momentum_TAPAS

pcap保存の分割サイズをGUIで指定する機能が追加されました。

画面イメージ：
pcap分割保存のイメージ（24MBに分割保存している例）
標準設定では250MB毎に分割して保存されます。

通常利用のpcap分割保存サイズを指定する場合は、設定を変更してください。
一時利用のpcap分割保存サイズを指定する場合は、GUIで変更してください。
pcap分割保存の設定については、 wiki - 設定項目 - modeセクション を参照してください。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.12.00-amd64-20160912.msi
PSGUI-Win-3.12.00-amd64-20160912.zip

pcap保存時に必要なときにのみpacketをsortする機能が追加されました。

これまではsortするように指定されている場合にはその必要性にかかわらずsortを実施していましたが、
本バージョン以降はsortの必要性を判断してsortを実施するようになりました。
利用者の操作としては変わりませんが、より使い勝手が向上したものとなっています。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.11.00-amd64-20160912.msi
PSGUI-Win-3.11.00-amd64-20160912.zip

pcap保存時に分割して保存する機能が追加されました。

画面イメージ：
pcap分割保存のイメージ（10MBに分割保存している例）
標準設定では250MB毎に分割して保存されます。

PSGUI-Winの動作は、設定で変更することができます。
pcap分割保存の設定については、 wiki - 設定項目 - modeセクション を参照してください。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.10.00-amd64-20160912.msi
PSGUI-Win-3.10.00-amd64-20160912.zip

TOP画面機能からGiven IP機能への連携機能が追加されました。

IPの一覧が表示されるTOP画面機能から、Given IP機能への連携機能が追加されました。
以下のTOP画面から連携機能を利用できます。

1. Request TOP Clients
2. Response TOP Clients
3. TOP DNS Server

この機能により、これまでの全体を俯瞰しての調査に加え、特定のhostに関する状況の確認も実施できるようになりました。
注目する時間を中心とした10分間の動きを可視化することができ、時間帯を前後に移動して調査を進めることもできます。
（Controller Viewの左下のクリックで前の時間帯に、右下のクリックで後ろの時間帯に、移動できます。）

画面イメージ：
Response - TOP10 Clients画面でのGiven IP連携
グラフもしくは表のデータをクリックすることで、対象データに関するGiven IP画面への遷移を行うGiven IPボタンが表示されます。
画面例は、「10.2.202.147」をクリックした状態の画面例です。

この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.01.00-20160822.tgz

利便性向上とバグフィックスを含むメンテナンスリリースです。
次の点が変更されました。

1. Palo altoのPAシリーズとの連携の設定例において、連携に使用する時刻の値を、「Receive Time」に変更
2. swatch設定部分において、Palo altoのPAシリーズとの連携の設定例をいくつか追加
3. swatch設定閲覧機能利用時の画面幅を従来より拡張（横に長い設定を見やすく変更）
4. swatch設定変更機能利用時の画面幅を従来より拡張（横に長い設定を実施しやすく変更）
5. 数万件以上などの多くの対象データがある場合に一覧が正しく表示できなくなる問題の修正
6. SYSLOG受信文字列に"（ダブルクオーテーション）を含むときに正しく画面上で参照できない問題の修正

現時点のswatchの設定例は、次のようなものとなっています。

# logfile /var/log/local0.txt

# paloalto PA, THREAT, threshold by src,dst
watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/
  threshold track_by=$1:$2,type=limit,count=1,seconds=60
  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

# paloalto PA, THREAT, threshold by src,dst,threat-name,severity(info,low)
#watchfor /THREAT,[^,]*,[^,]*,[^,]*,([^,]+),([^,]+),([^,]*,){23,23}([^,]+),[^,]*,(informational|low),/
#        threshold track_by=$1:$2:$4:$5,type=limit,count=1,seconds=60
#        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

# paloalto PA, THREAT, no threshold for severity(medium,high,critical)
#watchfor /THREAT,([^,]*,){30,30}(medium|high|critical),/
#        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

# paloalto PA, TRAFFIC end, threshold by src,dst
#watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),/
#  threshold track_by=$1:$2,type=limit,count=1,seconds=60
#  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

## paloalto PA, TRAFFIC end, threshold by src,dst,srcport,dstport,protocol
#watchfor /TRAFFIC,end,[^,]*,[^,]*,([^,]+),([^,]+),([^,]*,){15,15}([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,([^,]+),/
#        threshold track_by=$1:$2:$4:$5:$6,type=limit,count=1,seconds=60
#        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

不具合の修正を含みますので、ver1.5.0へのversion-upを推奨します。

バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。

ダウンロード：
syslog_integration-1.5.0-20160816.tgz

probe IPに関するコメント機能が追加されました。

probe IPの接続先情報を設定する際に、それぞれのIPに関するコメントを記述できるようになりました。
複数のprobeを使用する場合に、その機器のhostnameなどをコメントとして記載しておくことで、接続先を選択する際に直感的に選択できます。

画面イメージ：
probe IPの選択入力のイメージ（コメント機能を使用している例）

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.09.00-amd64-20160808.msi
PSGUI-Win-3.09.00-amd64-20160808.zip

narrowingに関する入力内容確認機能が正しくない場合がある問題が修正されました。

バグ対象バージョン：ver3.07.00～ver3.08.00

narrowingではOR条件を使用することが可能ですが、この入力状態の場合に正しく入力内容の確認を実施することができない問題が修正されました。
意図しない動作を回避できる変更となっていますので、version-upを推奨します。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.08.01-amd64-20160727.msi
PSGUI-Win-3.08.01-amd64-20160727.zip

probe IPに関する入力支援機能が追加されました。

あらかじめ設定によって複数のprobe IPの接続先情報を設定しておくと、入力時にそれを選択して接続できるようになりました。
probe IPの接続先情報が複数設定されている場合、1つ目に設定した接続先が選択された状態で起動します。

画面イメージ：
probe IPの選択入力のイメージ

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.08.00-amd64-20160725.msi
PSGUI-Win-3.08.00-amd64-20160725.zip

Given IP機能(特定のIP addressについての確認機能)が追加されました。

特定のIP addressの通信状況について、簡単に確認できるようになりました。
指定したIP addressをsourceとする通信とdestinationとする通信を可視化します。

この機能により、これまでの全体を俯瞰しての調査に加え、特定のhostに関する状況の確認も実施できるようになりました。
注目する時間を中心とした10分間の動きを可視化することができ、時間帯を前後に移動して調査を進めることもできます。
（Controller Viewの左下のクリックで前の時間帯に、右下のクリックで後ろの時間帯に、移動できます。）

画面イメージ：
Given IP画面
「10.2.40.15」に関する調査を実施している画面例です。前の時間帯に移動しようとしています。

この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.00.00-20160721.tgz

narrowingに関する入力内容確認機能が追加されました。

これまでは利用可能な内容を入力しないまま検索を実行すると、正常に結果が表示されずエラーの表示もできていない状態となっていましたが、
本機能の実装により、利用可能なもの以外を指定して検索を実行した際に、正しくエラー表示がされるようになりました。

このバージョンでは、narrowing入力フィールドの条件のうちの、左辺部分の妥当性確認機能が実装されています。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

ダウンロード：
PSGUI-Win-3.07.00-amd64-20160707.msi
PSGUI-Win-3.07.00-amd64-20160707.zip