네트워크 활동 탭에서 플로우 데이터 보기
Network Activity(네트워크 활동) 탭의 기본 보기는 실시간 이벤트 스트림입니다. 호스트가 계속 통신하면 흐름이 업데이트됩니다. 전체 통신 세션은 첫 번째 패킷 시간은 동일하지만 시간이 지남에 따라 증가하는 마지막 패킷 시간 값을 가진 여러 플로우 레코드로 표시됩니다.
보기 목록에는 지정된 기간의 이벤트도 볼 수 있는 옵션이 포함되어 있습니다. 보기 목록에서 지정된 기간을 선택한 후 시작 시간 및 종료 시간 필드에서 날짜 및 시간 값을 변경하여 표시된 기간을 수정할 수 있습니다.
정규화된 플로우 데이터 보기
정규화에는 읽을 수 있는 정보를 표시하기 위한 플로우 데이터 준비가 포함됩니다. 네트워크 활동 탭에서 정규화된 흐름 데이터를 볼 수 있습니다.
Network Activity(네트워크 활동) 탭을 클릭합니다.
창 중앙의 디스플레이 목록 상자에서 보려는 디스플레이 보기를 선택합니다.
정규화(IPv6 열 포함) 디스플레이에는 IPv6 흐름에 대한 소스 및 대상 IPv6 주소가 표시됩니다.
보기 목록 상자에서 표시할 기간을 선택합니다.
수신된 흐름을 스트리밍하려면 실시간을 선택합니다.
일시 중지 아이콘을 클릭하여 스트리밍을 일시 중지할 수 있습니다.
표시되는 흐름 수를 줄이려면 기간을 선택합니다.
표시할 시간 프레임을 선택하면 시계열 차트가 표시됩니다. 차트 숨기기를 클릭하여 제거합니다 . Mozilla Firefox 웹 브라우저를 사용하고 광고 차단 확장 프로그램이 설치되어 있는 경우 차트가 나타나지 않습니다.
시계열 차트 사용에 대한 자세한 내용은 시계열 차트 개요를 참조하십시오.
특정 흐름에 대한 자세한 정보를 보려면 해당 흐름을 두 번 클릭하여 흐름 정보 창을 엽니다.
스트리밍 흐름 보기
스트리밍 모드에서는 시스템에 입력되는 유량 데이터를 실시간으로 볼 수 있습니다. 이 모드에서는 마지막 50개의 흐름을 표시하여 현재 흐름 활동을 실시간으로 볼 수 있습니다.
스트리밍 모드를 활성화하기 전에 네트워크 활동 탭 또는 검색 기준에 필터를 적용하면 필터가 스트리밍 모드로 유지됩니다. 그러나 스트리밍 모드는 그룹화된 흐름을 포함하는 검색을 지원하지 않습니다. 그룹화된 흐름 또는 그룹화된 검색 기준에 대해 스트리밍 모드를 사용하도록 설정하면 네트워크 활동 탭에 정규화된 흐름이 표시됩니다.
Network Activity(네트워크 활동) 탭을 클릭합니다.
보기 목록 상자에서 실시간(스트리밍)을 선택합니다.
선택적. 스트리밍 흐름을 일시 중지하거나 재생합니다. 스트리밍이 일시 중지되면 마지막 1,000개의 흐름이 표시됩니다.
참고:흐름을 스트리밍할 때 상태 표시줄에는 초당 수신된 평균 결과 수가 표시됩니다. 이 표시는 콘솔이 플로우 프로세서로부터 성공적으로 수신한 결과의 수입니다. 이 수가 초당 40개 결과보다 크면 40개 결과만 표시됩니다. 나머지는 결과 버퍼에 누적됩니다. 더 많은 상태 정보를 보려면 상태 표시줄 위로 마우스를 가져갑니다.
흐름이 스트리밍되지 않는 경우 상태 표시줄에 현재 표시된 검색 결과 수와 검색 결과를 처리하는 데 필요한 시간이 표시됩니다.
그룹화된 흐름 보기
다양한 옵션별로 그룹화된 플로우를 봅니다.
스트리밍 모드에서는 그룹화된 흐름을 지원하지 않으므로 표시 목록 상자가 스트리밍 모드에 표시되지 않습니다. 그룹화되지 않은 검색 조건을 사용하여 스트리밍 모드로 전환한 경우 이 옵션이 표시됩니다.
표시 목록 상자에서 옵션을 선택하면 선택한 그룹 옵션에 따라 데이터의 열 레이아웃이 달라집니다. 플로우 테이블의 각 행은 플로우 그룹을 나타냅니다.
Network Activity(네트워크 활동) 탭을 클릭합니다.
보기 목록 상자에서 표시할 기간을 선택합니다.
표시 목록 상자에서 흐름을 그룹화할 매개 변수를 선택합니다.
그룹에 대한 흐름 목록 페이지를 보려면 조사할 흐름 그룹을 두 번 클릭합니다.
흐름 목록 페이지에는 네트워크 활동 탭에서 정의할 수 있는 차트 구성이 유지되지 않습니다.
흐름의 세부 정보를 보려면 조사할 흐름을 두 번 클릭합니다.
AWS 흐름 로그 데이터 보기
AWS(Amazon Web Service) 통합을 통해 수신되는 흐름 로그에는 흐름 정보에 추가 속성이 포함됩니다.
표준화된 표준 흐름 속성 외에도 AWS 흐름 로그에 대해 다음과 같은 속성이 표시됩니다.
-
인터페이스 이름(이 필드를 전송하는 모든 IPFIX 흐름에 사용 가능)
-
지역(이 필드를 전송하는 모든 IPFIX 흐름에 사용 가능)
-
방화벽 이름(이 필드를 전송하는 모든 IPFIX 흐름에 사용 가능)
-
방화벽 이벤트(열거됨, 이 필드를 전송하는 모든 IPFIX 흐름에 사용 가능)
-
AWS 작업(열거됨)
-
AWS 로그 상태(열거됨)
-
AWS 계정 ID
-
VPC ID
-
서브넷 ID
-
인스턴스 ID
다음 표에서는 열거된 각 필드에 대한 문자열 설명을 보여 줍니다.
| 열거 필드 |
문자열 설명 |
|---|---|
| 방화벽 이벤트 |
방화벽 이벤트(Firewall Event) 필드의 숫자 값은 다음 설명에 매핑됩니다.
|
| AWS 작업 |
AWS 작업 필드의 숫자 값은 다음 설명에 매핑됩니다.
|
| AWS 로그 상태 |
AWS Log Status(AWS 로그 상태) 필드의 숫자 값은 다음 설명에 매핑됩니다.
|
열거 특성에 대한 설명을 쿼리 결과에 포함하려면 AQL 검색 문자열에 LOOKUP 함수를 포함해야 합니다.
-
Network Activity(네트워크 활동) 탭을 클릭합니다.
-
고급 검색 상자에서 검색 에 포함할 필드에 대한 LOOKUP을 포함하는 AQL 조회를 빌드하십시오.
다음 예제에서는 AWS 흐름 로그의 열거된 각 필드에 대한 LOOKUP 문을 보여 줍니다.
LOOKUP('firewall event', "firewall event")LOOKUP('aws action', "aws action")LOOKUP('aws log status', "aws log status")예를 들어 다음 쿼리는 WHERE 절에서 LOOKUP을 사용하고 허용된 흐름을 애플리케이션별로 그룹화합니다.
SELECT APPLICATIONNAME(applicationid), count(*) as NumFlows FROM flows WHERE LOOKUP('aws action', "aws action") == 'Accept' GROUP BY applicationid ORDER BY NumFlows DESC이 예제에서 쿼리는 SELECT 절의 LOOKUP을 사용하여 AWS 환경에서 수락된 흐름과 거부된 흐름의 수를 표시합니다.
SELECT LOOKUP('aws action', "aws action"), count(*) as NumFlows FROM flows WHERE "aws action" > 0 GROUP BY "aws action" ORDER BY NumFlows DESC LAST 7 DAYS
MPLS 필드를 포함하는 플로우 보기
IPFIX(Internet Protocol Flow Information Export)는 네트워크 디바이스에서 플로우 정보를 내보낼 수 있는 공통 프로토콜입니다. MPLS(Multiprotocol Label Switching)는 모든 프로토콜에서 실행되는 라우팅 기법입니다.
플로우 프로세서의 IPFIX 플로우 레코드에 대한 MPLS 지원을 통해 MPLS 필드를 포함하는 JSA의 IPFIX 플로우를 필터링 및 검색하고 이러한 MPLS 필드의 값을 기반으로 규칙을 작성할 수 있습니다.
예를 들어 IPFIX 흐름은 MPLS를 사용하는 네트워크의 스위치에서 내보냅니다. 라우터에서 내보낸 IPFIX 플로우에는 MPLS 스택에 대한 정보가 포함되어 있으며, 이는 이제 JSA에서 플로우의 일부로 저장됩니다. MPLS 스택은 최대 10개의 레이어를 포함할 수 있으며, 각 레이어는 플로우 라우팅에 대한 정보를 표시합니다. 이러한 MPLS 필드는 규칙, 검색 및 필터에 포함되며 플로우 세부 정보 창에서 볼 수 있습니다.
MPLS 필드 필터링
Network Activity(네트워크 활동) 탭의 Add Filter(필터 추가) 옵션을 사용하여 MPLS 필드를 필터링합니다.
MPLS 필드 검색
Network Activity(네트워크 활동) 탭의 Advanced Search(고급 검색) 옵션을 사용하여 MPLS 필드를 검색합니다.
MPLS 필드에 대한 정보 보기
Network Activity(네트워크 활동) 탭의 Flow Details(흐름 세부 정보) 창에서 흐름을 두 번 클릭하여 MPLS 필드에 대한 정보를 볼 수 있습니다.
IPFIX MPLS 정보 요소
다음 표에서는 지원되는 IPFIX MPLS 정보 요소에 대해 설명합니다. 이러한 모든 요소에는 PEN(Private Enterprise Number): 0이 있습니다.
필드 |
요소 ID |
|---|---|
mplsTopLabelType |
46 |
mplsTopLabelIPv4주소 |
47 |
mplsTopLabelStack섹션 |
70 |
mplsLabelStackSection2 |
71 |
mplsLabelStack섹션3 |
72 |
mplsLabelStack섹션4 |
73 |
mplsLabelStack섹션5 |
74 |
mplsLabelStack섹션6 |
75 |
mplsLabelStack섹션7 |
76 |
mplsLabelStackSection8 |
77 |
mplsLabelStack섹션9 |
78 |
mplsLabelStack섹션10 |
79 |
mplsVpnRouteDistinguisher |
90 |
mplsTopLabelPrefixLength |
91 |
mplsTopLabelIPv6주소 |
140 |
mplsPayloadLength |
194 |
mplsTopLabelTTL |
200 |
mplsLabelStackLength |
201 |
mplsLabelStackDepth |
202 |
mplsTopLabelExp |
203 |
postMplsTopLabelExp |
237 |
pseudoWireType |
250 |
pseudoWireControlWord |
251 |
mplsLabelStack섹션 |
316 |
mplsPayloadPacketSection |
317 |
sectionOffset |
409 |
sectionExportedOctets |
410 |
흐름 내보내기
XML(Extensible Markup Language) 또는 CSV(쉼표로 구분된 값) 형식으로 흐름을 내보낼 수 있습니다. 데이터를 내보내는 데 필요한 시간은 지정된 매개 변수 수에 따라 달라집니다.
Network Activity(네트워크 활동) 탭을 클릭합니다.
선택적. 스트리밍 모드에서 흐름을 보고 있는 경우 일시 중지 아이콘을 클릭하여 스트리밍을 일시 중지합니다.
작업 목록 상자에서 다음 옵션 중 하나를 선택합니다.
XML로 내보내기>보이는 열) - 로그 작업 탭에 표시되는 열만 내보내려면 이 옵션을 선택합니다. 이 옵션을 사용하는 것이 좋습니다.
XML로 내보내기 >전체 내보내기(모든 열) - 모든 흐름 매개 변수를 내보내려면 이 옵션을 선택합니다. 전체 내보내기를 완료하는 데 시간이 오래 걸릴 수 있습니다.
CSV로 내보내기>보이는 열 - 로그 활동 탭에 표시되는 열만 내보내려면 이 옵션을 선택합니다. 이 옵션을 사용하는 것이 좋습니다.
CSV로 내보내기>전체 내보내기(모든 열) - 모든 흐름 매개 변수를 내보내려면 이 옵션을 선택합니다. 전체 내보내기를 완료하는 데 시간이 오래 걸릴 수 있습니다.
활동을 재개하려면 Notify When Done(완료 시 알림)을 클릭합니다.
내보내기가 완료되면 내보내기가 완료되었다는 알림이 표시됩니다. 완료 시 알림 아이콘을 선택하지 않은 경우 상태 창이 표시됩니다.