momentum_TAPAS

pcap保存時残りディスク領域確認機能追加

pcap保存時に、残りディスク領域を確認して実行する動作を行う機能が追加されました。

残りディスク領域確認は、step実行される場合、そのstep毎にpcap保存の継続可否を判断します。
pcap保存が中断された場合でも、保存済みの範囲のpcapはそのまま利用することができます。
pcap保存を中断することとなるディスク領域の大きさは、設定することができます。

実行イメージ：
pcapを保存する際に、保存先のファイルシステムの空き容量が指定空き容量よりも少なくなる場合、処理が中断されます。
これは、5秒分のpcap保存を実施しようとしたけれども、3秒分のみをpcap保存した例です。
（4秒目を保存してしまうと、指定空き容量よりも小さくなってしまうので、保存処理を中断した）
/root/pcap/a.pcapは、2016/12/02 09:00:00台～2016/12/02 09:00:02台までの3秒間の正常なpacketが含まれたものとなります。
（説明の都合上、残りディスク領域の設定を11,955 Mbytesに設定しています。）

# psclic -a 172.16.183.93 -c FH -t 20161202090000 -d 5 -s 1
[ -a 172.16.183.93 -c F -t 20161202090000 -d 5 -s 1 ]
[start time]    [packets]       [bytes]
2016/12/02 09:00:00     10,576  3,169,532
2016/12/02 09:00:01     21,432  4,078,297
2016/12/02 09:00:02     30,517  4,871,099
2016/12/02 09:00:03     30,639  4,867,285
2016/12/02 09:00:04     30,573  4,871,414
--------------------------------------------
 [ total ] : 123,737 packets : 21,857,627 bytes
# 
# psclic -a 172.16.183.93 -c P -t 20161202090000 -d 5
 -s 1 -p a.pcap
[ -a 172.16.183.93 -c P -t 20161202090000 -d 5 -s 1 -p /root/pcap/a.pcap ]
#1 : writing 2016/12/02 09:00:00 (1 sec) - 3,338,748 bytes
#2 : writing 2016/12/02 09:00:01 (1 sec) - 4,421,209 bytes
#3 : writing 2016/12/02 09:00:02 (1 sec) - 5,359,371 bytes
Error : low disk space.
      : pcap path            : /root/pcap
      : available disk space : 11,957 Mbytes
      : minimum requirement  : 11,955 Mbytes
    /root/pcap/a.pcap : 13,119,352 bytes
  aborted.
# 

利用環境：
開発は、CentOS6 x86_64で行っています。
CentOS6 x86_64、CentOS7 x86_64、ubuntu 16.04 x86_64、などの環境で利用することができます。

ドキュメント：
インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。

ダウンロード：
pscli-c-1.01.00-20161202.tgz

インストーラーが実装されました。

これまで手作業でのインストールが必要でしたが、インストーラーが実装されました。
これまでよりも簡単に使い始めることができるようになりました。

インストール実行イメージ：

# ./PASTEInstaller.sh
---momentum PASTE Instaler v1.0---

Correcting server information........
・
・（中略）
・
****Installation has completed*****
 Congraturation! Installation of momentum PASTE has completed.
・
・（中略）
・
Now you can access momentum PASTE by following URL:
  http://YOUR_PASTE_IP_ADDR/
# 

設定：

設定については、 wiki - 機器設定 を参照ください。
この機能拡張に際し、設定ファイルに変更は行われていません。
upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
syslog_integration-2.01.00-20161201.tgz

Linux環境で簡単に利用できるmomentum用クライアントソフトウエア

PSCLI-Cは、momentumで提供される統計情報入手とpcapダウンロードの機能を利用できるPacket Search Systemのクライアントソフトウエアです。

同様の機能を担うものとしてPSCLI-Rubyがありますが、それに比較して、導入が容易という特徴をもったものです。
Linux環境で利用することができます。
PSCLI-Cは開発言語にCを使用していて、Linuxで動作するbinaryとして配布されます。
使用する環境に本システムの実行のためにpythonやRubyなどの実行環境を準備する必要はありません。
このため、クライアント機能を利用するまでの準備が簡単になっています。

実行イメージ：
ある時間帯のsource IPとdest IP毎の通信量を確認する場合の実行例：

# psclic -a 172.16.183.93 -c FH -t 20161109130000 -d 1 -s 1 -f '2 3'
[ -a 172.16.183.93 -c F -t 20161109130000 -d 1 -s 1 -f '2 3' ]
[IPV4_SRC_ADDR] [IPV4_DST_ADDR] [packets]       [bytes]
10.73.100.13    10.2.120.112    1       177
10.2.120.112    10.73.100.14    2       163
10.73.100.14    10.2.120.112    1       186
10.2.40.7       10.2.1.1        2       149
10.2.1.1        10.2.40.7       2       510
172.16.183.90   172.16.180.120  1,172   90,758
172.16.180.120  172.16.183.90   1,172   150,084
10.2.200.159    10.73.100.14    3       252
10.73.100.14    10.2.200.159    3       507
--------------------------------------------
 [ total ] : 2,358 packets : 242,786 bytes
# 

利用環境：
開発は、CentOS6 x86_64で行っています。
CentOS6 x86_64、CentOS7 x86_64、ubuntu 16.04 x86_64、などの環境で利用することができます。

ドキュメント：
インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。

ダウンロード：
pscli-c-1.00.00-20161129.tgz

PCAP保存順次実施機構を含むメジャーアップデートリリースです。

次の点が変更されました。

1. PCAP保存順次実施機構の実装（PSBCQ：Packet Search Binsrv Client Queue)

これまでの実装方式は、短期間に多くのlogが発生して多くのPCAP取り出しが実施される環境において、効率的に動作する実装ではありませんでした。
今回の機能拡張により、PCAPの取り出しが効率化されます。

バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。

ダウンロード：
syslog_integration-2.00.00-20161108.tgz

特定のIPに関するResponse RCODE機能が追加されました。

Given IP機能から、その特定IPの関連するResponse RCODE機能を利用できるようになりました。
この機能により、注目する特定のIPがどのようなRCODEのDNS responseを受信する結果となる通信を実施しているのかを確認することができます。

これまでのGiven IP機能からさらに詳細に掘り下げた調査を実施できるようになりました。

画面イメージ：
Response RCODE to Given-IP画面
Given IP機能のDetail viewグラフのサブメニューから、対象データに関するResponse RCODE画面を利用できます。
画面例は、「10.2.200.159」に関するResponse RCODEを表示した状態の画面例です。

また、これらの機能から関連するpcapデータをいくつもの絞り込み方式で取り出すことができます。
例としては次のような取り出しができます。

1. 対象の時間帯のすべてのpacketを含むpcapのダウンロード
2. 対象の時間帯のすべてのDNSのpacketを含むpcapのダウンロード
3. 対象の時間帯の対象のIPに関するすべてのpacketを含むpcapのダウンロード

本機能により、さまざまな観点での詳細調査を実現します。

この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.03.00-20161017.tgz

特定のIPに関するRequest - TOP10 Name機能が追加されました。

Given IP機能から、その特定IPの関連するRequest - TOP10 Name機能を利用できるようになりました。
この機能により、注目する特定のIPがどのようなDNSのqueryを実施しているのかを確認することができます。

これまでのGiven IP機能からさらに詳細に掘り下げた調査を実施できるようになりました。

画面イメージ：
Request - TOP10 Name from Given-IP画面
Given IP機能のDetail viewグラフのサブメニューから、対象データに関するRequest - TOP10 Name画面を利用できます。
画面例は、「10.2.140.42」に関するRequest - TOP10 Nameを表示した状態の画面例です。

また、これらの機能から関連するpcapデータをいくつもの絞り込み方式で取り出すことができます。
例としては次のような取り出しができます。

1. 対象の時間帯のすべてのpacketを含むpcapのダウンロード
2. 対象の時間帯のすべてのDNSのpacketを含むpcapのダウンロード
3. 対象の時間帯の対象のIPに関するすべてのpacketを含むpcapのダウンロード
4. 対象の時間帯の対象のIPに関するもののうちの特定のFQDNに関連するDNSのpacketを含むpcapのダウンロード

本機能により、さまざまな観点での詳細調査を実現します。

画面イメージ：
Request - TOP10 Name from Given-IP画面からのpcapダウンロード機能の画面

この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.02.00-20160928.tgz

起動時に選択されているcommandを設定で指定できる機能が追加されました。
commandがpcapの場合に、使用しない項目を無効にする機能が追加されました。

画面イメージ：
commandがpcapの場合の画面イメージ
commandがpcapの場合、field idの入力部分とsort(key、packets、bytes)の選択部分が無効となります。

標準設定では起動時にstat(統計)となる設定になっています。
起動時commandを変更する場合は、設定を変更してください。
起動時commandの設定については、 wiki - 設定項目 - modeセクション を参照してください。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.15.00-amd64-20160920.msi
PSGUI-Win-3.15.00-amd64-20160920.zip

バグフィックスを含むメンテナンスリリースです。
次の点が変更されました。

1. swatchが動作する際に生成されるscriptファイルの保存場所を修正
2. 一覧画面機能におけるpcapファイルが1つも存在しない場合のerrorの抑制
3. ステータス画面機能におけるコメント文の取り扱いの向上

これまでの実装では、scriptファイルの保存場所について指定できていなかったため、「/」(ルート)に「.swatch_script.12345」などのようなファイルが生成されてしまうように動作していました。
本バージョンではこの部分が修正されています。

今後はその時点で有効なscriptファイルのみが、/tmpに存在する形となります。

# ls -al /tmp/.swatch_script.*
-rw-r--r-- 1 root root 3062 Sep 20 07:39 /tmp/.swatch_script.24621
# 

不要なファイルが残ってしまう問題の修正となるものですので、ver1.5.1へのversion-upを推奨します。

なお、過去の不要ファイルの削除は、次の手順で実施ください。

1. PASTEをバージョンアップする
2. swatchの起動ファイルをリロードする
   systemctl daemon-reload
3. swatchをPASTEのconfig画面で停止する
   （もしくは、「systemctl stop swatch」を実行する
4. 過去のscriptファイルを削除する
   rm -f /.swatch_script.*
   （ミスタイプに注意して実行してください）
5. swatchをPASTEのconfig画面で起動する
   （もしくは、「systemctl start swatch」を実行する

バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。

ダウンロード：
syslog_integration-1.5.1-20160920.tgz

アクセスログ保存機能が追加されました。

アクセスログイメージ：

2016/09/16 14:59:36 GET_SERVICE_INFO : 172.16.183.93
2016/09/16 14:59:36 SEARCH_FLOW : [ -a 172.16.183.93 -c F -t 20160916145917 -d 2 -f '2' ]
2016/09/16 15:01:48 SEARCH_FLOW : [ -a 172.16.183.93 -c F -t 20160916145917 -d 2 -f '2 7' ]
2016/09/16 15:02:06 SEARCH_FLOW : [ -a 172.16.183.93 -c F -t 20160916145917 -d 2 -n '7=*terilogy.com' -f '2 7' ]
2016/09/16 15:02:36 SEARCH_FLOW : [ -a 172.16.183.93 -c F -t 20160916145917 -d 60 -n '7=*terilogy.com 2=172.16.180.120' -s 1 ]
2016/09/16 15:03:03 SEARCH_FLOW : [ -a 172.16.183.93 -c F -t 20160916145935 -d 10 -n '7=*terilogy.com 2=172.16.180.120' -s 1 ]
2016/09/16 15:03:10 SEARCH_PCAP : [ -a 172.16.183.93 -c P -t 20160916145935 -d 10 -n '7=*terilogy.com 2=172.16.180.120' -s 1 -p C:/Users/komoriya/Desktop/output-1.pcap ]

標準設定ではアクセスログは無効になっています。
アクセスログを保存する動作に変更する場合は、設定を変更してください。
アクセスログの設定については、 wiki - 設定項目 - logセクション を参照してください。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.14.00-amd64-20160916.msi
PSGUI-Win-3.14.00-amd64-20160916.zip

画面表示を日本語に変更する機能が追加されました。

画面イメージ：
日本語の画面イメージ

標準設定では英語表示になっています。
日本語表示に変更する場合は、設定を変更してください。
表示言語の設定については、 wiki - 設定項目 - modeセクション を参照してください。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.13.00-amd64-20160915.msi
PSGUI-Win-3.13.00-amd64-20160915.zip