例:MXシリーズルーターでのフローコレクターインターフェイスの設定

図1:フローコレクターインターフェイストポロジー図 Flow Collector Interface Topology Diagram

図1 は、監視対象のトラフィックがルーターを通過する際に移動する経路を示しています。パケットは、入力インターフェイス so-0/1/0、 so-3/0/0、 so-3/1/0に到着します。生のパケットは、フィルターベースの転送ルーティングインスタンスに送信され、監視サービスインターフェイス mo-7/1/0、 mo-7/2/0、およびmo-7/3/0によってフローレコードに処理されます。フロー記録はフローコレクターインターフェイス cp-6/0/0 および cp-7/0/0 でファイルに圧縮され、分析のためにFTPサーバーに送信されます。最後に、フローコレクターインターフェイスのエクスポートチャネル0と1に必須のサービスクラス(CoS)設定が適用され、送信処理済みファイルを管理します。

ルーター1

作業の検証

フローコレクターの設定が機能していることを確認するには、フロー収集用に設定された監視ステーションで以下のコマンドを使用します。

clear services flow-collector statistics
request services flow-collector change-destination (primary | secondary)
request services flow-collector test-file-transfer
show services flow-collector file interface (detail | extensive | terse)
show services flow-collector (detail | extensive)
show services flow-collector input interface (detail | extensive | terse)

次のセクションは、設定例で使用した show コマンドの出力を示しています。

フローコレクターインターフェイスの統計情報をクリアするには、 clear services flow-collector statistics interface (all | interface-name) コマンドを発行します。

もう1つの便利なフローコレクターオプションでは、FTPサーバーをプライマリからセカンダリに変更し、FTP転送をテストできます。フローコレクターインターフェイスにプライマリまたはセカンダリのFTPサーバーの使用を強制するには、request services flow-collector change-destination interface cp-fpc/pic/port コマンドを発行するときにプライマリまたはセカンダリオプションを含めます。

プライマリサーバーを1つだけ設定し、プライマリオプションを付けてこのコマンドを実行すると、「宛先の変更は不要です」というエラーメッセージが表示されます。セカンダリサーバーが設定されていない場合、このコマンドをセカンダリオプション付きで発行すると、「宛先が設定されていません」というエラーメッセージが表示されます。それ以外の場合、両方のサーバーが正しく設定されている場合、成功した出力は次のように表示されます。

request services flow-collector change-destination interface cp-fpc/pic/port コマンドのその他のオプションには、即時(即時スイッチオーバーを強制)、グレースフル(段階的なスイッチオーバーを可能にするデフォルトの動作)、クリアファイル(既存のデータファイルをパージする)、およびクリアログ(既存のログファイルをパージする)があります。

転送ログファイルがFTPサーバーへの配信がスケジュールされていることを確認するには、 request services flow-collector test-file-transfer filename interface cp-fpc/pic/port コマンドを発行します。このコマンドには、目的のエクスポートチャネル(ゼロまたは1)とターゲットFTPサーバー(プライマリまたはセカンダリ)を含めます。

ファイル転送の成功を確認する別の方法は、転送ログを分析することです。転送ログは、フローコレクターインターフェイスによって収集および処理されるファイルに関する詳細情報を送信します。表1 は、転送ログで使用可能なさまざまなフィールドについて説明しています。

表1:フローコレクターインターフェイス転送ログのフィールド
フィールド	説明
fn	ファイル名
sz	ファイルサイズ
NR	レコード数
TS	年(4桁)、月(2桁)、日(2桁)、時間(2桁)、分(2桁)、秒(2桁)の形式のタイムスタンプ。
SF	成功フラグ—値は、成功の場合は 1 、失敗の場合は 0 です。
ul	サーバーURL
RC	FTP結果コード
ER	FTPエラーテキスト
TT	転送時間

以下は、成功した転送ログの例です。

以下は、FTPセッションに障害が発生した場合の転送ログの例です。

フローコレクターインターフェイスがフローレコードを受信して処理すると、PICサービスログプロセス(fsad)は以下のタスクを処理します。

フローコレクターインターフェイスがファイルをFTPサーバーに転送すると、 /var/log/flowc ディレクトリに一時ログファイルが作成されます。一時ログファイルには、次のファイル名規則があります。

<hostname>_<filename_prefix>_ YYYYMMDD_hhmmss.tmp

hostname は転送サーバーのホスト名で、filename_prefixは[edit services flow-collector transfer-log-archive]階層レベルのfilename-prefixステートメントで定義された同じ値で、YYYYMMDDは年、月、日付、hhmmssは時間、分、秒を示すタイムスタンプです。
ログファイルが[edit services flow-collector transfer-log-archive]階層レベルのmaximum-ageステートメントで指定された期間(デフォルトは120分)ルーターに保存された後、一時ログファイルが実際のログファイルに変換され、一時ファイルが削除されます。新しいログファイルは、拡張子が*.logであることを除いて、同じ命名規則を保持します。
最終ログファイルが作成されて圧縮されると、PICサービスログプロセス(fsad)は、ログファイルを/var/log/flowcディレクトリからFTPサーバーに送信しようとします。[edit services flow-collector transfer-log-archive]階層レベルでarchive-sitesステートメントを含めることで、ログファイルを受信する最大5つのFTPサーバーを指定できます。ログプロセスは、ログファイルを構成に表示される順に、一度に 1 つのサーバーに送信しようとします。最初の転送が成功すると、ログファイルが削除され、ログプロセスはリスト内の残りのFTPサーバーへのログファイルの送信を停止します。
ログファイルの転送が成功しない場合、ログファイルは /var/log/flowc/failed ディレクトリに移動されます。ログプロセスは 30 分ごとにログファイルの再送信を試みます。ログファイルが正常に転送されると、 /var/log/flowc/failed ディレクトリから削除されます。

注:
フローコレクターインターフェイスのメモリがいっぱいの場合、インターフェイスは受信パケットをドロップする可能性があります。

フローコレクターインターフェイスが、処理された情報ファイルをFTPサーバーに正常に配信した後、ファイルを分析できます。このファイルには、フローコレクターインターフェイスによって収集および処理されたフローに関する詳細情報が含まれています。表 2 は、フローコレクターインターフェイスファイルで使用できるさまざまなフィールドを示しています。

表2:フローコレクターインターフェイスのファイルフィールド(出現順)
フィールド	説明
linkDir	リンクディレクトリ—レコードを識別するために使用されるランダムに生成された番号
アナライザアドレス	アナライザアドレス
アナライザID	アナライザ識別子
ifエイリアス	インターフェイス識別子
送信元アドレス	送信元アドレス
宛先アドレス	宛先アドレス
パケット	パケット数
バイト	バイト数
開始時間	開始時間
終了時間	終了時間
ソースポート	送信元ポート
宛先ポート	宛先ポート
tcp_flag	TCPフラグ
プロトコル	IPプロトコル番号
src_AS_番号	送信元AS番号
dst_AS_番号	宛先AS番号

以下は、フローコレクターインターフェイスファイルからの出力例です。