/innova_blog/css/modal.css,2,1069

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' 
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,0,0
2017/05/10 10:06:28,0,0
2017/05/10 10:06:29,1,141
2017/05/10 10:06:30,37,20243
2017/05/10 10:06:31,2,1368
2017/05/10 10:06:32,2,1850
2017/05/10 10:06:33,1,1036
2017/05/10 10:06:34,0,0
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c P -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -p /root/tmp/output-1.pcap
2017/05/10 10:06:27 >>> 0 byte
2017/05/10 10:06:28 >>> 0 byte
2017/05/10 10:06:29 >>> 157 byte
2017/05/10 10:06:30 >>> 20,835 byte
2017/05/10 10:06:31 >>> 1,400 byte
2017/05/10 10:06:32 >>> 1,882 byte
2017/05/10 10:06:33 >>> 1,052 byte
2017/05/10 10:06:34 >>> 0 byte
              TOTAL >>> 25,350 byte
# 

本機能により、さまざまな観点での詳細調査を実現します。

設定：

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素	引継ぎ可能バージョン	upgrade時の注意点
pcap情報	1.1.0以降	pcap情報は本アプリケーションで最も重要なものですので、基本的にバージョンアップ後も継続使用することができます 構造変更の必要があり継続的に使用できない場合は、バージョンアップの案内の際に詳細を記載します
設定ファイル（全体用）	4.00.00以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル（PGQ用）	4.00.00以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(ユーザ情報用)	1.1.0以降	データベースの構造に変更があった場合は、upgrade時に初期化されます ユーザの再登録を実施してください
データベース(DISK使用状況用)	1.4.0以降	データベースの構造に変更があった場合は、upgrade時に初期化されます

ダウンロード：
syslog_integration-4.05.00-20170526.tgz

同梱されているPSCLI-Rubyにおいて、新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み（loader2_12）の利用がサポートされました。
loader2_12では、5tuple（source IP、destination IP、source port、destination port、protocol）に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

Scheduled_Reportの一部として使うことにおいてはなんら変更はありませんが、Scheduled_Reportに同梱のPSCLI-Rubyを使ってloader2_12の動作するPSSを利用することができるようになりました。

動作イメージ：
Scheduled_Reportに同梱のPSCLI-Rubyを使って、loader2_12の動作するPSSを利用する動作イメージです。
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c I
フィールドタイプID:
   0.TEMPLATE_ID
   1.PROTOCOL
   2.IPV4_SRC_ADDR
   3.IPV4_DST_ADDR
   4.L4_SRC_PORT
   5.L4_DST_PORT
   6.ICMP_TYPE
   70.HTTP_URL_NO_QUREY
入力インターフェース:
   1.eth1_0
   2.eth2_0
開始時間:2017/05/17 18:40:00
PCAPバッファサイズ:314572800byte
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170518103732 -d 8 -s 1
開始時間,パケット数,パケットサイズ
2017/05/18 10:37:32,2437,1006197
2017/05/18 10:37:33,2647,1251208
2017/05/18 10:37:34,2947,1250892
2017/05/18 10:37:35,2232,1249838
2017/05/18 10:37:36,2334,1250952
2017/05/18 10:37:37,2089,1249617
2017/05/18 10:37:38,2816,1251837
2017/05/18 10:37:39,2810,1251525
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170518103732 -d 8 -s 1 -n '70=*terilogy*' -f '70'
cloudtriage.terilogy.com:/packages/innova_analytics_log/js/log.js,1,542
cloudtriage.terilogy.com:/index.php/tools/packages/innova_analytics_log/post.php,2,2099
cloudtriage.terilogy.com:/files/4614/4887/3222/header_top.jpg,1,528
cloudtriage.terilogy.com:/packages/innova_template_practice/themes/innova_template_practice/css/bootstrap.css,1,566
cloudtriage.terilogy.com:/packages/innova_blog/js/jquery.leanModal.min.js,2,1065
cloudtriage.terilogy.com:/files/9914/4618/4519/top_002.gif,1,525
・
　中略
・
cloudtriage.terilogy.com:/packages/innova_blog/css/modal.css,2,1069

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170518103732 -d 8 -s 1 -n '70=*terilogy*'
開始時間,パケット数,パケットサイズ
2017/05/18 10:37:32,0,0
2017/05/18 10:37:33,0,0
2017/05/18 10:37:34,1,141
2017/05/18 10:37:35,37,20243
2017/05/18 10:37:36,2,1368
2017/05/18 10:37:37,2,1850
2017/05/18 10:37:38,1,1036
2017/05/18 10:37:39,0,0
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c P -t 20170518103732 -d 8 -s 1 -n '70=*terilogy*' -p /root/tmp/output-1.pcap
2017/05/18 10:37:32 >>> 0 byte
2017/05/18 10:37:33 >>> 0 byte
2017/05/18 10:37:34 >>> 157 byte
2017/05/18 10:37:35 >>> 20,835 byte
2017/05/18 10:37:36 >>> 1,400 byte
2017/05/18 10:37:37 >>> 1,882 byte
2017/05/18 10:37:38 >>> 1,052 byte
2017/05/18 10:37:39 >>> 0 byte
              TOTAL >>> 25,350 byte
# 

本機能により、さまざまな観点での詳細調査を実現します。

設定：
この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 機器設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素	引継ぎ可能バージョン	upgrade時の注意点
設定ファイル	1.0.1以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(通信量用)	1.0.1以降	データベースの構造に変更があった場合は、upgrade時に初期化されます
データベース(daily-report用)	1.0.1以降	データベースの構造に変更があった場合は、upgrade時に初期化されます
データベース(ユーザ情報用)	1.0.1以降	データベースの構造に変更があった場合は、upgrade時に初期化されます ユーザの再登録を実施してください

ダウンロード：
scheduled_report-1.01.00-20170518.tgz

新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み（loader2_12）の利用がサポートされました。
loader2_12では、5tuple（source IP、destination IP、source port、destination port、protocol）に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

動作イメージ：
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# psclic -a 172.16.180.9 -c I
[ Service Info ( 172.16.180.9 )]
[ fields ]
  0     TEMPLATE_ID
  1     PROTOCOL
  2     IPV4_SRC_ADDR
  3     IPV4_DST_ADDR
  4     L4_SRC_PORT
  5     L4_DST_PORT
  6     ICMP_TYPE
  70    HTTP_URL_NO_QUERY

[ capture interface ]
  eth1_0
  eth2_0

[ earliest data ]
  2017/05/11 21:43:00

[ pcap buffer size ]
  314,572,800 bytes

# 
# psclic -a 172.16.180.9 -c FH -t 20170512132935 -d 8 -s 1 
[start time]    [packets]       [bytes]
2017/05/12 13:29:35     2,662   1,123,440
2017/05/12 13:29:36     2,662   1,249,711
2017/05/12 13:29:37     2,846   1,252,100
2017/05/12 13:29:38     2,294   1,250,839
2017/05/12 13:29:39     2,377   1,250,017
2017/05/12 13:29:40     1,992   1,251,033
2017/05/12 13:29:41     2,857   1,251,267
2017/05/12 13:29:42     2,894   1,250,409
--------------------------------------------
 [ total ] : 20,584 packets : 9,878,816 bytes
# 
# psclic -a 172.16.180.9 -c F -t 20170512132935 -d 8 -s 1 -n '70=*terilogy*' -f 70
[HTTP_URL_NO_QUERY]     [packets]       [bytes]
cloudtriage.terilogy.com:/files/6714/2673/0492/line_dot01.gif   1       583
cloudtriage.terilogy.com:/packages/innova_template_practice/themes/innova_template_practice/fonts/fontawesome-webfont.woff2     1       698
cloudtriage.terilogy.com:/packages/innova_mail_delivery/blocks/innova_form/js/innova_form.js    1       569
cloudtriage.terilogy.com:/packages/innova_analytics_log/js/analyticsUserAgent.js        1       787
・
　中略
・
cloudtriage.terilogy.com:/files/9914/4618/4519/top_002.gif      1       525
--------------------------------------------
 [ total ] : 43 packets : 24,638 bytes
# 
# psclic -a 172.16.180.9 -c FH -t 20170512132935 -d 8 -s 1 -n '70=*terilogy*' 
[start time]    [packets]       [bytes]
2017/05/12 13:29:35     0       0
2017/05/12 13:29:36     1       141
2017/05/12 13:29:37     0       0
2017/05/12 13:29:38     37      20,243
2017/05/12 13:29:39     3       2,155
2017/05/12 13:29:40     1       1,063
2017/05/12 13:29:41     1       1,036
2017/05/12 13:29:42     0       0
--------------------------------------------
 [ total ] : 43 packets : 24,638 bytes
# 
# psclic -a 172.16.180.9 -c P -t 20170512132935 -d 8 -s 1
 -n '70=*terilogy*' -p output1.pcap
    The file exists. : [ /root/pcap/output1.pcap ]
  overwrite?[y/N]: y
  overwrite...
[ -a 172.16.180.9 -c P -t 20170512132935 -d 8 -s 1 -n '70=*terilogy*' -p /root/pcap/output1.pcap ]
#1 : writing 2017/05/12 13:29:35 (1 sec) - 0 bytes
#2 : writing 2017/05/12 13:29:36 (1 sec) - 157 bytes
#3 : writing 2017/05/12 13:29:37 (1 sec) - 0 bytes
#4 : writing 2017/05/12 13:29:38 (1 sec) - 20,835 bytes
#5 : writing 2017/05/12 13:29:39 (1 sec) - 2,203 bytes
#6 : writing 2017/05/12 13:29:40 (1 sec) - 1,079 bytes
#7 : writing 2017/05/12 13:29:41 (1 sec) - 1,052 bytes
#8 : writing 2017/05/12 13:29:42 (1 sec) - 0 bytes
    /root/pcap/output1.pcap : 25,350 bytes
# 

利用環境：

開発は、CentOS6 x86_64で行っています。
CentOS7 x86_64、ubuntu 16.04 x86_64、CentOS6 x86_64、などの環境で利用することができます。

ドキュメント：

インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ツールの使い方については、 wiki - psclic_both_directions操作方法 を参照ください。

設定：

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 設定 を参照ください。
バージョンアップして使用される場合、 wiki - PSCLI-Cのバージョンアップ を参照ください。

upgrade時の設定引継ぎに関する情報は、次のとおりです。

引継ぎ可能バージョン	upgrade時の注意点
1.08.00以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります バージョンアップは バージョンアップ手順 にそって実施してください

ダウンロード：
pscli-c-1.10.00-20170512.tgz

同梱されているPSCLI-Rubyにおいて、新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み（loader2_12）の利用がサポートされました。
loader2_12では、5tuple（source IP、destination IP、source port、destination port、protocol）に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

DNS viewerの一部として使うことにおいてはなんら変更はありませんが、DNS viewerに同梱のPSCLI-Rubyを使ってloader2_12の動作するPSSを利用することができるようになりました。

動作イメージ：
DNS viewerに同梱のPSCLI-Rubyを使って、loader2_12の動作するPSSを利用する動作イメージです。
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c I
フィールドタイプID:
   0.TEMPLATE_ID
   1.PROTOCOL
   2.IPV4_SRC_ADDR
   3.IPV4_DST_ADDR
   4.L4_SRC_PORT
   5.L4_DST_PORT
   6.ICMP_TYPE
   70.HTTP_URL_NO_QUERY
入力インターフェース:
   1.eth1_0
   2.eth2_0
開始時間:2017/05/10 13:52:00
PCAPバッファサイズ:314572800byte
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,2367,971120
2017/05/10 10:06:28,2496,1251546
2017/05/10 10:06:29,3020,1250407
2017/05/10 10:06:30,2311,1251129
2017/05/10 10:06:31,2350,1249824
2017/05/10 10:06:32,2067,1250594
2017/05/10 10:06:33,2806,1250660
2017/05/10 10:06:34,2699,1250529
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -f '70'
HTTP_URL_NO_QUERY,パケット数,パケットサイズ
cloudtriage.terilogy.com:/packages/innova_analytics_log/js/log.js,1,542
cloudtriage.terilogy.com:/index.php/tools/packages/innova_analytics_log/post.php,2,2099
cloudtriage.terilogy.com:/files/4614/4887/3222/header_top.jpg,1,528
cloudtriage.terilogy.com:/packages/innova_template_practice/themes/innova_template_practice/css/bootstrap.css,1,566
cloudtriage.terilogy.com:/packages/innova_blog/js/jquery.leanModal.min.js,2,1065
cloudtriage.terilogy.com:/files/9914/4618/4519/top_002.gif,1,525
・
　中略
・
cloudtriage.terilogy.com:/packages/innova_blog/css/modal.css,2,1069

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' 
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,0,0
2017/05/10 10:06:28,0,0
2017/05/10 10:06:29,1,141
2017/05/10 10:06:30,37,20243
2017/05/10 10:06:31,2,1368
2017/05/10 10:06:32,2,1850
2017/05/10 10:06:33,1,1036
2017/05/10 10:06:34,0,0
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c P -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -p /root/tmp/output-1.pcap
2017/05/10 10:06:27 >>> 0 byte
2017/05/10 10:06:28 >>> 0 byte
2017/05/10 10:06:29 >>> 157 byte
2017/05/10 10:06:30 >>> 20,835 byte
2017/05/10 10:06:31 >>> 1,400 byte
2017/05/10 10:06:32 >>> 1,882 byte
2017/05/10 10:06:33 >>> 1,052 byte
2017/05/10 10:06:34 >>> 0 byte
              TOTAL >>> 25,350 byte
# 

本機能により、さまざまな観点での詳細調査を実現します。

設定：
この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素	引継ぎ可能バージョン	upgrade時の注意点
設定ファイル（全体用）	1.18.0以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル（NXDomain通知用）	1.17.0以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(DNS全般用)	1.9.0以降	データベースの構造に変更があった場合は、upgrade時に初期化されます
データベース(DNSレスポンス用)	1.0.0以降	データベースの構造に変更があった場合は、upgrade時に初期化されます
データベース(whitelist情報用)	1.17.0以降	データベースの構造に変更があった場合は、upgrade時に初期化されます 設定の再登録を実施してください
データベース(ユーザ情報用)	1.0.0以降	データベースの構造に変更があった場合は、upgrade時に初期化されます ユーザの再登録を実施してください

ダウンロード：
DNSviewer-2.05.00-20170511.tgz

新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み（loader2_12）の利用がサポートされました。
loader2_12では、5tuple（source IP、destination IP、source port、destination port、protocol）に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

動作イメージ：
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

[ -a 172.16.180.9 -c F -t 20170510100627 -d 8 -s 1 ]
date time,packet count,packet size
2017/05/10 10:06:27,2367,971120
2017/05/10 10:06:28,2496,1251546
2017/05/10 10:06:29,3020,1250407
2017/05/10 10:06:30,2311,1251129
2017/05/10 10:06:31,2350,1249824
2017/05/10 10:06:32,2067,1250594
2017/05/10 10:06:33,2806,1250660
2017/05/10 10:06:34,2699,1250529
---

[ -a 172.16.180.9 -c F -t 20170510100627 -d 8 -n '70=*terilogy*' -f '70' ]
date time,packet count,packet size
2017/05/10 10:06:27,43,24638

HTTP_URL_NO_QUERY,packet count,packet size
cloudtriage.terilogy.com:/,1,450
cloudtriage.terilogy.com:/concrete/js/ccm.base.js,1,526
cloudtriage.terilogy.com:/files/1814/4366/2084/img_rca_top10.gif,1,531
cloudtriage.terilogy.com:/files/2014/4591/4116/CloudTriageLogo01_BK_w100.png,1,543
cloudtriage.terilogy.com:/files/3114/4366/2090/img_rca_top11.gif,1,531
cloudtriage.terilogy.com:/files/3314/4616/9468/top_education.jpg,1,531
・
　中略
・
www.terilogy.co.jp:/english/index.html,1,141
---

[ -a 172.16.180.9 -c F -t 20170510100627 -d 8 -n '70=*terilogy*' -s 1 ]
date time,packet count,packet size
2017/05/10 10:06:27,0,0
2017/05/10 10:06:28,0,0
2017/05/10 10:06:29,1,141
2017/05/10 10:06:30,37,20243
2017/05/10 10:06:31,2,1368
2017/05/10 10:06:32,2,1850
2017/05/10 10:06:33,1,1036
2017/05/10 10:06:34,0,0
---

[ -a 172.16.180.9 -c P -t 20170510100627 -d 8 -n '70=*terilogy*' -s 1 -p C:/Users/komoriya/Desktop/output-1.pcap ]
  overwrite...
 filename : C:/Users/komoriya/Desktop/output-1.pcap
  date time           : size
  2017/05/10 10:06:27 : 33 bytes
  2017/05/10 10:06:28 : 33 bytes
  2017/05/10 10:06:29 : 190 bytes
  2017/05/10 10:06:30 : 20,868 bytes
  2017/05/10 10:06:31 : 1,433 bytes
  2017/05/10 10:06:32 : 1,915 bytes
  2017/05/10 10:06:33 : 1,085 bytes
  2017/05/10 10:06:34 : 33 bytes
  reordering packet...
 pcap file(s):
  C:/Users/komoriya/Desktop/output-1.pcap : 25,350 bytes
---

設定：
設定については、 wiki - 設定 を参照してください。

バージョンアップ：
ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.18.00-amd64-20170510.msi
PSGUI-Win-3.18.00-amd64-20170510.zip

Tips for PASTEに、セキュリティデバイスとの連係に関する情報が追加されました。

Tips for PASTE

• Tips1. Palo Alto Networks PAシリーズとの連係（次世代ファイアウォール）
• Tips2. TippingPoint-IPS（TippingPoint-SMS）との連係（侵入防御システム）
• Tips3. Lastlineとの連係（標的型攻撃対策製品）
• Tips4. FortiGateとの連係（次世代ファイアウォール）
• Tips5. FortiWebとの連係（Webアプリケーションファイアウォール）
• Tips6. Trend Micro Deep Discovery Inspectorとの連係（標的型サイバー攻撃対策）
• Tips7. radware DefenseProとの連係（DoS/DDoS攻撃対策）

ダブルクォートされた内容が含まれるCSVやSSVのlogがサポートされました。

これまでのリリースではダブルクォートされた範囲内に区切り文字そのものが含まれている場合に意図した動きができませんでしたが、本リリースからこのようなケースにも対応できるようになりました。
これにより、radware DefenseProなどのようにlogにダブルクォートされた内容を含むセキュリティデバイスとの連係が可能になりました。

設定：

本リリースの変更に際し、設定に利用できる書式が追加されています。
従来から設定に利用できていた書式は引き続き利用することができますので、従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

要素	引継ぎ可能バージョン	upgrade時の注意点
pcap情報	1.1.0以降	pcap情報は本アプリケーションで最も重要なものですので、基本的にバージョンアップ後も継続使用することができます 構造変更の必要があり継続的に使用できない場合は、バージョンアップの案内の際に詳細を記載します
設定ファイル（全体用）	4.00.00以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
設定ファイル（PGQ用）	4.00.00以降	引継ぎ可能バージョンよりも古いものからのupgradeの場合は、手動で設定内容の移行を実施する必要があります
データベース(ユーザ情報用)	1.1.0以降	データベースの構造に変更があった場合は、upgrade時に初期化されます ユーザの再登録を実施してください
データベース(DISK使用状況用)	1.4.0以降	データベースの構造に変更があった場合は、upgrade時に初期化されます

ダウンロード：
syslog_integration-4.04.00-20170508.tgz