クエリとレポーティング

Traffic Sentinelは、レポートを5つの機能エリアに分類します。レポート(Reports)メニュー下のタブでアクセスしてください。:

  • 表示(View) 表示可能なスケジュール・レポートをリストします。レポートを選択して、WEBブラウザ内、あるいは、PDFレポートとして、それを表示できます。
  • エクスプローラ ヒストリカルなトラフィック情報を対話形式で探索しチャートを作成します。
  • クエリ(Query) クエリを選択し、パラメーター(時間、プロトコル、インターフェース等)を指定し、そのクエリを実行してください。WEBブラウザ内、あるいは、PDFレポートとして、結果が表示されます。
  • 編集(Edit) レポート・エディターでクエリをレポートとして組み立てます。見出しや、レポート内の説明文、クエリ・パラメーターは、このレポート・エディターで編集できます。
  • スケジュール(Schedule) レポートを自動実行するためのスケジュールを指定します。また、そのレポートを保存するかの設定やレポートを送信するeMailアドレスのリストが指定できます。
  • インストール(Install) 新しいレポート・テンプレートをアップロードします。レポート・テンプレートは、レポート・テンプレートの作成 チュートリアルに説明があります。
  • スクリプト(Script) スクリプトに関しては、クエリのスクリプト化チュートリアル内で、個別に説明されています。多くにユーザは、スクリプト・インタフェースを使用する必要はありません。なぜなら、実行(Run)メニューで実行可能な既存のクエリを編集することによって、ほとんどのレポートで表示したい内容は作成できるからです。

このチューリアルは、2つのパートで構成されます。:クエリの作成(Making Queries) は、利用可能な標準タイプのクエリの概要とそれらをデモンストレーションとして使用できる例を提供します。スケジュール・レポート(Scheduled Reporting) は、どのようにしてクエリを定期的にスケジュール化されたレポートと結合するかを示します。

エクスプローラ

Traffic Sentinelは、レポート(Reports) > エクスプローラ(Explore)ツールを使用することで、対話的に間作できる詳細なヒストリカル・データベースを保持しています。

上のチャートでは、Top Source Addressとトラフィックの合計を表示しています。Top Source 172.16.136.78をさらに分析したい場合は、その棒グラフ上をクリックしてください、このソースからのトラフィックのみが選択されるようフィルターが追加されます。カテゴリー(Category)を、Destination Addressへ変更すると、172.16.136.78からのトラフィックに対するTop Destinationを見る事が出来ます。チャートタイプ(Chart Type)を積み重ね傾向線(Trend Stacked)に変更すると時系列的なデータの傾向がわかります。

個々のタイム・インターバルへズームする場合には、たとえば、2:00amから4:00amの期間、その期間をマウスでハイライト表示させてください。

選択された期間に対して、チャートが再表示されます。.

エディターへコピー(Copy to Editor) ボタンは、レポート(Report)>編集(Edit)ページ下で編集されているレポート内にチャートをコピーするのに使われます。ボタンが、インアクティブの場合は、現在、編集されているレポートがないことを意味しています。

最後に、チャートの下の、小さなTXT, HTML,Image リンクに注意してください。これらのリンクは、TEXTやHTMLのテーブル、あるいは、イメージの抽出として、チャート上にプロットされたデータポイントにアクセスするのに使用されます。

クエリの作成(Making Queries)

Traffic Sentinelは、多くの質問に対して回答を提示するために編集することが可能な、多くのあらかじめ用意されたクエリを保有しています。主要なクエリのカテゴリーを確認するために、レポート(Reports)>実行(Run)メニューをクリックしてください。

クエリは、一般的なアプリケーションに従って運営上集約構成されたカテゴリー別にレポートとして定義されています。たとえば、"Security"カテゴリーは、セキュリティ上の脅威やポリシー違反の検知や特性化を行うレポートを含んでいます。一方、"Inventory"は、ネットワーク内の各種ホストやデバイスをリストすることを意図するレポートを持っています。

個々のホスト172.16.136.78 に関するトラフィックを見たいような場合は、ホストに関するクエリを使用して下さい。カテゴリー(Category)を All から Host へ変更すると、ホストに関するクエリのみが表示され簡単です。:

複数のクエリが利用可能です。Traffic to Host query が、希望のものに近いと思います。Traffic to Host エントリをクリックすると、クエリ・フォームが表示されます。:

フォーム内のホスト(Host)にアドレスを入力し、実行(Submit)をクリックすると、Services Provided 、Services Consumed、Trend、Top Connectionsのリストが表示されます。

それぞれの効果を見るために異なったパラメータ設定を試して見てください。いくつかの属性は、タイプして入力するより簡単なように入力フィールドの右にメニューとして持っています。アドレス・プロトコル・インターフェースのメニューには、以前にクリックしたか検索したアイテムが存在しています。

典型的な設定は、メニュー内に、時間に関する期間(Interval)を提供することです。しかし、レポート化するときに指定したい期間があるのであれば、カスタムとして、期間(Interval)の入力フィールドに直接指定することもできます(ヘルプ参照)。;

多くのレポートは、識別子を使用して条件付けを行い、レポートして表示するトラフィックさらに調整することができる、オプションの条件(Where)入力を持っています。たとえば、条件(Where)フィールド内に条件式を追加すると: 

iptos != 0
IP type-of-service ビットに設定があるトラフィックのトップ・IPソースを表示します。フィルターの設定に関しては、ヘルプ にさらに記述があります。

以下の例は、IPプロトコルを表示させたい場合に、実行画面のカテゴリ(Category)に IP Protocol を選択した例です。今週についての傾向をプロットしたい場合は、期間(Interval) に、今週(This Week) をセットしてください。実行(Submit) をクリックすると以下のような結果が表示されます。:

PDFボタンをクリックすると、PDFレポートとしてリターンされます。HTMLボタンをクリックすると、HTMLとしてリターンされます。戻り(Back)ボタンをクリックすると、入力フォームに戻り、パラメータを変更し再度実行するのに便利です。エディターへコピー(Copy to Editor) ボタンは、レポート(Report)>編集(Edit)ページ下で編集されるレポート内にクエリをコピーするのに使用されます。もし、ボタンがインアクティブの場合は、現在編集されているレポートが存在しないことを意味します。 (下記、「レポートの編集」を参照).

最後に、チャートの下の小さなTXT、HTML、イメージ(Image) リンクに注意してください。これらのリンクは、チャート上でプロットされたデータに、テキストやHTMLテーブル、抽出したイメージとしてアクセスすることが出来ます。

スケジュール・レポート(Scheduled Reporting)

レポートは、選択したクエリ、設定したパラメーター、レポート内に集約したクエリによって組み立てられます。一度、レポートを組み立てると、それをスケジュール化して実行を自動化できます。

レポートの編集

以下のステップは、新規レポートを作成するのに容易な方法です。:

  1. レポート(Reports)>編集(Edit)をクリックして、レポート・エディターへアクセス。
  2. 新規レポート(New Report)ボタンをクリック。
  3. カテゴリー(Category), レポート(Report)タイトル、説明(Description)を指定して、実行(Submit)をクリックし、空レポートを作成します。
  4. レポート(Reports)>実行(Run)メニューをクリックして、クエリの作成(Making Queries)で説明されているステップに従い指定し、クエリを実行してください。クエリの結果を見ることができれば、そのクエリの結果のページの上のエディターへコピー(Copy to Editor)ボタンかありますので、それをクリックして、クエリ・セッティングをレポート内の新規セクションへコピーします。

以下のスクリーンショットは、2つのセクションが追加されたあとの、レポート・エディターを示しています。:

セクションを再オーダーするには、セクション番号を指定し、セクションの再オーダー(Reorder Sections)ボタンをクリックします。セクションの編集(Edit)ボタンをクリックして、その設定を変更することができます。見出しの編集(Edit Heading)ボタンをクリックすると、レポート・タイトルや説明を変更することができます。以上で問題なければ、スケジュールの編集(Edit Schedule)ボタンをクリックして、レポートをスケジュール化します。

レポートのスケジュール化

レポートスケジュール(Report Schedule)フォームは、レポートのスケジュール化の為に使用します。:

分(Minute), 時(Hour), 月(Day of Month)、曜日(Day of Week)フィールドが、どのような頻度でレポートを実行するかを指定するために使用されます。それぞれのフィールドでは、一般的な指定項目のメニューを持っています。#レポートの保存(#Reports to Keep)は、古いレポートが削除される前に、どのくらいの世代のレポートを保持し続けるかを指定します。Emailフィールドでは、レポートを送信するeMailアドレスのリストを指定します。実行(Submit)をクリックすると、レポートがスケジュール化されます。

レポートは、その機能にマッチする期間でスケジュール化する必要があります。たとえば、昨日(Yesterday)のトラフィックを集約したアカウンティング・レポートは、一日に一度実行するようスケジュール化されるべきです(通常、早朝 : デフォルト・レポート時間は、AM1:05)。先週(Last Week)のトラフィックを集約したレポートであれば、週に一度実行するようスケジュール化されるべきです。セキュリティ・レポートは、しばしば、短期間のトラフィックを調査するのに使用されますので、さらに、頻繁にスケジュール化されるべきです。たとえば、"5分前から(Last 5 Minutes)"の期間でポート・スキャニング・アクティビティを検知するレポートなどです。また、そのレポートは、アラートを生成する為の設定を行い、毎5分ごとに実行されるべきです。

レポートは、指定した期間で自動的に実行されます。スケジュール・レポートとして実行されたレポートのセーブされたコピーは、レポートの表示で見ることができます。

レポートの表示

レポート(Report)>表示(View)メニューをクリックし、スケジュール・レポートを表示します。カテゴリー(Category)や レポート(Report)を選択して、その内容を表示してください。