momentum_TAPAS

コマンドライン用の設定確認機能が追加されました。

これまでは、設定は設定ファイルに記載し、その妥当性確認はWebの設定確認機能を使い、妥当性の確認を行う方法を利用することができました。
これに加え、コマンドラインにおいて設定確認ができる機能が追加されました。

実行例： 表示隠す

# /opt/momentum_client/bin/show_config.pl |head -10
Configuration of momentum DNS viewer

[Software version]
        momentum DNS viewer v1.19.0
[probe info]
        hostname        : 1Uprobe
        IP address      : 172.16.183.74
        NIC             : eth0_0,eth1_0
        delta time (min): 2
[log output]
# 
# /opt/momentum_client/bin/show_config.pl |tail -10
        20 (number of rows)
[related DNS server]
        type            : ISC BIND
        IP address      : 172.16.183.195
        control port    : 953
        RPZ zonename    : blacklist.zone
        RPZ action      : NXDomain
        TTL of RPZ      : 60

[[ Note: The setting is correct. ]]
# 

これまでよりも容易に、設定の内容確認が実施できるようになりました。
利便性の向上となる拡張ですので、ver1.19.0へのversion-upを推奨します。

この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-1.19.0-20160414.tgz

グラフが表示できるようになりました。

これまで統計情報の検索結果の表示などの機能を利用できる機能が
搭載されていたのですが、視覚的に検索結果を表示する機能は
搭載されていませんでした。
より直感的に状況把握できることを目指し、グラフ表示機能を追加しました。

1. トレンドグラフ：時系列のグラフ（bits/sec、packets/sec）
2. トップグラフ：フィールド集計したものについてのトップグラフ（bytes、packets）

画面イメージ：
トレンドグラフ

トップグラフ

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

PSGUI-Win-3.00.00-amd64-20160412.msi
PSGUI-Win-3.00.00-amd64-20160412.zip

注意：
　今回のバージョンから配布ファイルの大きさが100MBを超えるものとなりました。
　このため、次回以降の新バージョン配布の際には、過去バージョンの配布物を削除していくこととします。
　過去の配布物の削除は当面は実施しないこととしました。

field idのtooltipがより詳しく表示されるようになりました。

これまでも複数のfield idによる複合的な集計を行うことができる機能が
搭載されていたのですが、それについてtooltipでは記載していませんでした。
より直感的に操作できることを目指し、tooltipの表示内容を更新しました。

画面イメージ：

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

PSGUI-Win-2.14.1-amd64-20160324.msi
PSGUI-Win-2.14.1-amd64-20160324.zip

momentum Probeを分散環境で使用する場合の設定機能が追加されました。

captureを実施する装置と、統計情報をサービスする装置とに分割して使用している環境において、
動作を調整するdelta_time設定機能が追加されました。

この機能は、momentum Probeを分散環境で使用する場合において意味を持つものとなりますので、
captureを実施している装置にて統計情報をサービスする機能を利用している環境においては、
設定を調整する必要はありません。

momentum Probeを分散環境で使用している場合には、ver1.18.0へのversion-upを推奨します。

• 設定ファイル（全体用）
  パラメータ（delta_time）が追加になっています。
  バージョンアップの際には、再設定が必要です。
  /opt/momentum_client.old/data にある従来の設定ファイルを参考に、設定の移行を実施してください。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照してください。
また、「データベース(whitelist情報用)」のメンテナンスはコマンドで実施します。
コマンドについての説明は、wiki - whitelist設定 を参照してください。

upgrade時に引継ぎができる要素は、次のとおりです。

DNSviewer-1.18.0-20160322.tgz

Helpメニューから、PSGUI-Winのライセンスを確認することができるようになりました。

1. GNU GENERAL PUBLIC LICENSE ： GNU GPLが表示されます。
2. momentum Apps License(English) ： momentum Appsのライセンスが表示されます。
3. momentum Apps License(Japanese) ： momentum Appsのライセンスが表示されます。

画面イメージ：

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

PSGUI-Win-2.14.0-amd64-20160309.msi
PSGUI-Win-2.14.0-amd64-20160309.zip

swatchの設定例の表記が長いものとなっていたため、読みやすい表記となるように変更しました。
このリリースは、機能的な変更点を含みません。

現時点のswatchの設定例は、次のようなものとなっています。

# logfile /var/log/local0.txt

# paloalto PA, THREAT, threshold by src,dst
watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/
  threshold track_by=$1:$2,type=limit,count=1,seconds=60
  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

# paloalto PA, TRAFFIC end, threshold by src,dst
watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),/
  threshold track_by=$1:$2,type=limit,count=1,seconds=60
  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

## paloalto PA, TRAFFIC end, threshold by src,dst,srcport,dstport,protocol
#watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),([^,]*,){15,15}([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,([^,]+),/
#        threshold track_by=$1:$2:$4:$5:$6,type=limit,count=1,seconds=60
#        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl PROBEIP DEVICEID" 

swatchの設定ファイルの変更のみですので、ver1.4.3を利用されている場合にはversion-upは特に必要ありません。
swatchで5tupleでのthreshold動作をさせる場合には、上記の記述を参考に設定してください。

バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。

syslog_integration-1.4.4-20160303.tgz

swatchの設定ファイルの中に"#"によるコメントがある場合に、PASTEとして正しく動作するようになりました。
swatchの設定ファイルの"#"によるコメント解釈以外のPASTEとしての動作は、従来と変わりなく使用することができます。

現時点のswatchの設定例は、次のようなものとなっています。

# cat /opt/momentun_client/conf/local0.conf
# logfile /var/log/local0.txt

# paloalto PA, THREAT, threshold by src,dst
watchfor /THREAT,[^,]+,[^,]+,[^,]+,([^,]+),([^,]+),/
  threshold track_by=$1:$2,type=limit,count=1,seconds=60
  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 192.168.1.2 3" 

# paloalto PA, TRAFFIC end, threshold by src,dst
watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),/
  threshold track_by=$1:$2,type=limit,count=1,seconds=60
  pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 192.168.1.2 3" 

## paloalto PA, TRAFFIC end, threshold by src,dst,srcport,dstport,protocol
#watchfor /TRAFFIC,end,[^,]+,[^,]+,([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,[^,]*,([^,]+),([^,]+),[^,]*,[^,]*,[^,]*,([^,]+),/
#        threshold track_by=$1:$2:$3:$4:$5,type=limit,count=1,seconds=60
#        pipe "/opt/momentum_client/bin/syslog_pcap_save.pl 192.168.1.2 2" 
# 

細かな変更ですが利便性向上となるものですので、ver1.4.3へのversion-upを推奨します。

バージョンアップの方法に関しては、 wiki - バージョンアップについて を参照ください。

syslog_integration-1.4.3-20160302.tgz

Whitelist機能が拡張されました。

今回の改善により、これまで、「NXDomain件数確認によるランダムサブドメイン発生通知機能」
でのみ利用できていたWhitelist機能を、「TOP10 Domain NXDomain画面」でも利用できるように
なりました。
多く発生していても注目する必要のないDomain名がある場合に、それを除外して情報を確認する
ことができるようになります。
このWhitelist機能は、個別にon/offして利用することができます。

この機能拡張は運用性の改善となるものですので、ver1.17.0へのversion-upを推奨します。

• 設定ファイル（全体用）
• 設定ファイル（NXDomain通知用）
  パラメータ名称の一部が変更になっています。注意して設定を実施してください。
  また、新たに、「データベース(whitelist情報用)」が利用されるように実装されています。

設定ファイルの書式に変更があった場合には、設定は自動的に移行されません。
/opt/momentum_client.old/data にある従来の設定ファイルを参考に、設定の移行を実施してください。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照してください。
また、「データベース(whitelist情報用)」のメンテナンスはコマンドで実施します。
コマンドについての説明は、wiki - whitelist設定 を参照してください。

upgrade時に引継ぎができる要素は、次のとおりです。

DNSviewer-1.17.0-20160229.tgz

Helpメニューから、TAPASサイトを開くことができるようになりました。

メニューを選択すると、既定のブラウザによってTAPASサイトの当該コンテンツが表示されます。
これによって、使い方の確認や、更新版の確認が簡単に実施できます。

1. Manual Pages ： PSGUI-Winの使い方の記載されたWikiが表示されます。
2. Check for Updates ： PSGUI-Winのダウンロードページが表示されます。

画面イメージ：

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

PSGUI-Win-2.13.0-amd64-20160219.msi
PSGUI-Win-2.13.0-amd64-20160219.zip

複数のpcapを同時にwiresharkで参照することができるようになりました。
従来よりも、より柔軟に調査することができるようになりました。

ver2.0.0以降のinstallerを利用されている場合は、installerを実行するだけでバージョンアップが可能です。
詳細は wikiの「3.3. PSGUI-Winのバージョンアップ」 を確認ください。

PSGUI-Win-2.12.0-amd64-20160210.msi
PSGUI-Win-2.12.0-amd64-20160210.zip