Cisco Nexus 7000 シリーズ ネットワーク解析モジュール(NAM-NX1)ユーザ ガイド
パケット データのキャプチャとデコード
パケット データのキャプチャとデコード
発行日;2013/12/10 | 英語版ドキュメント(2013/09/04 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

パケット データのキャプチャとデコード

クイック キャプチャの使用方法

キャプチャ セッションの作成および管理

キャプチャ セッションのフィルタ

キャプチャ セッションの表示

キャプチャ セッションの設定

ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング

カスタマイズされたアプリケーション用のソフトウェア キャプチャ フィルタの作成

ソフトウェア キャプチャ フィルタの編集

ソフトウェア キャプチャ フィルタ オプションの理解

ハードウェア フィルタのサポート

NAM サービス モジュール ハードウェア フィルタの作成

その他の NAM ハードウェア フィルタの作成

キャプチャ ファイルの取り扱い

セッション ファイルの理解

キャプチャ ファイルの分析

パケット エラーの詳細へのドリルダウン

キャプチャ ファイルのダウンロード

キャプチャ ファイルの削除

複数のキャプチャ ファイルの削除

キャプチャ データ ストレージの利用

データ ストレージへのキャプチャ

LUN の準備

LUN の使用方法

ファイルのデコード

外部ストレージ LUN のログインおよびログアウト

外部ストレージの接続と切断

データ ストレージの回復

疑いのあるトラフィックのパケット デコード情報の検査

Packet Decoder でのパケットの表示

Packet Decoder に表示されるパケットのフィルタリング

詳細なプロトコル デコード情報の表示

[Packet Decoder] ウィンドウおよび [Browser] ペインの理解

アラームによってトリガーされるキャプチャの使用

時間ベース キャプチャの使用方法

カスタム表示フィルタ

カスタム表示フィルタの作成

カスタム表示フィルタの編集

カスタム表示フィルタの削除

パケット データのキャプチャとデコード

キャプチャ機能を使用してパケット データをキャプチャ、フィルタリング、およびデコードするための複数のセッションをセットアップできます。その後、ファイル制御システムでデータを管理し、パケットの内容を表示できます。


) このソフトウェア機能は、ハードウェア プラットフォームによって制限される場合があります。詳細については、『NAM Compatibility Matrix』を参照してください。


この章は、次の項で構成されています。

「クイック キャプチャの使用方法」

「キャプチャ セッションの作成および管理」

「キャプチャ ファイルの取り扱い」

「キャプチャ データ ストレージの利用」

「疑いのあるトラフィックのパケット デコード情報の検査」

クイック キャプチャの使用方法

アプリケーション、ホスト、または VLAN を示すさまざまなダッシュボード バー チャートの [Context] メニューから、 キャプチャを開始できます。たとえば、バー チャートのアプリケーションをクリックし(図 5-1 を参照)、[Capture] を選択すると、次の操作が自動的に行われます。

メモリベースのキャプチャ セッションが作成される

そのアプリケーションを使用してソフトウェア フィルタが作成される

キャプチャ セッションが開始される

復号化ウィンドウが開き、キャプチャされているパケットをすぐに表示する

図 5-1 クイック キャプチャ

キャプチャ セッションの作成および管理

キャプチャ セッションの目的とは、フィルタのキャプチャ、パケット データの復号化、ファイル制御システムでのデータの管理を行い、パケットのコンテンツを表示することです。キャプチャされたパケットを復号化し、NAM で分析すると、問題をより効率的に切り分けることができます。

ここでは、次の内容について説明します。

「キャプチャ セッションのフィルタ」

「キャプチャ セッションの表示」

「キャプチャ セッションの設定」

「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」

「ハードウェア フィルタのサポート」

キャプチャ セッションのフィルタ

特定のパケット データをフィルタリングし、ファイル制御システムでその情報を管理できます。これにより、ネットワーク問題の可視化が向上し、不要な情報を除外できます。特定のパケット データを受信対象とするために、ハードウェアまたはソフトウェアのフィルタを使用できます。

図 5-2 に示すように、NAM で受信したパケットが、設定されたハードウェア フィルタを通過すると、パケットは次のステップに進みます。ハードウェア フィルタが設定されていなければ、すべてのパケットが通過します。ハードウェア フィルタの詳細については、「ハードウェア フィルタのサポート」を参照してください。


) ハードウェア フィルタは、特定の Prime NAM プラットフォームでのみサポートされています。詳細については、『NAM Compatibility Matrix』または『Cisco Prime Network Analysis Module Release Notes』を参照してください。


そのため、パケットをそのセッションで保存するには、そのセッションの中で少なくとも 1 つのソフトウェア フィルタを通過する必要があります。セッションに対してソフトウェア フィルタが設定されていない場合は、すべてのパケットがキャプチャされます。ソフトウェア フィルタの詳細については、「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」を参照してください。

サポートされている NAM プラットフォームのパフォーマンスを高めるには、ソフトウェア フィルタよりもハードウェア フィルタが推奨され、多数のセッションより少数のセッションが推奨されます。

図 5-2 のアイテムを設定する順序は、特に決められていません。たとえば、[Global Capture Settings] を最初に設定してからキャプチャ セッションを設定し、その後にフィルタを作成することも、ハードウェア フィルタとソフトウェア フィルタを先に作成してからキャプチャ セッションを作成し、最後に [Global Capture Settings] を適用することもできます。ただし、セッションは最後に「スタート」することを推奨します。それ以外の場合は、フィルタが設定され、パケット スライスが実行される前にキャプチャを開始します。

[Global Capture Settings] およびハードウェア フィルタは、セッションが実行中でも随時変更できます。変更点は、実行中のキャプチャ セッションに即座に反映されます。

図 5-2 NAM キャプチャ セッションの例

 

キャプチャ セッションの表示

NAM でパケット データをキャプチャ、表示、およびデコードするための基本的な操作を行うには、[Capture] > [Packet Capture/Decode] > [Sessions] の順に選択します。

[Capture Sessions] ウィンドウに、キャプチャ セッションのリストが表示されます。設定されていない場合は、リストには何も表示されません。キャプチャ セッションのフィールドの説明については、 「[Capture Session] のフィールド」 表 5-1 を参照してください。

 

表 5-1 [Capture Session] のフィールド

操作
説明
Name

キャプチャ セッションの名前。

Start time

キャプチャが最後に開始された時刻。キャプチャは、必要に応じて何度でも停止および再開できます。

Size (MB) (Capture to Memory)
Size(MB) x No.files (Capture to Files)

セッションのサイズ

は、キャプチャは 1 つ以上のファイルに保存されており、これらのファイルへのリンクであることを示します。

キャプチャ ファイル サイズはすべてのプラットフォームで 2 GB に制限されています。

Packets

パケット数

State

キャプチャの現在の状態:

[Running]:パケットのキャプチャが進行中です。

[Stopped]:パケットのキャプチャが停止中です。キャプチャされたパケットはバッファに残っていますが、新しいパケットはキャプチャされていません。

[Ful]:ファイルまたはメモリがいっぱいで、新しいパケットはキャプチャされません。

Location

キャプチャの場所(メモリ、ローカル ディスク、および外部ストレージ)。

「[Capture Session Operations] ウィンドウのボタン」 表 5-2 )で、[Capture Sessions] ウィンドウで行える操作について説明します。

 

表 5-2 [Capture Session Operations] ウィンドウのボタン

操作
説明
Create

新規のキャプチャ セッションを作成します。「キャプチャ セッションの設定」を参照してください。

Edit

選択されたキャプチャの設定を編集します。

Delete

選択されたセッションを削除します。

Start

選択されたセッションのキャプチャを開始します。そのセッションの [Packets] 列の数が上昇し始めます。

Stop

選択されたセッションのキャプチャを停止します(パケットは通過しません)。キャプチャ データはキャプチャ メモリ バッファに残されますが、新しいデータは保存されません。キャプチャを再開するには、[Start] をクリックします。

Clear

キャプチャされたデータをメモリからクリアします。

Decode

キャプチャ セッションの詳細を表示します。

Save to File

NAM ハード ディスクのファイルにセッションを保存します。「キャプチャ ファイルの取り扱い」を参照してください。

キャプチャ セッションの設定

時間の経過に伴ってデータを収集し、データを分析するさまざまな場所があることが重要である場合があるので、キャプチャの場所またはターゲットごとに複数のセッションがサポートされています。ターゲットごとに複数のセッションを使用してデータを収集できますが、1 つのターゲットにつき 1 つのセッションのみ実行できます。Prime NAM では、現在 25 のキャプチャ セッションがサポートされています。外部ストレージがある場合、ローカル ディスクと複数の LUN に保存できます。キャプチャ セッションの設定の一部として、必要に応じてソフトウェア フィルタも作成できます(「カスタマイズされたアプリケーション用のソフトウェア キャプチャ フィルタの作成」を参照)。

新しいキャプチャ セッションを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 [Create] をクリックして、新しいキャプチャを設定します。NAM によって、[Configure Capture Session] ウィンドウが表示されます。[Capture Settings] ウィンドウには、キャプチャの名前を入力するためのフィールド、および 表 5-3 で説明している 4 つのステータス インジケータがあります。

ステップ 3 適宜、キャプチャ設定フィールド( 表 5-3 )に情報を入力します。

 

表 5-3 キャプチャ設定フィールド

フィールド
説明
使用方法
Packet Slice Size (bytes)

キャプチャされたパケットのサイズを制限するために使用する、バイト単位のスライス サイズ。

64 ~ 9000 の範囲で値を入力します。スライスを実行しない場合は、ゼロ(0)を入力します。

セッションが小さい場合、できるだけ多くのパケットをキャプチャするには、小さなスライス サイズを使用します。

指定したスライス サイズよりもパケット サイズが大きい場合、パケットはキャプチャ セッションに保存される前にスライスされます。たとえば、パケットが 1000 バイトでスライス サイズが 200 バイトの場合、パケットの最初の 200 バイトだけがキャプチャ セッションに保存されます。

Capture Source

[Data-Ports] または [ERSPAN]

キャプチャ ソースを選択します(1 つ以上のチェックボックスを選択):

[Data-ports]:SPAN、RSPAN、および VACL キャプチャを許可します。NME-NAM および SM-SRE、内部、外部、または両方に対応しています。1 NAM-NX1 上では、一度に 1 つのデータポートのみ選択できます。

[ERSPAN]:ローカル終端が推奨されます。

(注) 一部のプラットフォームでは、データポートの選択が一度に 1 つだけに制限される場合があります。ほとんどのプラットフォームでは、一度に両方のデータポートを選択できます。

[Storage Type]:[Memory]

オンにすると、キャプチャはメモリに格納されます。

このキャプチャの場合は、[Memory Size] に値を入力してください。1 からプラットフォームの最大値までの数値を入力します。システム メモリが少ない場合は、割り当てられる実際のセッション サイズが、ここで指定された数値よりも小さくなることがあります。

使用可能なメモリが、要求されたメモリよりも少ない場合は、NAM は要求されたメモリよりも少ないメモリを付与します。

[Wrap when Full] をオンにすると、連続キャプチャをイネーブルになります(セッションがいっぱいの場合は、新しい入力パケット用の空きを作成するために、古いパケット データが削除されます)。[Wrap when Full] がオフの場合は、データ量がセッション サイズに達すると、キャプチャは終了します。

[Storage Type]:[File(s)]

File Size (MB)

[File Size] の値を入力します(サイズは 1 MB から 2 GB です)。ディスク領域が使用できない場合、ディスクへのキャプチャ セッションを新たに開始することはできません。最大キャプチャ セッション サイズの詳細については、『 NAM Data Sheet 』を参照してください。

Number of Files

キャプチャに使用するファイルの数の値を入力します。最大値は、ファイルのサイズ、保存されるファイル数、およびこれらのファイルが保存される場所での利用可能なディスク領域の容量に基づいて決定されます。

Rotate Files

ダウンロード、デコード、および分析を即座に実行できる小さなファイルのセットをキャプチャする場合は、この機能を使用します。ファイルの回転を使用すると、記憶領域を自動的に維持できます。

ファイルを回転する場合は、[Rotate Files] チェックボックスをオンにします。リモート ストレージまたは NAM アプライアンスでのみ使用できます。リモート ストレージの設定については、「データ ストレージへのキャプチャ」を参照してください。

[Rotate Files] オプションを選択している場合に、ファイル数が最大数に達すると、最も古いファイルが上書きされます。たとえば、 [No. Files] を 10 に指定し、NAM がキャプチャ データをファイル CaptureA_10 に書き込んだ場合、次の書き込み時にはファイル CaptureA_1 が上書きされます。最近のキャプチャを判別するには、各ファイルのタイムスタンプをチェックします。

File Location

ファイルのデータ ストレージが使用できる場合、ドロップダウン リストでストレージ ターゲットの 1 つを選択します。ドロップダウン リストには、[Ready] の状態のターゲットだけが表示されます。

デフォルトはローカル ディスクですが、使用可能な場合、以前に設定したリモート ストレージの場所も選択できます。各オプションは、キャプチャ パケット ストレージに使用可能なディスク スペースの容量を示します。

ディスクにキャプチャする場合の、最大キャプチャ セッション サイズは、キャプチャ先の空き容量によって異なります。[[Capture] > [Data Storage] ページから、これらの場所を管理できます(「キャプチャ データ ストレージの利用」 を参照)。

1.Nexus 仮想ブレード(VB)にはデータ ポートがないので、このオプションは使用できません。

Prime NAM がサポートするハードウェア プラットフォームと、その最大セッション サイズのリストについては、を参照してください。これは、すべてのキャプチャ セッションの合計の最大キャプチャ メモリ バッファ サイズであり、個々のキャプチャ セッションの最大値ではありません。

 

複数のファイルにキャプチャする場合は、ファイル名に拡張子が追加されます。たとえば、キャプチャ名が CaptureA の最初のファイルは CaptureA_1、2 番めのファイルは CaptureA_2 といった具合にラベルが付けられます。

ステップ 4 [Submit] をクリックして、このセッションの設定を終了するか、このセッションのソフトウェア フィルタを設定します(次の項「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」を参照)。


 

ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング

関心のある情報以外のすべてのキャプチャ データを無視できる、特別なフィルタを作成し、保存することができます(図 5-2 を参照)。1 つのセッションに対し、複数のソフトウェア フィルタを設定できます(最大 6 つまで)。これにより、関心のあるトラフィックを絞り込むことができ、リソース(メモリまたはディスク領域)を節約できます。

NAM-3 および NAM-NX1 サービス モジュールでは、複数のソフトウェア フィルタでは「OR(論理和)」を使用します。つまり、パケットがいずれかのソフトウェア フィルタを通過すると、そのパケットはキャプチャされます。

セッションを作成し、開始すると、セッションを停止せずに編集または分析することができません。すでにキャプチャされたデータを含むセッションを編集すると、セッションがクリアされ、データが削除されることを示す警告が表示されます。警告を無視し、セッションにフィルタを追加し、送信した場合は、新しいフィルタ設定が使用されます。

プロトコル解析の一番上のレイヤ(通常は、ポートに基づき、レイヤ 4 プロトコル)をフィルタするには、アプリケーション フィルタを使用します。転送プロトコル(UDP、TCP など)をフィルタするには、[IP Protocol] セレクタを使用する必要があります。たとえば、[IP Protocol] セレクタで [TCP] を選択すると、TCP を使用するすべてのパケットがフィルタされます。


ヒント カプセル化でキャプチャ ソフトウェア フィルタリングを設定している場合は注意してください。ネットワーク トラフィックの上位 3 層に対してのみカプセル化でソフトウェア キャプチャ フィルタを設定した場合は、上位 3 層が、指定されたカプセル化タイプに一致する場合のみデータが表示されます。

ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリングに関するヘルプについては、次の項を参照してください。

「カスタマイズされたアプリケーション用のソフトウェア キャプチャ フィルタの作成」

「ソフトウェア キャプチャ フィルタの編集」

「ソフトウェア キャプチャ フィルタ オプションの理解」

カスタマイズされたアプリケーション用のソフトウェア キャプチャ フィルタの作成

多くの変数でソフトウェアのキャプチャ フィルタを作成できます。このワークフローは、特定のカスタマイズされたアプリケーション用のフィルタを作成する方法について調べます。

ソフトウェア キャプチャ フィルタを作成するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 [Configure Capture Sessio] ウィンドウの下半分に、設定されたソフトウェア フィルタが表示されます。新しいソフトウェア フィルタを作成するには、[Software Filters] エリアの下にある [Create] をクリックします。

ステップ 3 各フィールドに、適切な情報を入力します。フィールドの説明については、 表 5-4 を参照してください。

ステップ 4 [Submit] をクリックしてフィルタを作成するか、[Cancel] をクリックして、ソフトウェア フィルタを作成せずにダイアログボックスを閉じます。


 

ソフトウェア キャプチャ フィルタの編集

ソフトウェア キャプチャ フィルタを編集するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ページの下に [Software Filters] ボックスが表示されます。

ステップ 2 編集するフィルタを選択し、[Edit] をクリックします。

[Software Filter] ダイアログ ボックス(表 5-4 を参照)が表示されます。

ステップ 3 各フィールドに、適切な情報を入力します。

ステップ 4 次のどちらかを実行します。

変更内容を適用するには、[Submit] をクリックします。

変更をキャンセルするには、[Cancel] をクリックします。


 

ソフトウェア キャプチャ フィルタ オプションの理解

次のいずれかのオプションに基づいて絞り込むソフトウェア フィルタを定義できます。

送信元ホスト アドレス

宛先ホスト アドレス

ネットワーク カプセル化

VLAN または VLAN 範囲

アプリケーション

送信元ポートまたはポート範囲

宛先ポートまたはポート範囲

表 5-4 では、[Software Filter] ダイアログ ボックスのフィールドについて説明します。

フィルタのガイドライン

URL-based ソフトウェア フィルタリングを使用している場合:

分類のプライオリティを変更するには、セレクタが編集可能ではないため、フィルタを削除して再作成する必要があります。

URL-based アプリケーション フィルタは、過剰に使用された場合 CPU に影響する可能性があります。

 

表 5-4 [Software Filter] ダイアログ ボックス

フィールド
説明
使用方法
Name

新しいフィルタの名前を入力します。

Source Address /
Mask

パケットの送信元アドレス。

IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。

IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。例:

1080::8:800:200C:417A

::FFF:129.144.52.38

(注) 有効なテキスト表現については、RFC 2373 を参照してください。

MAC アドレスの場合は hh hh hh hh hh hh hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは
ff ff ff ff ff ff です。

送信元アドレスに適用されるマスク。

[Source Mask] のビットが 1 に設定されている場合、アドレス内の対応ビットは関連があります。

[Source Mask] のビットが 0 に設定されている場合、アドレス内の対応ビットは無視されます。

IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。

IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。IPv6 アドレスのデフォルト マスク(空白の場合)は ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff です。

(注) 有効なテキスト表現については、RFC 2373 を参照してください。

MAC アドレスの場合は hh hh hh hh hh hh hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは
ff ff ff ff ff ff です。

Destination Address / Mask

パケットの宛先アドレス。

IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。

IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。例:

1080::8:800:200C:417A

(注) 有効なテキスト表現については、RFC 2373 を参照してください。

MAC アドレスの場合は hh hh hh hh hh hh hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは
ff ff ff ff ff ff です。

宛先アドレスに適用されるマスク。

宛先マスクのビットが 1 に設定されている場合、アドレス内の対応ビットは関連があります。

宛先マスクのビットが 0 に設定されている場合、アドレス内の対応ビットは無視されます。

IP、IPIP4、GRE.IP、または GTP.IPv4 アドレスの場合は、有効な IPv4 アドレスをドットで 4 つつの数列形式、 n.n.n.n n は 0 ~ 255)で入力します。デフォルト(空白の場合)は 255.255.255.255 です。

IPv6 または GTP.IPv6 アドレスの場合は、有効な IPv6 アドレスを許可された任意の IPv6 アドレス形式で入力します。IPv6 アドレスのデフォルト マスク(空白の場合)は ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff です。

(注) 有効なテキスト表現については、RFC 2373 を参照してください。

MAC アドレスの場合は hh hh hh hh hh hh hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは
ff ff ff ff ff ff です。

Network Encapsulation

パケットと照合するプロトコル。

ドロップダウン リストからプロトコルを選択します。

パケットの送信元/宛先 MAC アドレスを使用するには、[MAC] を選択します。

パケットの送信元/宛先 IP アドレスを使用するには、[IP] を選択します。

IP プロトコル 4 経由でトンネルされるものを含む IP アドレスの場合は、[IPIP4] を選択します。

GRE 経由でトンネルされるものを含む IP アドレスの場合は、[GRE.IP] を選択します。

IP バージョン 6 を使用するアドレスの場合は、[IPv6] を選択します。

GTP 経由でトンネルされるパケットの IPv4 アドレスの場合は、[GTP IPv4] を選択します。

GTP 経由でトンネルされるパケットの IPv6 アドレスの場合は、[GTP IPv6] を選択します。

Both Directions(check box)

このチェックボックスでフィルタが双方向のトラフィックに適用されるかどうかを指定します。

送信元がホスト A で宛先がホスト B の場合、双方向をイネーブルにすると、A から B および B から A のパケットがフィルタリングされます。

送信元がホスト A で宛先が指定されていない場合、双方向をイネーブルにすると、ホスト A へのパケットとホスト A からのパケットの両方がフィルタリングされます。

[Both Directions] チェックボックスは、アドレスだけではなくポートにも影響します(論理は同じです)。

VLAN Identifier(s)

パケットが属する VLAN を指定する、12 ビットのフィールド。

VLAN 範囲を選択するか、1 ~ 4 つの個々の VLAN ID を入力します。

パフォーマンスを高めるには、できるだけ狭い範囲を使用してください。VLAN ID の範囲は、1 ~ 4095 です。

Application2

アプリケーションでフィルタするには、[Application] ドロップダウン リストを選択します。

[Application] ドロップダウン リストから、キャプチャするプロトコルを 1 つ選択します。

Port

ポートでフィルタするには、[Port] オプション ボタンを選択します。

[Source Port(s)] フィールドに、1 つ以上のポートをコンマ区切りで入力します。

[Destination Port(s)] フィールドに、1 つ以上のポートをコンマ区切りで入力します。

[IP Protocol] プルダウン メニューから、[TCP]、[UDP]、または [SCTP] を選択します。何も選択されていなければ(デフォルト)、すべて許容されることを意味します。

2.プロトコル解析の一番上のレイヤ(通常は、ポートに基づき、レイヤ 4 プロトコル)をフィルタするには、アプリケーション フィルタを使用します。転送プロトコル(UDP、TCP など)をフィルタするには、[IP Protocol] セレクタを使用する必要があります。たとえば、[IP Protocol] セレクタで [TCP] を選択すると、TCP を使用するすべてのパケットがフィルタされます。


) 上記の表で説明したパラメータは、NAM によって個別に評価されます。したがって、NAM では矛盾するパラメータを入力できますが、一致しなければ意味のある結果を得ることはできません。

たとえば、[Network Encapsulation] と [Source/Destination Address] パラメータは、個別に評価されています。ここで、[Network Encapsulation] には [IP4]、[Source Address] には IPv6 アドレスを入力するなど、矛盾するパラメータを持つフィルタが指定された場合は、どのトラフィックにも一致しないため、結果として、パケットはキャプチャされません。


ハードウェア フィルタのサポート

ハードウェア フィルタのサポートは、NAM によって異なります。

「NAM サービス モジュール ハードウェア フィルタの作成」

「その他の NAM ハードウェア フィルタの作成」

NAM サービス モジュール ハードウェア フィルタの作成

NAM-3 および NAM-NX1 のサービス モジュールには、固有のハードウェア フィルタ論理があります。これらのハードウェア フィルタでは、無関係のトラフィックを排除することにより、キャプチャのパフォーマンスを向上できます。これは、ハードウェア フィルタによって絞り込まれるパケットは、NAM によって処理されないからです。また、パケットの一部だけをキャプチャし、残りを破棄するよう NAM に指示できるため、ハードウェア フィルタを使用し、キャプチャ デコードにおいて特定のパケットを探すこともできます。

この項は、NAM-3 および NAM-NX1 のサービス モジュールにのみ適用できます。

ハードウェア フィルタのグローバル パケット スライスは、すべてのキャプチャ セッションに影響します。アーキテクチャの概念については、 NAM キャプチャ セッションの例図 5-2を参照してください。

Prime NAM では、最大 4 つのハードウェア フィルタをサポートできます。ハードウェア フィルタは、削除せずに無効にできます。

ハードウェア フィルタ論理には、AND(論理積)と OR(論理和)の 2 つのレベルがあります。各フィルタに対し、AND/OR 論理で条件を設定できます。同一フィルタでは、同じ論理タイプしか使用できません。また、同一フィルタ内では AND/OR 論理を混合させることはできません。また、フィルタを AND/OR 論理で組み合わせることもできます。使用できるフィルタ論理の例については、図 5-3 を参照してください。

図 5-3 ハードウェア フィルタ論理(AND/OR)

選択肢については、次の項で説明します。特定の結果を得る方法について詳しくは、「ハードウェア フィルタの設定の例」を参照してください。

ソフトウェア フィルタは、フィルタ処理に柔軟性を与えますが、最も効率的なのはハードウェア フィルタです。ソフトウェア フィルタを必要とするトラフィックが少なければ少ないほど、より効果的なフィルタ処理を行えます。

ハードウェア フィルタの設定と管理に関する情報については、次のトピックを参照してください。

「ハードウェア フィルタの作成」

「ハードウェア フィルタの設定値の設定」

「ハードウェア フィルタの設定の例」

[Capture] > [Packet Capture/Decode] > [Sessions] の順に選択すると、Cisco NAM で設定されたハードウェア フィルタのステータスと設定を表示できます。[Sessions] ページの下に [Hardware Filters] ボックスが表示されます。

ハードウェア フィルタの作成

[Hardware Filters] ウィンドウには、定義されたハードウェア フィルタのステータスと設定が表示されます。ハードウェア フィルタでキャプチャを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。ウィンドウの上半分には [Capture Sessions]、下半分には [Hardware Filters] が表示されます。

ステップ 2 ウィンドウ下部の [Hardware Filters] セクションで [Create] ボタンをクリックします。[Hardware Filter] ダイアログが開きます。

ステップ 3 [Name] フィールドにハードウェア フィルタの名前を入力します。

ステップ 4 [Enable] チェックボックスをオンにして、フィルタを有効にします。[Enable] チェックボックスがオフの状態でフィルタが作成されると、フィルタは保存されますが、アクティブ化されません。フィルタを編集し、[Enable] チェックボックスをオンにすると、後から有効にすることもできます。

ステップ 5 [AND] または [OR] オプション ボタンを選択します。ここでの選択は、次の手順で行うすべての選択にも適用されます(選択肢は 表 5-5 で説明します)。

ステップ 6 フィルタする属性のボックスをオンにし、対応するドロップダウン メニューから目的のオプションを選択します。すべてのチェックボックスをオンにするには、[Check All] チェックボックスをオンにします。 表 5-5 を参照してください。

 

表 5-5 [Create Hardware Filter] ダイアログ

属性
オプション
範囲
Data Ports

[Both Ports]、[Data Port 1]、[Data Port 2]

--

Frame Length

[Equal To]、[Not Equal To]、[Greater Than]、[Less Than]

Min.64、最大 65535

VLAN IDs

[Equal To]、[Not Equal To]、[Greater Than]、[Less Than]

Min.1、最大 4095

MPLS Label

[Equal To]、[Not Equal To]

Min.0、最大 1048575

Source Address / Mask

[Equal To]、[Not Equal To]

IPv4 アドレス

Destination Address / Mask

[Equal To]、[Not Equal To]

IPv4 アドレス

L4 Protocol

[Equal To]、[Not Equal To]

[ICMP]、[IGMP]、[IP in IP]、[GRE]、[L2Tp]、[TCP]、[UDP]、[Integer]

[Custom] には、一般的なプロトコルのリストにはない、ユーザ設定値を入力できます。最小 1、最大 255 を入力します。

L4 Source Port

[Equal To]、[Not Equal To]

Min.1、最大 65535

L4 Destination Port

[Equal To]、[Not Equal To]

Min.1、最大 65535

Pattern Match

最初の 256 バイト中の任意の場所で、4 バイトの 16 進数パターンに基づくパケットをフィルタします。

[Equal To]、[Not Equal To]

ステップ 7 次のそれぞれを行うには、以下の各ボタンをクリックします。

ハードウェア フィルタの設定を完了するには [Apply]

中断し、前のウィンドウに戻るには [Cancel]

前の設定に戻すには [Reset]


 

ハードウェア フィルタの設定値の設定

[Hardware Filter Settings] では、すべてのキャプチャ ハードウェア フィルタに対するグローバル設定を指定します。

すべてのハードウェア フィルタに適用される設定を追加するには、次の手順に従います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 下の [Hardware Filters] セクションで、[Hardware Filter Settings] ボタンをクリックします。

ステップ 3 すべてのハードウェア フィルタに設定される、[AND] または [OR] 組み合わせ論理を選択します。この論理は、フィルタを組み合わせるために使用されます。図 5-3 の緑色のテキストを参照してください。

ステップ 4 [Include in capture] または [Exclude from capture] パケット照合論理を選択します。この選択肢は、設定されたすべてのハードウェア フィルタに適用されます。

[Exclude from capture] は、設定されたすべてのハードウェア フィルタに一致するパケットを破棄します。一方で、一致しないパケットはすべてキャプチャされます。

ステップ 5 [Apply] をクリックします。


 

ハードウェア フィルタの設定の例

次のネットワーク トラフィックを設定するには、これらのトピックを使用します。

「IP サブユニット + L4 ポート(アプリケーション)」

「VLAN + L4 プロトコル」

「複数ホスト」

「VLAN の範囲」

「データ ポート + フレーム長」

「MPLS」

IP サブユニット + L4 ポート(アプリケーション)

10.1.1.0/24 サブユニットからのすべての HTTP トラフィックをキャプチャするには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します(つまり、以下の選択肢が組み合わせられます)。

ステップ 4 [Source IP Address] チェックボックスをオンにし、サブネット「10.1.1.0/24」を入力します。

ステップ 5 [L4 Source Port] チェックボックスをオンにし、HTTP ポート「80」を入力します。

ステップ 6 [Apply] をクリックします。


 

反対方向の HTTP 通信を見るには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [Destination IP Address] を選択し、前と同じサブネット「10.1.1.0/24」を入力します。

ステップ 5 [L4 Destination Port] を選択し、同じポート番号「80」を入力します。

ステップ 6 [Apply] をクリックします。

ステップ 7 着信と発信を表示するには、[Hardware Filter Settings] をクリックし、[OR] 論理を選択します。これにより、2 つのハードウェア フィルタが OR 論理で組み合わせられます。


 

VLAN + L4 プロトコル

VLAN 100 からのすべての TCP トラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [VLAN] を選択し、VLAN「100」を入力します。

ステップ 5 [L4 Protocol] を選択し、[TCP] を選択します。

ステップ 6 [Apply] をクリックします。


 

複数ホスト

複数のホスト(1.1.1.1、2.2.2.2...)間で送受信されるトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [OR] オプション ボタンを選択します。

ステップ 4 [Source IP Address] チェックボックスをオンにし、1 つめのホスト「1.1.1.1」を入力します。

ステップ 5 [Destination IP Address] チェックボックスをオンにし、同じホスト「1.1.1.1」を入力します。

ステップ 6 [Apply] をクリックします。

ステップ 7 [Create] をクリックし、2 つめのハードウェア フィルタを作成します。

ステップ 8 [Name] フィールドにハードウェア フィルタの名前を入力します。

ステップ 9 論理 [OR] オプション ボタンを選択します。

ステップ 10 [Source IP Address] チェックボックスをオンにし、2 つめのホスト「2.2.2.2」を入力します。

ステップ 11 [Destination IP Address] チェックボックスをオンにし、2 つめのホスト「2.2.2.2」を入力します。

ステップ 12 [Apply] をクリックします。

ステップ 13 必要であれば、3 つめ、4 つめのホストに対して ステップ 7 から ステップ 12 を繰り返します。

ステップ 14 [Hardware Filter Settings] をクリックし、論理 [OR] オプション ボタンを選択します。


 

VLAN の範囲

VLAN 10 から 20 のすべてのトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 [VLAN IDs] チェックボックスをオンにし、ドロップダウン メニューから [Greater Than] を選択します。

ステップ 4 空白のフィールドに、VLAN 範囲の下限である「9」を入力します。

ステップ 5 [Apply] をクリックします。

ステップ 6 [Create] をクリックし、2 つめのフィルタを作成します。

ステップ 7 [Name] フィールドに名前を入力します。

ステップ 8 [VLAN IDs] チェックボックスをオンにし、ドロップダウン メニューから [Less Than] を選択します。

ステップ 9 空白のフィールドに、VLAN 範囲の下限である「21」を入力します。

ステップ 10 [Apply] をクリックします。

ステップ 11 [ Hardware Filter Settings ] をクリックして [AND] オプション ボタンを選択します。これにより、すべてのハードウェア フィルタの論理が組み合わせられます。


 

データ ポート + フレーム長

200 バイト以下の DATA PORT 1 にスパンされたすべてのトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [Data Port] ドロップダウン リストから [DATA PORT 1] を選択します。

ステップ 5 [Frame Length] チェックボックスをオンにし、ドロップダウン メニューから [Less Than] を選択します。

ステップ 6 空白のフィールドに、フレーム長の上限である「200」を入力します。

ステップ 7 [Apply] をクリックします。


 

MPLS

最初の MPLS ラベルが 300 のトラフィックを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 [MPLS Label] チェックボックスをオンにします。

ステップ 4 空白のフィールドに、ラベル「300」を入力します。

ステップ 5 [Apply] をクリックします。


 

双方向通信

ホスト 1.1.1.1 と 2.2.2.2 間の双方向の通信を表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。

ステップ 2 [Name] フィールドに名前を入力します。

ステップ 3 論理 [AND] オプション ボタンを選択します。

ステップ 4 [Source IP Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、1 つめのホスト「1.1.1.1」を入力します。

ステップ 5 [Destination Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「2.2.2.2」を入力します。

ステップ 6 [Apply] をクリックします。

ステップ 7 [Create] をクリックし、2 つめのハードウェア フィルタを作成します。

ステップ 8 [Name] フィールドにハードウェア フィルタの名前を入力します。

ステップ 9 論理 [AND] オプション ボタンを選択します。

ステップ 10 [Source IP Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「2.2.2.2」を入力します。

ステップ 11 [Destination Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「1.1.1.1」を入力します。

ステップ 12 [Apply] をクリックします。

ステップ 13 [Hardware Filter Settings] ボタンをクリックし、[OR] オプション ボタンを選択します。

ステップ 14 [Apply] をクリックします。


 

ネガティブ フィルタ論理

前の例では、パケットに照合するフィルタを設定しました。ネガティブ フィルタ論理では、これらをブロックします。

前の例の通信以外のすべてを表示するには、次の手順に従います。


ステップ 1 [Hardware Filters] ウィンドウで [Hardware Filter Settings] ボタンをクリックします。

ステップ 2 [Packet Match Logic] では [Exclude from capture] オプション ボタンを選択します。

ステップ 3 [Apply] をクリックします。


 

キャプチャ セッションのソフトウェア フィルタを設定する方法については、次の項「ソフトウェア フィルタを使用したネットワーク トラフィックのフィルタリング」を参照してください。

その他の NAM ハードウェア フィルタの作成

ハードウェア フィルタを使用すると、無関係のフィルタをできるだけ多く排除する、ハードウェア固有のフィルタを提供することにより、キャプチャのパフォーマンスを向上できます。ハードウェア フィルタによってフィルタされたパケットは NAM によって処理されないため、キャプチャのパフォーマンスも高くなります。この項は、NAM サービス モジュールを除くすべての NAM プラットフォームに適用できます。詳細については、「NAM サービス モジュール ハードウェア フィルタの作成」を参照してください。

ソフトウェア フィルタは、フィルタ処理に柔軟性を与えますが、キャプチャ セッションの効率性は、ハードウェア フィルタだけを使用した場合に最も高くなります。ソフトウェア フィルタを必要とするトラフィックが少なければ少ないほど、より効果的なフィルタ処理を行えます。

詳しくは、「ハードウェア フィルタの設定」を参照してください。

ハードウェア フィルタの設定

[Hardware Filters] ウィンドウは、[Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウの下に表示されます。ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 ウィンドウの下の、[Hardware Filters] セクションで [Create] ボタンをクリックします。

ステップ 3 [Name] フィールドに名前を入力します。

ステップ 4 [Type] ドロップダウン リストから次のいずれかのタイプを選択します。

VLAN

VLAN および IP

IP

IP および TCP/UDP

IP およびペイロード データ

ペイロード データ

ステップ 5 選択したハードウェア フィルタのタイプに対応する、データ フィールドが表示されます。目的のフィールドを入力します。詳細については、次の項を参照してください。

ステップ 6 キャプチャ セッションの設定を完了するには、[Submit] をクリックします。それ以外の場合は、[Reset] をクリックして前の設定に戻すか、[Cancel] をクリックして中断します。


 

VLAN

VLAN ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから [VLAN] を選択します。

ステップ 3 [Range] または [Individuals] オプション ボタンを選択します。[Range] の場合は、VLAN の範囲を入力します。[Individuals] の場合は、個別の VLAN を最大で 4 つまで入力します。

ステップ 4 [Submit] をクリックします。`


 

VLAN および IP

VLAN および IP ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから [VLAN and IP] を選択します。

ステップ 3 目的の VLAN の ID を入力します。VLAN ID の範囲は、1 ~ 4095 です。

ステップ 4 [Source Address / Mask] に入力します(オプション)。

ステップ 5 [Destination Address / Mask] に入力します(オプション)。

ステップ 6 [Layer 4 Protocol] を選択します(オプション)。

ステップ 7 [Submit] をクリックします。`


 

IP

IP ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[IP] を選択します。

ステップ 3 [Source Address / Mask] に入力します(オプション)。

ステップ 4 [Destination Address / Mask] に入力します(オプション)。

ステップ 5 [Layer 4 IP Protocol] を選択します(オプション)。

ステップ 6 [Submit] をクリックします。`


 

IP および TCP/UDP

IP および TCP/UDP ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[IP and TCP/UDP] を選択します。

ステップ 3 [Source Address / Mask] に入力します(オプション)。

ステップ 4 [Destination Address / Mask] に入力します(オプション)。

ステップ 5 [IP Protocol] で [TCP] または [UDP] を選択します。

ステップ 6 [TCP/UDP Source Port] に入力します(オプション)。

ステップ 7 [TCP/UDP Destination Port] に入力します(オプション)。

ステップ 8 [Submit] をクリックします。`


 

IP およびペイロード データ

IP およびペイロード データ ハードウェア フィルタを設定するには、次の操作を行います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[IP and Payload Data] を選択します。

ステップ 3 [Source Address / Mask] に入力します(オプション)。

ステップ 4 [Destination Address / Mask] に入力します(オプション)。

ステップ 5 [IP Protocol] で [TCP] または [UDP] を選択します。

ステップ 6 [Payload Data] の値を入力します。

[Offset] に 1 ~ 1023 の値を入力します。オフセットは、ペイロードの始めに相対的な値です(レイヤ 5)。

[Value] に最大 4 バイトの値を入力します(8 つの 16 進数)。

[Mask] に最大 4 バイトの値を入力します(8 つの 16 進数)。

ステップ 7 最大 4 つのペイロード データ セグメントに対し、ステップ 6 を繰り返します。


) 必要なのは、1 つのペイロード セグメント(1 行)だけです。ペイロード セグメントが重複しないよう注意してください。重複するセグメントに異なる値がある場合は、固有の論理積により、フィルタは何にも一致しなくなります。


ステップ 8 [Submit] をクリックします。`


 

ペイロード データ

ペイロード データ ハードウェア フィルタを設定するには、次の手順に従います。


ステップ 1 フィルタ名を入力します。

ステップ 2 [Type] ドロップダウン メニューから、[Payload Data] を選択します。

ステップ 3 [IP Protocol] で [TCP] または [UDP] を選択します。

ステップ 4 [Payload Data] の値を入力します。

[Offset] に 1 ~ 1023 の値を入力します。オフセットは、ペイロードの始めに相対的な値です(レイヤ 5)。

[Value] に最大 4 バイトの値を入力します(8 つの 16 進数)。

[Mask] に最大 4 バイトの値を入力します(8 つの 16 進数)。

ステップ 5 最大 4 つのペイロード データ セグメントに対し、ステップ 4 を繰り返します。


) 必要なのは、1 つのペイロード セグメント(1 行)だけです。ペイロード セグメントが重複しないよう注意してください。重複するセグメントに異なる値がある場合は、固有の論理積により、フィルタは何にも一致しなくなります。


ステップ 6 [Submit] をクリックします。`


 

キャプチャ ファイルの取り扱い

保存済みのパケット キャプチャ ファイルをデコード、ダウンロード、名前変更、変換/マージ、削除、分析、またはエラースキャンするには、[Files] オプションを使用します。

この項では、次のトピックについて取り上げます。

「セッション ファイルの理解」

「キャプチャ ファイルの分析」

「キャプチャ ファイルのダウンロード」

「キャプチャ ファイルの削除」

「複数のキャプチャ ファイルの削除」

セッション ファイルの理解

Cisco NAM が保存済みのパケット データを使用してキャプチャ ファイルを作成する方法を理解するには、NAM がキャプチャ セッションのトリガーをどのように処理するかについて理解することが重要です。同じストレージ ターゲット上にすでに実行されている既存のキャプチャ セッションが存在する場合、これは矛盾するアラーム トリガーが存在することを意味します。アラーム トリガーは、パケット データの収集を開始するためのアラームしきい値を設定するときに作成されます。各アラームには重要度オプションがあります。

優先されるセッションを決定するために、NAM は次の階層を使用します。

1. 最高重大度のアラーム

2. 最低重大度のアラーム

3. スケジュールされたアラーム:セッションを作成し、新しいフィールドを使用してキャプチャを実行する時間と期間を指定します。

4. 手動アラーム:[Capture] メニュー オプションを使用するか、または [Start capture] ボタンをクリックして、キャプチャを開始します。

たとえば、手動で開始したキャプチャ セッションがローカル ディスクにデータを保存中であり、スケジュールされたキャプチャが同じローカル ディスクへのキャプチャを開始するように設定されている場合、NAM はスケジュールされたセッションが開始する前に手動セッションを停止します。

キャプチャ セッションをファイルに保存する方法については、「キャプチャ セッションの作成および管理」 および 表 5-2 を参照してください。ファイルは、.enc または .pcap ファイル形式でダウンロードされます。ダウンロード ファイル形式の設定については、 を参照してください。


注意 状態が Full のキャプチャ ファイルがあり、NAM がリブートされると、キャプチャは再度トリガされるので、これらのファイルは新規キャプチャによって上書きされることがあります。ファイルを保持しておくには、リブートする前にファイルを保存してください。

[Capture Files] には、次の情報が含まれます。

Name:

Size:

Date:

State:

Location:

一部の Cisco NAM プラットフォーム上では、NAM により xxx.pcap ファイルが作成されます。ダウンロード ボタンをクリックすると、ダウンロード操作を許可したかキャンセルしたかにかかわらず、xxx.pcap ファイルが作成されます(ダウンロード ボタンがクリックされると、xxx.pcap ファイルが作成されます)。アプライアンスを使用している 1 つのキャプチャのファイル数が、別の NAM プラットフォームからのキャプチャよりも 1 つ多くなるのは、このためです。

 

表 5-6 [Capture Files Operations] ウィンドウのボタン

操作
説明
Decode

ファイルのパケットを表示します。

Download

ファイルを .enc または .pcap 形式でコンピュータに保存します。


) ファイル名を入力する場合は、ファイル拡張子を付加しないでください。拡張子 .pcap は自動的に付加されます。



) .capture から .pcap への変換は、キャプチャ ファイルをダウンロードすると行われます。終了したら、.pcap ファイルを手動で削除する必要があります。


Rename

ファイルの名前を変更します。ダイアログ ボックスが表示され、選択されたキャプチャ ファイルに対して新しい名前を入力するよう求められます。

Merge または Convert/Merge

ファイルのパケットがマージされます(古い順)。ダイアログ ボックスが表示され、マージされたキャプチャ ファイルに対して新しい名前を入力するよう求められます。マージされたキャプチャ ファイルの名前を入力し、[OK] を選択します。


) マージされたファイルは、2 GB を超えることはできません。


一部の Cisco NAM プラットフォームでは、このボタンは [Convert/Merge] と呼ばれます。このボタンを使用すると、.capture ファイルを .pcap ファイルに変換できるので、そのファイルに対して [Error Scan] および [Analyze] 機能を実行できます。そうしなければ、アプライアンスに表示のみされる.capture ファイルに対し、[Analyze] および [Error Scan] 機能を実行できません。

Delete

ファイルを削除します。

Analyze

選択されたキャプチャの統計分析を表示します。「キャプチャ ファイルの分析」を参照してください。

Errors Scan

ファイルに関する詳細を表示します([Packed ID]、[Protocol]、[Severity]、[Group]、および [Description])。ここから、パケットをデコードすることもできます。詳細については、「パケット エラーの詳細へのドリルダウン」を参照してください。


) Cisco NAM アプライアンスのキャプチャ ファイルは、NAM のネイティブ形式で保存されます。[Capture] > [Packet Capture/Decode] > [Files] ウィンドウの [Convert/Rename/Merge] ボタンを使用すると、キャプチャ ファイル形式を .pcap に変換することができます。


キャプチャ ファイルの分析

[Capture Files] ウィンドウ([Capture] > [Packet Capture/Decode] > [Files])では、キャプチャ期間のトラフィック レート(バイト/秒)、ネットワーク トラフィックに関連付けられたホスト、通信、およびアプリケーションのリストを含むさまざまな統計情報を取得できます。

このウィンドウでは、特定のネットワーク トラフィック セットのより詳細な表示にドリル ダウンすることもできます。[Traffic over Time] グラフの上のペインでは、[From:] および [To:] フィールドにグラフに示されている時間が表示されます。また、[Protocol] フィールド、[Host/subnet] フィールド、および [Drill-Down] ボタンもあります。


) トラフィックの送信元ホストまたは宛先ホストが、指定されたホスト/サブネットに属する場合は、[Drill-Down] ボタンをクリックすると、[Host Statistics] 結果テーブルには送信元ホストと宛先ホストがどちらも表示されます。


[Traffic over Time] グラフの各スライスには、キャプチャ ファイルの [Granularity] に設定された一定時間のトラフィック量が表示されます。

[From:] および [To:] フィールドに時間を入力し、[Drill-Down] をクリックすると、特定の時間に関するより詳細な情報を表示できます。また、特定の [Protocol] または [Host/subnet] アドレスについてドリルダウンすることもできます。

表 5-7 に、[Capture Analysis] ウィンドウのさまざまな領域を示します。

 

表 5-7 [Capture Analysis] ウィンドウのフィールド

フィールド
説明
Capture Overview

キャプチャされたパケット数、キャプチャされたバイト数、平均パケット サイズ、キャプチャの開始時間、キャプチャ期間、データ転送レート(バイト/秒とビット/秒の両方)を含む、表示されたキャプチャの要約を示します。

Traffic over Time

ネットワーク トラフィックのグラフィック イメージ(KB/秒)を表示します。

Protocol Statistics

プロトコルごとに、転送されたパケット数とバイト数を表示します。

Hosts Statistics

ホストごとに、転送されたパケット数とバイト数を表示します。

キャプチャ デコード機能を使用して、次の操作を実行できます。

パケット ヒストグラム:パケット数を時系列で表示します。これは、キャプチャでのパケット フローのフィールを提供します。ヒストグラム セレクタ制御を使用して、パケット リスト内を移動することもできます。適用したフィルタに一致するパケットの分布をヒストグラムに表示するには、表示フィルタを適用できます。

レイアウトの切り替え:デコーダの 3 つのコンテンツ ペインの配置方法を変更します。

プロトコルの色:特定のプロトコル パケットの色を有効または無効にします。

16 進数データのフォント サイズ:デコーダの 16 進数データのコンテンツ ペインの右上隅の上にマウスのカーソルを合わせると、2 つのボタンが表示されます。コンテンツのフォント サイズを増減できます。

パケット範囲ボタン:パケット リスト内のパケットの現在の範囲を表示し、表示するパケットの範囲を入力できます。

表示フィルタ メニュー:[Saved Display Filters] および [Manage Display Filters] ウィンドウを表示します。

パケット エラーの詳細へのドリルダウン


) この機能は、.pcap ファイルでは使用できますが、.capture ファイルでは使用できません。


Prime NAM で使用可能なパケット データの復号化を表示して、パケット エラーの詳細をさらに調査するか、それにドリルダウンすることができます。

[Capture Errors and Warnings Information] ウィンドウは、警告とエラー、および不正パケットに関する情報を表示します。このウィンドウから、パケットの詳細にドリルダウンできる [Packet Decode] ウィンドウを開くことができます。

[Capture Errors] および [Warnings Information] ウィンドウを表示するには、[Capture] > [Packet Capture/Decode] > [Files] の順に選択します。ファイルを強調表示し、[Errors Scan] ボタンをクリックします。[Error Scan] ウィンドウが表示されます。フィールドを 表 5-8 に示します。次に、行を選択し、[Decode Packets] ボタンをクリックして、パケットの詳細を選択します。

 

表 5-8 [Error Scan] ウィンドウの説明

フィールド
説明
Packet ID

キャプチャ ファイルのパケットの ID。

Protocol

パケットの到着時のプロトコル。

Severity

[Warn]:警告(アプリケーションが異常なエラー コードを返したなど)

[Error]:重大な問題(不規則なパケットなど)

Group

[Checksum]:チェックサムが無効

[Sequence]:プロトコル シーケンスに問題がある

[Response Code]:アプリケーションの応答コードに問題がある

[Request Code]:アプリケーション要求

[Undecoded]:ディセクタが未完了、またはデータをデコードできない

[Reassemble]:再アセンブル中に問題が発生した

[Malformed]:パケットが不正な形式か、ディセクタにバグがあるか、このパケットの解剖が中断した

Description

エラーまたは警告の説明

 

キャプチャ ファイルのダウンロード

一度に 1 つのキャプチャ ファイルしかダウンロードできません。キャプチャ ファイルをコンピュータにダウンロードするには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。

ステップ 2 キャプチャのリストからキャプチャ ファイルを選択します。

ステップ 3 [Download] をクリックします。

[File Download] ダイアログ ボックスが表示され、「Do you want to save this file?」という、ファイルの保存を確認するメッセージが表示されます。

ステップ 4 [Save] をクリックします。

[Save As] ダイアログ ボックスが開きます。ここで、ファイルの名前を変更し、選択した場所にそのファイルを保存できます。


 

キャプチャ ファイルの削除

キャプチャ ファイルを削除するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。

ステップ 2 チェックボックスをオンにし、キャプチャのリストからキャプチャ ファイルをします。必要であれば、1 つ以上のキャプチャ ファイルを選択することもできます。

ステップ 3 [Delete] をクリックします。ダイアログ ボックスが表示され、「Delete the following file(s)?」という、ファイルの削除を確認するメッセージとファイル名が表示されます。

ステップ 4 ファイルを削除するには [OK] をクリックします。または、ファイルをそのまま残すには [Cancel] をクリックします。


 

複数のキャプチャ ファイルの削除

一度にすべてのキャプチャ ファイルを削除するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。

ステップ 2 少なくとも 1 つのチェックボックスをオンにし、キャプチャを選択します。

ステップ 3 [Delete All] をクリックして、すべてのキャプチャを削除します。

ダイアログ ボックスが表示され、「Are you sure you want to delete all files?」という、すべてのキャプチャ ファイルの削除を確認するメッセージが表示されます。

ステップ 4 すべてのファイルを削除するには [OK] をクリックします。または、ファイルをそのまま残すには [Cancel] をクリックします。


 

キャプチャ データ ストレージの利用

すべてのプラットフォームの Cisco Prime ネットワーク解析モジュール(NAM) では、外部ストレージ接続を提供しているので、より長いキャプチャ期間と、より高いキャプチャ帯域幅に対応できます。すべてのプラットフォームで iSCSI データ ストレージがサポートされています。この項の内容は、次のとおりです。

「データ ストレージへのキャプチャ」

「データ ストレージの回復」

図 5-4 外部ストレージの設定

 

外部ストレージのインストールと設定の手順については、Cisco.com で提供されている、プラットフォームのガイドまたは『 Cisco NAM Documentation Overview 』の関連資料を参照してください。

データ ストレージへのキャプチャ

Prime NAM では、[Capture] > [Packet Capture/Decode] > [Data Storage] を使用して外部ストレージ管理を行います。このウィンドウには、検出されたストレージ デバイス(使用可能な場合は内蔵のハード ドライブも含む)がリストされます。

このリリースでは、最大で 32 の外部データ ストレージ ターゲット(論理ユニット番号または LUN の合計)をサポートしています。

ターゲットごとに複数のキャプチャ セッションを作成できます。ストレージ ターゲット(ファイルの場所)ごとに一度に 1 つのキャプチャが許可されます。さらにメモリへのセッションを複数持つことがきます。

このトピックの内容は、次のとおりです。

「LUN の準備」

「LUN の使用方法」

「ファイルのデコード」

「外部ストレージ LUN のログインおよびログアウト」

「外部ストレージの接続と切断」

LUN の準備

一部のアレイには複数のストレージ コントローラ モジュールが付属しており、多くの場合は、モジュールの所有権を各 LUN(論理ユニット番号)にマッピングする必要があります。これは、一般的なセキュリティ機能です。NAM がストレージ アレイ LUN にアクセスできるかどうかを確認するには、[Capture] > [Packet Capture/Decode] > [Data Storage] の順に選択します。

NAM によって使用されていない新しい LUN のステータスは [Unformatted] になります。これらの LUN をキャプチャで使用できるよう準備するには、LUN を選択し、[Format] ボタンをクリックします。数分後、ステータスは [Ready] に変わります。

LUN にユーザ ラベルを適用すると、区別しやすくなります。LUN にラベルを付けるには、[Label] ボタンをクリックします。[Label] ダイアログに、現在のラベルと、LUN が最後にフォーマットされた日時に関する情報が表示されます。

LUN の使用方法

キャプチャ セッションで LUN を使用するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ステップ 2 [Capture Sessions] テーブルの下の [Create] ボタンをクリックします。

ステップ 3 セッションを作成するために適切なフィールドに入力し、[Storage Type] では [Files] オプションを選択します。

ステップ 4 [File Location] テーブルを使用し、目的の LUN を選択します。各リスト項目には、プロトコルと、モデルまたはユーザ ラベル(設定されている場合)が含まれます。リストには、[Ready] 状態のターゲットのみが表示されるので注意してください。

ステップ 5 [Submit] をクリックしてセッションを作成するか、[Cancel] をクリックして前のウィンドウに戻ります。


 

セッションが 開始 されると、関連する LUN 状態が 使用中 に変化します。その時点で、他のセッションは、そのセッションが削除されるまでその LUN を使用することはできません。これにより、競合、破損データ、および書き込み帯域幅の劣化を防ぐことができます。

ファイルのデコード

NAM 上のローカル サーバのディスクをいっぱいに満たさないようにするために、ファイルを外部ストレージにキャプチャできます。外部ストレージは大容量、高速の読み取り/書き込みを提供でき、ある Cisco NAM から別の NAM に移動できます。ファイルは、内部の [Capture] > [Packet/Capture Decode] > [Files] ページと同じ方法でデコードされます。

このページには、対象となる LUN を選択するためのテーブルがあります。ファイルのテーブルには、その LUN のすべてのキャプチャ ファイルが表示されます。

外部ストレージ LUN のログインおよびログアウト

イントラネット上のデータ転送を容易にし、リモート キャプチャ データ ストレージを管理するために iSCSI を使用できます。

Prime NAM では、データ ストレージ ターゲットに対してログインおよびログアウトするより簡素化されたワークフローを提供します。キャプチャ セッションをリモート ストレージに保存するには、iSCSI にログインする必要があります。ログインしない場合、キャプチャ セッションはローカル ディスクまたはメモリ位置に保存されます。

利用可能なリモート データ ストレージ LUN に対してログインまたはログアウトするには、次の手順を実行します。


ステップ 1 ストレージ アレイの少なくとも 1 つの LUN に対して NAM の読み取り/書き込み権限でターゲット iSCSI システムを設定したことを確認します。詳細については、「データ ストレージへのキャプチャ」を参照してください。

ステップ 2 [Capture] > [Packet Capture/Decode] > [Data Storage] の順に選択し、[iSCSI Login] をクリックします。

ステップ 3 iSCSI 修飾名(IQN)の自動検出を有効にするには、ストレージの場所のターゲットの IP アドレスを入力し、[Search IQN Targets] をクリックします。

その場所で使用可能なすべての IQN がテーブルに表示されます。

ステップ 4 ログアウトするには、[iSCSI Logout] をクリックします。現在ログインしている IQN のリストがテーブルに表示されます。

ステップ 5 ログアウトを行う LUN を表示するには、IQN の 1 つを選択します。そうすると、ポップアップに選択対象の関連 LUN が表示されます。


.

外部ストレージの接続と切断

外部ストレージ デバイスを物理的に切断する前に、[Capture] > [Packet Capture/Decode] > [Storage] の [Unmount] ボタンを使用することを推奨します。これにより、デバイスが切断されることが Cisco NAM に通知され、Cisco NAM は重要なクリーンアップ手順を実行します。その後、ストレージ先は、ステータス列に [Unmounted] と表示され、外部ストレージ デバイスを安全に切断できるようになります。Cisco NAM の電源がオフになると、外部ストレージはこのようにして自動的にアンマウントされます。


注意 この手順がスキップされると、物理的に切断されたときに、ストレージ データが破損する可能性があります。

デバイスが、[Unmount] ボタンを使用して論理的に切断されたが、ストレージが物理的に接続されたままの場合は、[Mount] ボタンを使用して再アクティブ化できます。これにより、ストレージ先の以前の状態が復元されます。この操作では、ストレージを物理的に切断し、再接続する必要がないので、ストレージが自分から離れた場所にある場合に特に便利です。

データ ストレージの回復

以前は動作していたターゲットが [Unformatted] として表示された場合は、CLI を使用してファイルシステム チェックを行います。プロトコルがわかっている場合は、コマンド remote-storage <protocol> fsck <storage ID> を使用します。ストレージ ID は、 remote-storage <protocol> list を実行すると検索できます。ファイルシステム チェックにより、ファイルシステムの破損や状態に関する問題が解決されることもあります。コマンドが成功すると、ストレージが自動的にマウントされ、[Ready] として表示されます。

次に、iSCSI の回復例を示します。

root@nam.cisco.com# remote-storage iscsi list
Storage ID: 16
Label:
Status: Unformatted
Protocol: ISCSI
Target IP: 172.20.122.81
Target IQN: iqn.2011-09:celeros.target11
Model: IET VIRTUAL-DISK
LUN: 4
Capacity: 24.98GB
Available: 24.98GB
 
Storage ID: 15
Label: target 16
Status: In Use
Protocol: ISCSI
Target IP: 172.20.122.81
Target IQN: iqn.2011-09:celeros.target16
Model: IET VIRTUAL-DISK
LUN: 5
Capacity: 24.98GB
Available: 16.47GB
 
Active iSCSI Sessions:
tcp: [8] 172.20.122.81:3260,1 iqn.2011-09:celeros.target11
tcp: [7] 172.20.122.81:3260,1 iqn.2011-09:celeros.target16
 
root@nam.cisco.com# remote-storage iscsi fsck 16
FS check completed successfully.
root@nam.cisco.com# remote-storage iscsi list
Storage ID: 16
Label:
Status: Ready
Protocol: ISCSI
Target IP: 172.20.122.81
Target IQN: iqn.2011-09:celeros.target11
Model: IET VIRTUAL-DISK
LUN: 4
Capacity: 24.98GB
Available: 9.87GB
 
Storage ID: 15
Label: target 16
Status: In Use
Protocol: ISCSI
Target IP: 172.20.122.81
Target IQN: iqn.2011-09:celeros.target16
Model: IET VIRTUAL-DISK
LUN: 5
Capacity: 24.98GB
Available: 16.47GB
 
Active iSCSI Sessions:
tcp: [8] 172.20.122.81:3260,1 iqn.2011-09:celeros.target11
tcp: [7] 172.20.122.81:3260,1 iqn.2011-09:celeros.target16

疑いのあるトラフィックのパケット デコード情報の検査

パケットまたはファイルをいくつかキャプチャした後、Packet Decoder を使用してパケットの内容を表示し、疑いのあるトラフィックを検査できます。

ここでは、次の作業について説明します。

「Packet Decoder でのパケットの表示」

「Packet Decoder に表示されるパケットのフィルタリング」

「詳細なプロトコル デコード情報の表示」

「[Packet Decoder] ウィンドウおよび [Browser] ペインの理解」

Packet Decoder でのパケットの表示

パケット ブラウザを使用して、キャプチャしたパケットのリストを表示したり、次のことを実行したりできます。

プロトコル、IP アドレス、MAC アドレスでフィルタリングするほか、[Display Filter] 入力フィールドにフィルタを手動で入力します。

[Next]、[Previous]、および [Go To] ボタンを使用したキャプチャ セッションからのパケットのロード

パケット数を時系列で表示します。これは、パケット ヒストグラムと呼ばれます。パケット キャプチャ フローの図表を提供し、パケット リストを参照することができます。フィルタに一致するパケットのみの分布を表示するために、フィルタを適用できます。

デコーダ ペインのレイアウト設定を変更します。

特定のプロトコルの色を有効または無効にして、視覚的により簡単に追跡できるようにします。

16 進数データ ペインのフォント サイズを変更します。オプションを表示するには、ペインの右上隅の上にマウス カーソルを置きます。

[Packet Range] ボタンを使用して、パケット リスト内のパケットの現在の範囲を表示します。

あとで使用できるようフィルタを保存します。必要に応じて、既存のフィルタを編集または削除もできます。


) これらの機能を使用するには、キャプチャを一時停止または停止する必要があります。


疑いのあるトラフィックのパケット デコード情報を検査するには、次の手順を実行します。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Sessions] または [Capture] > [Packet Capture/Decode] > [Files] の順に選択します(デコードするタイプに基づく)。

ステップ 2 キャプチャ セッションまたはファイルを選択し、[Decode] ボタンをクリックします。[Packet Decoder] ウィンドウが表示されます。テーブルの詳細については、 表 5-9 を参照してください。


 

Packet Decoder に表示されるパケットのフィルタリング

Packet Decoder に表示されたパケットをフィルタするには、次の操作を行います。


ステップ 1 [Packet Decoder] ウィンドウで、[Display Filter] ボタンをクリックします。[Packet Decoder - Display Filter] ウィンドウが表示されます。

ステップ 2 次の手順を実行します。

[Filter Mode] を選択します。

[Inclusive] を選択すると、条件に一致するパケットが表示されます。

[Exclusive] を選択すると、条件に一致しないパケットが表示されます。

[Address Filter] を選択します。

IP アドレスの場合は [IP address] フィルタを選択します。

MAC アドレスの場合は [MAC Address] フィルタを選択します。

[Source] では、送信元アドレスを指定できます。指定する必要のない場合は。空白のままにすることができます。

[Destination] では、宛先元アドレスを指定できます。指定する必要のない場合は。空白のままにすることができます。

[Both Directions] をオンにすると、どちらの方向に移動するパケットも照合できます。

[Protocol Filter] を定義します。

いずれかのプロトコルまたはフィールドの一致するパケットを表示するには、[Match any] を選択します。

または

すべてのプロトコルまたはフィールドの一致するパケットを表示するには、[Match all] を選択します。

[Protocols] リストからプロトコルを選択します。


) プロトコル名の先頭の数文字を入力して、目的のプロトコルに直接移動できます。入力ミスをした場合にリセットするには、ESC キーまたは SPACE キーを押します。


必要に応じて [Fields] リストからプロトコルのフィールドを選択し、フィールド値を選択します。

[Custom Filter] を選択します。カスタム表示フィルタの設定方法については、「カスタム表示フィルタ」を参照してください。

ステップ 3 [OK] をクリックしてフィルタを適用し、ウィンドウを閉じるか、または [Apply] をクリックしてフィルタを適用し、ウィンドウを開いたままにしておきます。


 

詳細なプロトコル デコード情報の表示

詳細なプロトコル デコード情報を表示するには、次の操作を行います。


ステップ 1 詳細情報を必要とするパケット番号を強調表示します。

パケットに関する詳細情報が、[Protocol Decode] ペインおよびウィンドウ下部の 16 進数ダンプ ペインに表示されます。


) [Protocol Decode] ペインで詳細を強調表示すると、対応するバイトが下の 16 進数ダンプ ペインで強調表示されます。


ステップ 2 情報を調べるには、下部ペインのスクロール バーを使用します。


SCCP トラフィックをデコードすると、Prime NAM はプロトコルを SCCP としてではなく、スキニーとしてリストします。



 

ヒント • プロトコルは、[Packet Browser] および [Protocol Decode] ペインの両方で色分けされます。

プロトコル情報を縮小および展開するには、[Protocol Decode] ペインでプロトコル名をクリックします。

ペインのサイズを調整するには、ペイン フレームをクリックし、上または下にドラッグします。


 

[Packet Decoder] ウィンドウおよび [Browser] ペインの理解

表 5-9 に、NAM - [Packet Decoder] ウィンドウのパケット デコーダの操作を示します。

図 5-5 に、[NAM Packet Analyzer] ウィンドウの例を示します。

図 5-5 NAM Packet Analyzer デコード ウィンドウ

 

 

 

表 5-9 Packet Decoder の操作

ボタン
説明
Stop

パケットのロードを中止します。

Prev

NAM からの直前のパケット ブロックをロードおよびデコードします。

Next

NAM からの次のパケット ブロックをロードおよびデコードします。

Go To

指定したパケット番号から始まるパケット ブロックをロードおよびデコードします。

Display Filter

[Display Filter] ダイアログを起動します 「Packet Decoder に表示されるパケットのフィルタリング」を参照してください。

TCP Stream

選択した TCP パケットの TCP ストリームに従います。トラフィックのパターンによっては、長時間かかることがあります。

表 5-10 に、[Packet Browser] ペインに表示される情報を示します。

 

表 5-10 Packet Browser

フィールド
説明
Pkt

キャプチャ シーケンスの番号順に表示されたパケット番号。デコード(表示)フィルタがアクティブな場合、パケット番号は連続しないことがあります。

Time

表示された最初のパケット(バッファ内の最初のパケットではありません)に関して、パケットがキャプチャされた時間。絶対時間を調べるには、[Detail] ウィンドウを参照します。

Size

パケットのサイズ(バイト単位)。

Source

パケットの送信元。ホスト名、IP、IPX、または MAC アドレスとして表示されることがあります。IP アドレスのホスト名解決をオンまたはオフにするには、[Setup] タブをクリックして、[Preferences] でこの設定を変更します。

Destination

パケットの宛先。ホスト名、IP、IPX、または MAC アドレスとして表示されることがあります。

Protocol

パケットのトップ レベルのプロトコル。

Info

パケットの内容に関する短いテキスト情報。

アラームによってトリガーされるキャプチャの使用

定義されたアラーム イベントによって自動的に開始または中止される、複数のキャプチャを設定できます。アラームによってトリガーされるキャプチャを設定するには、次の操作を行います。


ステップ 1 [Setup] > [Alarms] > [Alarm Events] ウィンドウから、アラーム イベントを作成します。

データをキャプチャするイベントのタイプに対し、[Alarm Event] を設定します。詳細については、を参照してください。

ステップ 2 [Setup] > [Alarms] > [Alarm Thresholds] ウィンドウから、イベントのしきい値を設定します。

関連する [Alarm Event] で、対象のパラメータのしきい値を設定します。詳細については、を参照してください。

ステップ 3 [Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウから、キャプチャ セッションを設定します。[Create] をクリックします。

関連する [Alarm Event] に対し、[Start Event] または [Stop Event](またはその両方)を選択します。詳細については、「キャプチャ セッションの設定」を参照してください。


 

時間ベース キャプチャの使用方法

定義した特定の時間または期間に基づいて自動的に開始および停止する、時間ベースでトリガーされる複数のキャプチャを設定できます。次に、パケット データをキャプチャするために 60 分のウィンドウを設定する例を示します。

時間ベースでトリガーされるキャプチャを設定するには、次の操作を行います。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウから、新しいキャプチャを作成します。

ステップ 2 自動キャプチャの [Enable] チェックボックスをオンにします。

ステップ 3 開始日時および期間(分単位)を [60] に設定します。

ステップ 4 キャプチャ データを保存するために適切なストレージ タイプを選択します。たとえば、[memory HDD] へのキャプチャを選択します。

ステップ 5 適切なソフトウェア フィルタを選択します。

ステップ 6 [Submit] をクリックします。`

ステップ 7 キャプチャ セッションを開始するには、[Capture] > [Packet/Capture Decode] > [Sessions] メニューに戻り、以前作成したキャプチャ セッションを選択して、[Start] をクリックします。


 

カスタム表示フィルタ

カスタム表示フィルタを使用して、カスタマイズしたフィルタを作成および保存すると、[Decode] ウィンドウで使用して表示するパケットを制限できます。

カスタム表示フィルタの設定および管理のヘルプについては、次のトピックを参照してください。

「カスタム表示フィルタの作成」

「カスタム表示フィルタの編集」

「カスタム表示フィルタの削除」

カスタム表示フィルタの作成

カスタム表示フィルタを作成するには、次の操作を行います。


ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。

ページの下に [Hardware Filters] ボックスが表示されます。

ステップ 2 [Create] をクリックします。[Custom Decode Filter] ダイアログ ボックス( 表 5-11 )が表示されます。

ステップ 3 各フィールドに、適切な情報を入力します。

 

表 5-11 [Custom Decode Filter] ダイアログ ボックス

フィールド
説明
使用方法
Filter Name

キャプチャ フィルタの名前。

作成するフィルタの名前を入力します。

Description

キャプチャ フィルタの説明。

フィルタの説明を入力します。

Protocol

パケットと照合するプロトコル。

リストからプロトコルを選択します。(プロトコルに関係なくすべてのパケットを照合する場合は、[All] を選択します)

Address
(MAC or IP)

MAC アドレスまたは IP アドレスのどちらでフィルタリングするかを指定します。

パケットの送信元/宛先 MAC アドレスを使用してフィルタリングするには、[MAC] を選択します。

パケットの送信元/宛先アドレスを使用してフィルタリングするには、[IP] を選択します。

Both Directions

フィルタが双方向のトラフィックに適用されるかどうかを指定します。

送信元がホスト A で宛先がホスト B の場合、双方向をイネーブルにすると、A から B および B から A のパケットがフィルタリングされます。

送信元がホスト A で宛先が指定されていない場合、双方向をイネーブルにすると、ホスト A へのパケットとホスト A からのパケットの両方がフィルタリングされます。

Offset

パケット データ照合を開始する [Base] からのオフセット(バイト数)。

10 進数値を入力します。

Base

オフセットが計算されるベース。

[absolute] を選択した場合、オフセットはパケットの絶対開始位置(たとえば、イーサネット フレームの先頭)から計算されます。

プロトコルを選択した場合、オフセットはパケットのプロトコル部分の先頭から計算されます。パケットにプロトコルが含まれていない場合、パケットはこの照合に失敗します。

[absolute] またはプロトコルを選択します。

Data Pattern

パケットと照合するデータ。

hh hh hh ... hh は 0 ~ 9 または a ~ f の 16 進数)を入力します。使用しない場合は、空白にします。

Filter Expression

複雑なフィルタ条件を設定する高度な機能。

最も単純なフィルタにより、プロトコルまたはフィールドの存在をチェックできます。たとえば、単純なフィルタ式 ipx を使用して、IPX プロトコルを含むすべてのパケットを表示できます。

「カスタム デコード フィルタ式作成のヒント」を参照してください。

ステップ 4 次のどちらかを実行します。

フィルタを作成するには、[Submit] をクリックします。

フィルタの作成を取り消すには、[Cancel] をクリックします。


 

カスタム デコード フィルタ式作成のヒント

表 5-12 に示されている論理演算子および比較演算子を使用して、カスタム デコード フィルタ式を構築できます。

 

表 5-12 論理演算子と比較演算子

オペレータ
意味

and

論理積

or

論理和

xor

排他的論理和

not

論理否定

==

等しい

!=

等しくない

>

不等号(大なり)

カッコ内で部分式をグループ化することもできます。フィルタ式では次のフィールドを使用できます。

 

フィールド
フィルタ基準
フォーマット

eth.addr
eth.src
eth.dst

MAC アドレス

hh:hh:hh:hh:hh:hh (h は 0 ~ 9 または a ~ f の 16 進数)。

ip.addr
ip.src
ip.dst

IP アドレス

n.n.n.n または n.n.n.n/s (n は 0 ~ 255 の数値、s は 0 ~ 32 のホストを含まないホスト名)。

tcp.port
tcp.srcport
tcp.dstport

TCP ポート番号

0 ~ 65535 の 10 進数。

udp.port
udp.srcport
udp.dstport

UDP ポート番号

0 ~ 65535 の 10 進数。

protocol

プロトコル

[Custom Decode Filter] ダイアログ ボックスの [Protocol] リストをクリックして、フィルタリングできるプロトコルのリストを確認します。

protocol [ offset : length ]

プロトコルのデータ パターン

hh:hh:hh:hh... hh は 0 ~ 9 または a ~ f の 16 進数)。

offset および length は 10 進数。

offset は 0 から開始し、パケットの protocol 部分の先頭と関連しています。

frame.pkt_len

パケット長

パケット長を表す 10 進数。切り捨てられたキャプチャ パケット長ではありません。

カスタム デコード フィルタ式の例

111.122.133.144 からの SNMP パケットを照合するには、次のように入力します。

snmp and (ip.src == 111.122.133.144)

111.122 クラス B ネットワークからの IP パケットを照合するには、次のように入力します。

ip.addr == 111.122.0.0/16

ポート 80 への TCP パケットおよびポート 80 からの TCP パケットを照合するには、次のように入力します。

tcp.port == 80

TOS 値は、IP ヘッダーのバイト 1(2 番めのバイト)に保存されます。16 の TOS 値(0x10)を持つ IP パケットを照合するには、次のように入力します。

ip[1:1] == 10

TCP 確認応答番号は、TCP ヘッダーのバイト 8 ~ 11 に保存されます。確認応答番号 12345678(0xBC614E)を持つ TCP パケットを照合するには、次のように入力します。

tcp[8:4] == 00:BC:61:4E

) [Custom Decode Filter] ダイアログ ボックスでは、フィルタ式を他のフィールドと組み合わせて使用できます。この場合、フィルタ式は他の条件との論理積がとられます。
無効または矛盾するフィルタ式では、パケットは照合されません。


カスタム表示フィルタの編集

カスタム表示フィルタを編集するには、次の操作を行います。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Display Filters] の順に選択します。

ステップ 2 編集するフィルタを選択し、[Edit] をクリックします。

ステップ 3 必要に応じて、各フィールドの情報を変更します。

ステップ 4 次のどちらかを実行します。

変更内容を適用するには、[Submit] をクリックします。

変更したページをクリアするには、[Reset] をクリックします。

変更を適用せずにページを終了するには、[Cancel] をクリックします。


 

カスタム表示フィルタの削除

カスタム表示フィルタを削除するには、次の操作を行います。


ステップ 1 [Capture] > [Packet Capture/Decode] > [Display Filters] の順に選択します。

ステップ 2 削除するフィルタを選択し、[Delete] をクリックします。

ステップ 3 確認のダイアログ ボックスで、次のいずれかを選択します。

フィルタを削除するには、[OK] をクリックします。

取り消すには、[Cancel] をクリックします。