バージョン 9 フロー テンプレートのフィールド値と、MX シリーズ ルーターまたは NFX250 からエクスポートされたログとのマッピング
以下の表は、バージョン 9 フローレコード形式の NAT イベントに対して生成されるフロー監視ログのさまざまなフィールド ID または値と、フィールド値に対応するイベントを示しています。
フィールドID |
名前 |
サイズ (バイト) |
形容 |
|---|---|---|---|
8 |
IPv4 SRC アドレス |
4 |
IPv4 送信元アドレス |
225 |
natInsideGlobalAddress (英語) |
4 |
これは、パケットがオブザベーション ポイントを通過した後の機能を表す NAT ミドルボックス(転送クラスと損失の優先度)によって引き起こされた変更された値を報告します。 |
12 |
IPv4 宛先アドレス |
4 |
IPv4 宛先アドレス |
226 |
natOutsideGlobalAddress |
4 |
パケットがオブザベーションポイントを通過した後に、NATミドルボックス機能によって引き起こされた変更値を報告します。 |
7 |
トランスポート送信元ポート |
2 |
TCP/UDP 送信元ポート |
227 |
postNAPTSourceTransportPort |
2 |
パケットが監視ポイントを通過した後、ネットワーク アドレス ポート変換(NAPT)ミドルボックス機能によって引き起こされた変更値を報告します。 |
11 |
トランスポート宛先ポート |
2 |
TCP/UDP 宛先ポート |
228 |
postNAPTDestinationTransportPort |
2 |
パケットが監視ポイントを通過した後、ネットワーク アドレス ポート変換(NAPT)ミドルボックス機能によって引き起こされた変更値を報告します。 |
234 |
イングレスVRFID |
4 |
このフローのパケットが受信されている VRF 名の一意の識別子。この識別子は、メータリング プロセスごとに一意です。 |
235 |
egressVRFID |
4 |
このフローのパケットが送信されている VRF 名の一意の識別子。この識別子は、メータリング プロセスごとに一意です。 |
4 |
IPプロトコル |
1 |
IPプロトコル バイト |
229 |
natOriginatingAddressRealm |
1 |
トラフィックがプライベート・アドレス・レルムまたはパブリック・アドレス・レルムで発生したためにセッションが作成されたかどうかを示します。postNATSourceIPv4Address、postNATDestinationIPv4Address、postNAPTSourceTransportPort、および postNAPTDestinationTransportPort は、パースペクティブ内のアドレス領域で修飾されます。使用できる値は、Private: 1 Public: 2 です。 |
230 |
natイベント |
1 |
NAT イベントを示しています。使用できる値は、1 - イベントの作成です。2 - イベントを削除します。3-プールが枯渇しています。作成イベントは、NAT 変換が動的または静的に作成されたときに生成されます。NAT 変換が削除されると、Delete イベントが生成されます。 |
1 |
バイト数 |
N |
IP フローに関連付けられたバイト数の長さ N x 8 ビットの着信カウンター。既定では、N は 4 です |
2 |
inPkts |
N |
IP フローに関連づけられたパケット数を表す長さ N x 8 ビットの着信カウンター。既定では、N は 4 です |
323 |
observationTimeミリ秒 |
8 |
協定世界時 (UTC) に基づくミリ秒単位の時間値を表す観測データの絶対時間をミリ秒単位で指定します。エポックの選択 (たとえば、1970 年 1 月 1 日 00:00 UTC) は、この型の対応するエンコード仕様に任されます。うるう秒は除外されます。異なるエポック値が使用されている場合、異なるエンコーディング間で値の変換が必要になる可能性があることに注意してください。 |
27 |
送信元IPv6アドレス |
16 |
IPv6 送信元アドレス |
284 |
natPoolName (ナットプール名) |
64 |
NATリソースプール名 |
361 |
ポート範囲開始 |
2 |
ポート範囲の開始を識別するポート番号。値 0 は、範囲の開始が指定されていない、つまり、範囲が他の方法で定義されていることを示します。 |
362 |
ポート範囲終了 |
2 |
ポート範囲の末尾を識別するポート番号。値 0 は、範囲の終了が指定されておらず、範囲が他の方法で定義されていることを示します。 |
363 |
portRangeStepSize(ポート範囲ステップサイズ) |
2 |
ポート範囲内のステップ サイズ。デフォルトのステップ サイズは 1 で、連続したポートを示します。値 0 は、ステップ サイズが指定されておらず、範囲が他の方法で定義されていることを示します。 |
364 |
portRangeNumPorts (ポート範囲番号ポート) |
2 |
ポート範囲内のポート数。値 0 は、ポート数が指定されておらず、範囲が他の方法で定義されていることを示します。 |
NAT アドレス作成イベントのサンプル シナリオについて考えてみます。前の表のフィールドに基づいて、使用できない変換 (natOutsideGlobalAddress など) は 0 に設定されます。フローのIngressおよびEgress VRFを利用可能にすることができます。また、natEvent は 1 (create) に等しくなります。inBytes フィールドは 0 または着信パケットのバイト数と見なされ、inPkts フィールドは変換時にシステムに入る最初のパケットであるため、0 または 1 になります。observationTimeMilliseconds フィールドは、このアドレス変換の作成が記録された時刻を示します。
NAT アドレス削除イベントの場合、使用できない変換(natOutsideGlobalAddress など)は 0 に設定されます。フローのIngressおよびEgress VRFを利用可能にすることができます。また、natEvent は 2 (create) に等しくなります。inBytes フィールドは、このフローの順方向と上方向の両方のバイト数を示し、inPkts フィールドの値は、上方向と逆方向の両方におけるこのフローのパケット数を示します。observationTimeMilliseconds は、この翻訳の削除が記録された時刻です。
NAT プールが枯渇し、割り当て用のアドレスが残っていない場合、利用できない変換(natOutsideGlobalAddress など)は 0 に設定されます。フローのIngressおよびEgress VRFを利用可能にすることができます。また、natEvent フィールドは 3 (Pool exhausted) に設定されます。すべてのリソース障害は 1 つのイベントとして結合されます。inBytes フィールドは 0 または着信パケットのバイト数と見なされ、inPkts フィールドは変換時にシステムに入る最初のパケットであるため、0 または 1 になります。observationTimeMilliseconds フィールドの値は、この失敗した翻訳が記録された時刻です。