momentum_TAPAS

新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み（loader2_12）の利用がサポートされました。
loader2_12では、5tuple（source IP、destination IP、source port、destination port、protocol）に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

動作イメージ：
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# psclic -a 172.16.180.9 -c I
[ Service Info ( 172.16.180.9 )]
[ fields ]
  0     TEMPLATE_ID
  1     PROTOCOL
  2     IPV4_SRC_ADDR
  3     IPV4_DST_ADDR
  4     L4_SRC_PORT
  5     L4_DST_PORT
  6     ICMP_TYPE
  70    HTTP_URL_NO_QUERY

[ capture interface ]
  eth1_0
  eth2_0

[ earliest data ]
  2017/05/11 21:43:00

[ pcap buffer size ]
  314,572,800 bytes

# 
# psclic -a 172.16.180.9 -c FH -t 20170512132935 -d 8 -s 1 
[start time]    [packets]       [bytes]
2017/05/12 13:29:35     2,662   1,123,440
2017/05/12 13:29:36     2,662   1,249,711
2017/05/12 13:29:37     2,846   1,252,100
2017/05/12 13:29:38     2,294   1,250,839
2017/05/12 13:29:39     2,377   1,250,017
2017/05/12 13:29:40     1,992   1,251,033
2017/05/12 13:29:41     2,857   1,251,267
2017/05/12 13:29:42     2,894   1,250,409
--------------------------------------------
 [ total ] : 20,584 packets : 9,878,816 bytes
# 
# psclic -a 172.16.180.9 -c F -t 20170512132935 -d 8 -s 1 -n '70=*terilogy*' -f 70
[HTTP_URL_NO_QUERY]     [packets]       [bytes]
cloudtriage.terilogy.com:/files/6714/2673/0492/line_dot01.gif   1       583
cloudtriage.terilogy.com:/packages/innova_template_practice/themes/innova_template_practice/fonts/fontawesome-webfont.woff2     1       698
cloudtriage.terilogy.com:/packages/innova_mail_delivery/blocks/innova_form/js/innova_form.js    1       569
cloudtriage.terilogy.com:/packages/innova_analytics_log/js/analyticsUserAgent.js        1       787
・
　中略
・
cloudtriage.terilogy.com:/files/9914/4618/4519/top_002.gif      1       525
--------------------------------------------
 [ total ] : 43 packets : 24,638 bytes
# 
# psclic -a 172.16.180.9 -c FH -t 20170512132935 -d 8 -s 1 -n '70=*terilogy*' 
[start time]    [packets]       [bytes]
2017/05/12 13:29:35     0       0
2017/05/12 13:29:36     1       141
2017/05/12 13:29:37     0       0
2017/05/12 13:29:38     37      20,243
2017/05/12 13:29:39     3       2,155
2017/05/12 13:29:40     1       1,063
2017/05/12 13:29:41     1       1,036
2017/05/12 13:29:42     0       0
--------------------------------------------
 [ total ] : 43 packets : 24,638 bytes
# 
# psclic -a 172.16.180.9 -c P -t 20170512132935 -d 8 -s 1
 -n '70=*terilogy*' -p output1.pcap
    The file exists. : [ /root/pcap/output1.pcap ]
  overwrite?[y/N]: y
  overwrite...
[ -a 172.16.180.9 -c P -t 20170512132935 -d 8 -s 1 -n '70=*terilogy*' -p /root/pcap/output1.pcap ]
#1 : writing 2017/05/12 13:29:35 (1 sec) - 0 bytes
#2 : writing 2017/05/12 13:29:36 (1 sec) - 157 bytes
#3 : writing 2017/05/12 13:29:37 (1 sec) - 0 bytes
#4 : writing 2017/05/12 13:29:38 (1 sec) - 20,835 bytes
#5 : writing 2017/05/12 13:29:39 (1 sec) - 2,203 bytes
#6 : writing 2017/05/12 13:29:40 (1 sec) - 1,079 bytes
#7 : writing 2017/05/12 13:29:41 (1 sec) - 1,052 bytes
#8 : writing 2017/05/12 13:29:42 (1 sec) - 0 bytes
    /root/pcap/output1.pcap : 25,350 bytes
# 

利用環境：

開発は、CentOS6 x86_64で行っています。
CentOS7 x86_64、ubuntu 16.04 x86_64、CentOS6 x86_64、などの環境で利用することができます。

ドキュメント：

インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ツールの使い方については、 wiki - psclic_both_directions操作方法 を参照ください。

設定：

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 設定 を参照ください。
バージョンアップして使用される場合、 wiki - PSCLI-Cのバージョンアップ を参照ください。

upgrade時の設定引継ぎに関する情報は、次のとおりです。

ダウンロード：
pscli-c-1.10.00-20170512.tgz

同梱されているPSCLI-Rubyにおいて、新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み（loader2_12）の利用がサポートされました。
loader2_12では、5tuple（source IP、destination IP、source port、destination port、protocol）に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

DNS viewerの一部として使うことにおいてはなんら変更はありませんが、DNS viewerに同梱のPSCLI-Rubyを使ってloader2_12の動作するPSSを利用することができるようになりました。

動作イメージ：
DNS viewerに同梱のPSCLI-Rubyを使って、loader2_12の動作するPSSを利用する動作イメージです。
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c I
フィールドタイプID:
   0.TEMPLATE_ID
   1.PROTOCOL
   2.IPV4_SRC_ADDR
   3.IPV4_DST_ADDR
   4.L4_SRC_PORT
   5.L4_DST_PORT
   6.ICMP_TYPE
   70.HTTP_URL_NO_QUERY
入力インターフェース:
   1.eth1_0
   2.eth2_0
開始時間:2017/05/10 13:52:00
PCAPバッファサイズ:314572800byte
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,2367,971120
2017/05/10 10:06:28,2496,1251546
2017/05/10 10:06:29,3020,1250407
2017/05/10 10:06:30,2311,1251129
2017/05/10 10:06:31,2350,1249824
2017/05/10 10:06:32,2067,1250594
2017/05/10 10:06:33,2806,1250660
2017/05/10 10:06:34,2699,1250529
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -f '70'
HTTP_URL_NO_QUERY,パケット数,パケットサイズ
cloudtriage.terilogy.com:/packages/innova_analytics_log/js/log.js,1,542
cloudtriage.terilogy.com:/index.php/tools/packages/innova_analytics_log/post.php,2,2099
cloudtriage.terilogy.com:/files/4614/4887/3222/header_top.jpg,1,528
cloudtriage.terilogy.com:/packages/innova_template_practice/themes/innova_template_practice/css/bootstrap.css,1,566
cloudtriage.terilogy.com:/packages/innova_blog/js/jquery.leanModal.min.js,2,1065
cloudtriage.terilogy.com:/files/9914/4618/4519/top_002.gif,1,525
・
　中略
・
cloudtriage.terilogy.com:/packages/innova_blog/css/modal.css,2,1069

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' 
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,0,0
2017/05/10 10:06:28,0,0
2017/05/10 10:06:29,1,141
2017/05/10 10:06:30,37,20243
2017/05/10 10:06:31,2,1368
2017/05/10 10:06:32,2,1850
2017/05/10 10:06:33,1,1036
2017/05/10 10:06:34,0,0
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c P -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -p /root/tmp/output-1.pcap
2017/05/10 10:06:27 >>> 0 byte
2017/05/10 10:06:28 >>> 0 byte
2017/05/10 10:06:29 >>> 157 byte
2017/05/10 10:06:30 >>> 20,835 byte
2017/05/10 10:06:31 >>> 1,400 byte
2017/05/10 10:06:32 >>> 1,882 byte
2017/05/10 10:06:33 >>> 1,052 byte
2017/05/10 10:06:34 >>> 0 byte
              TOTAL >>> 25,350 byte
# 

本機能により、さまざまな観点での詳細調査を実現します。

設定：
この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.05.00-20170511.tgz

新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み（loader2_12）の利用がサポートされました。
loader2_12では、5tuple（source IP、destination IP、source port、destination port、protocol）に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

動作イメージ：
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

[ -a 172.16.180.9 -c F -t 20170510100627 -d 8 -s 1 ]
date time,packet count,packet size
2017/05/10 10:06:27,2367,971120
2017/05/10 10:06:28,2496,1251546
2017/05/10 10:06:29,3020,1250407
2017/05/10 10:06:30,2311,1251129
2017/05/10 10:06:31,2350,1249824
2017/05/10 10:06:32,2067,1250594
2017/05/10 10:06:33,2806,1250660
2017/05/10 10:06:34,2699,1250529
---

[ -a 172.16.180.9 -c F -t 20170510100627 -d 8 -n '70=*terilogy*' -f '70' ]
date time,packet count,packet size
2017/05/10 10:06:27,43,24638

HTTP_URL_NO_QUERY,packet count,packet size
cloudtriage.terilogy.com:/,1,450
cloudtriage.terilogy.com:/concrete/js/ccm.base.js,1,526
cloudtriage.terilogy.com:/files/1814/4366/2084/img_rca_top10.gif,1,531
cloudtriage.terilogy.com:/files/2014/4591/4116/CloudTriageLogo01_BK_w100.png,1,543
cloudtriage.terilogy.com:/files/3114/4366/2090/img_rca_top11.gif,1,531
cloudtriage.terilogy.com:/files/3314/4616/9468/top_education.jpg,1,531
・
　中略
・
www.terilogy.co.jp:/english/index.html,1,141
---

[ -a 172.16.180.9 -c F -t 20170510100627 -d 8 -n '70=*terilogy*' -s 1 ]
date time,packet count,packet size
2017/05/10 10:06:27,0,0
2017/05/10 10:06:28,0,0
2017/05/10 10:06:29,1,141
2017/05/10 10:06:30,37,20243
2017/05/10 10:06:31,2,1368
2017/05/10 10:06:32,2,1850
2017/05/10 10:06:33,1,1036
2017/05/10 10:06:34,0,0
---

[ -a 172.16.180.9 -c P -t 20170510100627 -d 8 -n '70=*terilogy*' -s 1 -p C:/Users/komoriya/Desktop/output-1.pcap ]
  overwrite...
 filename : C:/Users/komoriya/Desktop/output-1.pcap
  date time           : size
  2017/05/10 10:06:27 : 33 bytes
  2017/05/10 10:06:28 : 33 bytes
  2017/05/10 10:06:29 : 190 bytes
  2017/05/10 10:06:30 : 20,868 bytes
  2017/05/10 10:06:31 : 1,433 bytes
  2017/05/10 10:06:32 : 1,915 bytes
  2017/05/10 10:06:33 : 1,085 bytes
  2017/05/10 10:06:34 : 33 bytes
  reordering packet...
 pcap file(s):
  C:/Users/komoriya/Desktop/output-1.pcap : 25,350 bytes
---

設定：
設定については、 wiki - 設定 を参照してください。

バージョンアップ：
ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.18.00-amd64-20170510.msi
PSGUI-Win-3.18.00-amd64-20170510.zip

Tips for PASTEに、セキュリティデバイスとの連係に関する情報が追加されました。

Tips for PASTE

• Tips1. Palo Alto Networks PAシリーズとの連係（次世代ファイアウォール）
• Tips2. TippingPoint-IPS（TippingPoint-SMS）との連係（侵入防御システム）
• Tips3. Lastlineとの連係（標的型攻撃対策製品）
• Tips4. FortiGateとの連係（次世代ファイアウォール）
• Tips5. FortiWebとの連係（Webアプリケーションファイアウォール）
• Tips6. Trend Micro Deep Discovery Inspectorとの連係（標的型サイバー攻撃対策）
• Tips7. radware DefenseProとの連係（DoS/DDoS攻撃対策）

ダブルクォートされた内容が含まれるCSVやSSVのlogがサポートされました。

これまでのリリースではダブルクォートされた範囲内に区切り文字そのものが含まれている場合に意図した動きができませんでしたが、本リリースからこのようなケースにも対応できるようになりました。
これにより、radware DefenseProなどのようにlogにダブルクォートされた内容を含むセキュリティデバイスとの連係が可能になりました。

設定：

本リリースの変更に際し、設定に利用できる書式が追加されています。
従来から設定に利用できていた書式は引き続き利用することができますので、従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.04.00-20170508.tgz

Tips for PASTEに、セキュリティデバイスとの連係に関する情報が追加されました。

Tips for PASTE

• Tips1. Palo Alto Networks PAシリーズとの連係（次世代ファイアウォール）
• Tips2. TippingPoint-IPS（TippingPoint-SMS）との連係（侵入防御システム）
• Tips3. Lastlineとの連係（標的型攻撃対策製品）
• Tips4. FortiGateとの連係（次世代ファイアウォール）
• Tips5. FortiWebとの連係（Webアプリケーションファイアウォール）
• Tips6. Trend Micro Deep Discovery Inspectorとの連係（標的型サイバー攻撃対策）

日時指定の書式が拡張されました。

CEFにおける日時指定は、一般的にはrt, start/endなどが利用されます。
そしてこれらの値は、日付を示す情報と時刻を示す情報の両方が含まれる形式となっています。
一方、一部の機器（Fortinet社製品など）においてlogの出力形式をCEFに設定している場合に、日付部分と時刻部分が別々のkey-valueとして出力される場合があります。
この形式のlogに対応することができるように、PASTEの日時指定の書式が拡張されました。

本リリースから、これまでの設定方法に加え、以下のような設定方法が実施できるようになりました。

設定例：
FortiGateの設定例
paramsの「time」設定に「date,time」のように指定すると、logのなかから取得したdateの値とtimeの値をスペースで区切ってつなげるように動作します。

この機能により、logのなかで「date=2017-04-07 time=16:44:42」と表現されている場合、PASTE内部ではこれを「time=2017-04-07 16:44:42」と解釈します。

設定：

本リリースの変更に際し、設定に利用できる書式が追加されています。
従来から設定に利用できていた書式は引き続き利用することができますので、従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.03.00-20170418.tgz

情報収集コマンド(show tech support)が実装されました

情報収集するためのコマンドが追加されました。
PASTEの使用方法はこれまでと変わりません。

実行例：
設定や動作状態などを一度に収集することができます。

# /opt/momentum_client/bin/show_tech_support.sh 

[ show tech support information for PASTE ]
  filename          : /root/paste_show_tech_support-20170413144525.tgz
  file size (bytes) : 28,151

#

設定：

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 機器設定 を参照ください。
バージョンアップして使用される場合、 wiki - バージョンアップについて を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-4.02.00-20170413.tgz

検索時間の確認機構が拡張されました

これまでは数値確認を実施していたのですが、月毎の日付の妥当性やうるう年を考慮した確認が実施できるように拡張されました。

利用環境：

開発は、CentOS6 x86_64で行っています。
CentOS7 x86_64、ubuntu 16.04 x86_64、CentOS6 x86_64、などの環境で利用することができます。

ドキュメント：

インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ツールの使い方については、 wiki - psclic_both_directions操作方法 を参照ください。

設定：

本リリースの変更に際し、設定書式は変更されていません。従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 設定 を参照ください。
バージョンアップして使用される場合、 wiki - PSCLI-Cのバージョンアップ を参照ください。

upgrade時の設定引継ぎに関する情報は、次のとおりです。

ダウンロード：
pscli-c-1.09.00-20170410.tgz

Given IP機能から、その特定IPの関連する解析を行う機能が拡張されました。

現在Given IP機能から使用できる機能は次のものです。

1. 特定IPがDNSクライアントの場合の解析機能
   1. 特定のIPに関するRequest - TOP10 Names機能
   2. 特定のIPに関するRequest - TOP10 Destinations機能（ver2.04.00で追加）
   3. 特定のIPに関するResponse - RCODE機能
2. 特定IPがDNSサーバの場合の解析機能
   1. 特定のIPに関するResponse - TOP10 Destinations機能（ver2.04.00で追加）

これまでのGiven IP機能からさらに詳細に掘り下げた調査を実施できるようになりました。

画面イメージ：
Request - TOP10 Destinations from Given-IP画面
Given IP機能のDetail viewグラフのサブメニューから、対象データに関するRequest - TOP10 Destinations画面を利用できます。
この機能は、特定IPがDNSクライアントの場合に、どのIPに問い合わせを行っているかを可視化します。
画面例は、「10.2.140.58」に関するRequest - TOP10 Destinationsを表示した状態の画面例です。

Response - TOP10 Destinations from Given-IP画面
Given IP機能のDetail viewグラフのサブメニューから、対象データに関するResponse - TOP10 Destinations画面を利用できます。
この機能は、特定IPがDNSサーバの場合に、どのIPに回答を行っているかを可視化します。
画面例は、「10.2.1.1」に関するResponse - TOP10 Destinationsを表示した状態の画面例です。

また、これらの機能から関連するpcapデータをいくつもの絞り込み方式で取り出すことができます。
例としては次のような取り出しができます。

1. 対象の時間帯のすべてのpacketを含むpcapのダウンロード
2. 対象の時間帯のすべてのDNSのpacketを含むpcapのダウンロード
3. 対象の時間帯の対象のIPに関するすべてのpacketを含むpcapのダウンロード

本機能により、さまざまな観点での詳細調査を実現します。

この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.04.00-20170406.tgz