cronからの実行をサポート
cronからの実行をサポートします。
環境変数HOMEが設定されていないユーザの権限で実行する場合、pcapのdefault保存pathは/tmp/pcapとして動作します。
絶対pathを含んでpcap名を指定された場合は指定されたpathに保存されます。
利用環境:
開発は、CentOS6 x86_64で行っています。
CentOS7 x86_64、ubuntu 16.04 x86_64、CentOS6 x86_64、などの環境で利用することができます。
ドキュメント:
インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ツールの使い方については、 wiki - psclic_both_directions操作方法 を参照ください。
ダウンロード:
pscli-c-1.06.00-20170302.tgz
reorder機能の追加
使用環境にreordercapがある場合、これを使用しpacketをreorderします。
実行イメージ:
reordercapが環境にある場合の実行例です。
(reordercapが環境に存在し、設定ファイル(conf/reorder_bin)に設定されていると、pcap保存後にreorderすることができます)
# which reordercap
/usr/sbin/reordercap ← CentOS7の場合のreordercapのpath
# cat /opt/momentum_client/psclic/conf/reorder_bin ← psclicのreordercapのpathを設定するファイル
/usr/sbin/reordercap ← 利用できるreordercapのpathになるように設定
# psclic -a 172.16.182.108 -c P -t 20170228090000 -d 3 -s 1
[ -a 172.16.182.108 -c P -t 20170228090000 -d 3 -s 1 -p /root/pcap/output.pcap ]
#1 : writing 2017/02/28 09:00:00 (1 sec) - 319,128 bytes
#2 : writing 2017/02/28 09:00:01 (1 sec) - 351,968 bytes
#3 : writing 2017/02/28 09:00:02 (1 sec) - 451,953 bytes
reordering : 2113 frames, 0 out of order ← pcapを取り出して保存した後にreorderされる
/root/pcap/output.pcap : 1,123,073 bytes
#
使用環境にreordercapが存在しない場合には、packetはreorderされません。
reorder_binは、標準設定ではCentOS7のreordercapのpathが設定されています。
CentOS7の場合、reordercapはwiresharkのRPMの一部として配布されています。
# rpm -qf /usr/sbin/reordercap wireshark-1.10.14-10.el7.x86_64 #
利用環境:
開発は、CentOS6 x86_64で行っています。
CentOS7 x86_64、ubuntu 16.04 x86_64、CentOS6 x86_64、などの環境で利用することができます。
ドキュメント:
インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ツールの使い方については、 wiki - psclic_both_directions操作方法 を参照ください。
ダウンロード:
pscli-c-1.05.00-20170301.tgz
両方向の通信を処理できるツールの追加
指定した条件によって、両方向の通信を処理できるツールが追加されました。
実行イメージ:
特定のsrc-IPとdst-portに関する両方向の通信量を確認する
(特定のクライアントが利用する特定のサービスの動きについて調査することができます)
# psclic_both_directions 172.16.182.108 F 20170216150000 3 1 sip_dport 172.16.101.163_80 [ -a 172.16.182.108 -c F -t 20170216150000 -d 3 -s 1 -n '2=172.16.101.163 5=80 ' ] [start time] [packets] [bytes] 2017/02/16 15:00:00 110 13,641 2017/02/16 15:00:01 385 30,243 2017/02/16 15:00:02 455 37,239 -------------------------------------------- [ total ] : 950 packets : 81,123 bytes [ -a 172.16.182.108 -c F -t 20170216150000 -d 3 -s 1 -n '3=172.16.101.163 4=80 ' ] [start time] [packets] [bytes] 2017/02/16 15:00:00 179 222,179 2017/02/16 15:00:01 671 866,277 2017/02/16 15:00:02 765 1,014,839 -------------------------------------------- [ total ] : 1,615 packets : 2,103,295 bytes #
特定のsrc-IPとdst-portに関する両方向のpcapを保存する
(特定のクライアントが利用する特定のサービスの動きについて調査することができます)
# psclic_both_directions 172.16.182.108 P 20170216150000 3 1 sip_dport 172.16.101.163_80
[ -a 172.16.182.108 -c P -t 20170216150000 -d 3 -s 1 -n '2=172.16.101.163 5=80 ' -p /root/pcap/24801_1.pcap ]
#1 : writing 2017/02/16 15:00:00 (1 sec) - 15,401 bytes
#2 : writing 2017/02/16 15:00:01 (1 sec) - 36,403 bytes
#3 : writing 2017/02/16 15:00:02 (1 sec) - 44,519 bytes
/root/pcap/24801_1.pcap : 96,347 bytes
[ -a 172.16.182.108 -c P -t 20170216150000 -d 3 -s 1 -n '3=172.16.101.163 4=80 ' -p /root/pcap/24801_2.pcap ]
#1 : writing 2017/02/16 15:00:00 (1 sec) - 225,043 bytes
#2 : writing 2017/02/16 15:00:01 (1 sec) - 877,013 bytes
#3 : writing 2017/02/16 15:00:02 (1 sec) - 1,027,079 bytes
/root/pcap/24801_2.pcap : 2,129,159 bytes
pcap file:
-rw-r--r-- 1 root root 2270100 Feb 16 16:48 /root/pcap/24801.pcap
#
他に、ipのみ指定、portのみ指定、などの使い方もできます。
利用環境:
開発は、CentOS6 x86_64で行っています。
CentOS7 x86_64、ubuntu 16.04 x86_64、CentOS6 x86_64、などの環境で利用することができます。
ドキュメント:
インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ツールの使い方については、 wiki - psclic_both_directions操作方法 を参照ください。
ダウンロード:
pscli-c-1.04.00-20170216.tgz
ワイルドカードでの絞り込み機能に関する不具合を修正しました。
前方一致と後方一致の条件指定の実装が逆になっていました。
本バージョンで修正されています。
実行イメージ:
前方一致、後方一致、中間一致の実行イメージ
# psclic -c fh -t 20170126090000 -d 2 -f 7 -n '7=www.teri*' [ -a 172.16.183.93 -c F -t 20170126090000 -d 2 -s 2 -f '7' -n '7=www.teri*' ] [HTTP_URL/DNS_NAME] [packets] [bytes] www.terilogy.com 2,030 170,520 -------------------------------------------- [ total ] : 2,030 packets : 170,520 bytes # # psclic -c fh -t 20170126090000 -d 2 -f 7 -n '7=*terilogy.com' [ -a 172.16.183.93 -c F -t 20170126090000 -d 2 -s 2 -f '7' -n '7=*terilogy.com' ] [HTTP_URL/DNS_NAME] [packets] [bytes] web.terilogy.com 2,029 168,400 terilogy.com 4,057 414,798 mail.terilogy.com 2,030 246,645 smtp.terilogy.com 2,030 172,550 www.terilogy.com 2,030 170,520 www1.terilogy.com 3,914 332,674 -------------------------------------------- [ total ] : 16,090 packets : 1,505,587 bytes # # psclic -c fh -t 20170126090000 -d 2 -f 7 -n '7=*teri*' [ -a 172.16.183.93 -c F -t 20170126090000 -d 2 -s 2 -f '7' -n '7=*teri*' ] [HTTP_URL/DNS_NAME] [packets] [bytes] web.terilogy.com 2,029 168,400 terilogy.com 4,057 414,798 mail.terilogy.com 2,030 246,645 smtp.terilogy.com 2,030 172,550 www.terilogy.com 2,030 170,520 www1.terilogy.com 3,914 332,674 -------------------------------------------- [ total ] : 16,090 packets : 1,505,587 bytes #
利用環境:
開発は、CentOS6 x86_64で行っています。
CentOS6 x86_64、CentOS7 x86_64、ubuntu 16.04 x86_64、などの環境で利用することができます。
ドキュメント:
インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ダウンロード:
pscli-c-1.03.01-20170126.tgz
pcap上書き確認機能の追加
保存しようとしている名称のpcapファイルが既に存在している場合に、上書きするかを確認する機能が追加されました。
実行イメージ:
# psclic -c P -t 20170116000000 -d 3 -s 1 -p output1.pcap
The file exists. : [ /root/pcap/output1.pcap ]
overwrite?[y/N]:
canceled.
#
#
# psclic -c P -t 20170116000000 -d 3 -s 1 -p output1.pcap
The file exists. : [ /root/pcap/output1.pcap ]
overwrite?[y/N]: y
overwrite...
[ -a 172.16.183.93 -c P -t 20170116000000 -d 3 -s 1 -p /root/pcap/output1.pcap ]
#1 : writing 2017/01/16 00:00:00 (1 sec) - 3,134,971 bytes
#2 : writing 2017/01/16 00:00:01 (1 sec) - 3,785,981 bytes
#3 : writing 2017/01/16 00:00:02 (1 sec) - 5,159,126 bytes
/root/pcap/output1.pcap : 12,080,102 bytes
#
利用環境:
開発は、CentOS6 x86_64で行っています。
CentOS6 x86_64、CentOS7 x86_64、ubuntu 16.04 x86_64、などの環境で利用することができます。
ドキュメント:
インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ダウンロード:
pscli-c-1.03.00-20170116.tgz
設定確認機能の追加
設定されている内容を確認することができる機能が追加されました。
コマンドラインオプションに「-C」を指定することで、設定内容を確認できます。
実行イメージ:
# psclic
Usage : psclic <options>
-c : command VAL : Info | Flow(Header) | Pcap (I | F[H] | P)
-a : address VAL : IP address of Probe (xxx.xxx.xxx.xxx)
-t : time VAL : start time (YYYYMMDD[hh[mm[ss]]])
-d : duration VAL : aggregate time (sec)
-s : step VAL : interval time (sec)
-i : interface VAL : capture interface
-n : narrow VAL : filter expression
-f : field VAL : list of field type IDs summarized into lines
-p : pcap VAL : PCAP output file name
-C : Configuration : show psclic configuration
-h : help : show psclic help
-v : version : show psclic version
#
#
# psclic -C
[ Configuration of PSCLI-C ]
probeip : [172.16.183.93] (IP address of Probe)
delimiter : [1] ("0":comma, "1":TAB)
log_audit : [1] ("0":disable, "1":enable)
log_audit_facility : [LOG_LOCAL1] ("LOG_LOCAL0" ~ "LOG_LOCAL7")
minimum_requirement : [5000] (disk space (unit: Mbytes))
timezone : [-9] (hours from UTC)
#
利用環境:
開発は、CentOS6 x86_64で行っています。
CentOS6 x86_64、CentOS7 x86_64、ubuntu 16.04 x86_64、などの環境で利用することができます。
ドキュメント:
インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ダウンロード:
pscli-c-1.02.00-20170105.tgz
pcap保存時残りディスク領域確認機能追加
pcap保存時に、残りディスク領域を確認して実行する動作を行う機能が追加されました。
残りディスク領域確認は、step実行される場合、そのstep毎にpcap保存の継続可否を判断します。
pcap保存が中断された場合でも、保存済みの範囲のpcapはそのまま利用することができます。
pcap保存を中断することとなるディスク領域の大きさは、設定することができます。
実行イメージ:
pcapを保存する際に、保存先のファイルシステムの空き容量が指定空き容量よりも少なくなる場合、処理が中断されます。
これは、5秒分のpcap保存を実施しようとしたけれども、3秒分のみをpcap保存した例です。
(4秒目を保存してしまうと、指定空き容量よりも小さくなってしまうので、保存処理を中断した)
/root/pcap/a.pcapは、2016/12/02 09:00:00台~2016/12/02 09:00:02台までの3秒間の正常なpacketが含まれたものとなります。
(説明の都合上、残りディスク領域の設定を11,955 Mbytesに設定しています。)
# psclic -a 172.16.183.93 -c FH -t 20161202090000 -d 5 -s 1
[ -a 172.16.183.93 -c F -t 20161202090000 -d 5 -s 1 ]
[start time] [packets] [bytes]
2016/12/02 09:00:00 10,576 3,169,532
2016/12/02 09:00:01 21,432 4,078,297
2016/12/02 09:00:02 30,517 4,871,099
2016/12/02 09:00:03 30,639 4,867,285
2016/12/02 09:00:04 30,573 4,871,414
--------------------------------------------
[ total ] : 123,737 packets : 21,857,627 bytes
#
# psclic -a 172.16.183.93 -c P -t 20161202090000 -d 5
-s 1 -p a.pcap
[ -a 172.16.183.93 -c P -t 20161202090000 -d 5 -s 1 -p /root/pcap/a.pcap ]
#1 : writing 2016/12/02 09:00:00 (1 sec) - 3,338,748 bytes
#2 : writing 2016/12/02 09:00:01 (1 sec) - 4,421,209 bytes
#3 : writing 2016/12/02 09:00:02 (1 sec) - 5,359,371 bytes
Error : low disk space.
: pcap path : /root/pcap
: available disk space : 11,957 Mbytes
: minimum requirement : 11,955 Mbytes
/root/pcap/a.pcap : 13,119,352 bytes
aborted.
#
利用環境:
開発は、CentOS6 x86_64で行っています。
CentOS6 x86_64、CentOS7 x86_64、ubuntu 16.04 x86_64、などの環境で利用することができます。
ドキュメント:
インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ダウンロード:
pscli-c-1.01.00-20161202.tgz
Linux環境で簡単に利用できるmomentum用クライアントソフトウエア
PSCLI-Cは、momentumで提供される統計情報入手とpcapダウンロードの機能を利用できるPacket Search Systemのクライアントソフトウエアです。
同様の機能を担うものとしてPSCLI-Rubyがありますが、それに比較して、導入が容易という特徴をもったものです。
Linux環境で利用することができます。
PSCLI-Cは開発言語にCを使用していて、Linuxで動作するbinaryとして配布されます。
使用する環境に本システムの実行のためにpythonやRubyなどの実行環境を準備する必要はありません。
このため、クライアント機能を利用するまでの準備が簡単になっています。
実行イメージ:
ある時間帯のsource IPとdest IP毎の通信量を確認する場合の実行例:
# psclic -a 172.16.183.93 -c FH -t 20161109130000 -d 1 -s 1 -f '2 3' [ -a 172.16.183.93 -c F -t 20161109130000 -d 1 -s 1 -f '2 3' ] [IPV4_SRC_ADDR] [IPV4_DST_ADDR] [packets] [bytes] 10.73.100.13 10.2.120.112 1 177 10.2.120.112 10.73.100.14 2 163 10.73.100.14 10.2.120.112 1 186 10.2.40.7 10.2.1.1 2 149 10.2.1.1 10.2.40.7 2 510 172.16.183.90 172.16.180.120 1,172 90,758 172.16.180.120 172.16.183.90 1,172 150,084 10.2.200.159 10.73.100.14 3 252 10.73.100.14 10.2.200.159 3 507 -------------------------------------------- [ total ] : 2,358 packets : 242,786 bytes #
利用環境:
開発は、CentOS6 x86_64で行っています。
CentOS6 x86_64、CentOS7 x86_64、ubuntu 16.04 x86_64、などの環境で利用することができます。
ドキュメント:
インストール方法については、 wiki - インストール を参照ください。
設定については、 wiki - 設定 を参照ください。
ダウンロード:
pscli-c-1.00.00-20161129.tgz
他の形式にエクスポート: Atom