アラートプロファイル
設定 > フロー解析 > アラートプロファイル
アラート発生条件となるしきい値を設定し、違反を検知した際に事前に設定した通知テンプレートに従って発報することが可能です。
アラートが正しく発報されるよう、監視対象装置のアクティブタイムアウト値は必ず1分にしてください。
※セキュリティは通知テンプレートが不要
・共通操作
・リアルタイム
・集約
・セキュリティ(Enterprise Edition専用機能)
共通操作
既存アラートプロファイルの変更を行うには、アラートプロファイル名をクリックしてください。プロファイル名を除くすべての設定を変更できます。
「リンクダウン」アラートプロファイルは名前変更できます。
[ステータス]項目のスライドボタンを有効化(緑)にすることで、アラートをアクティブにできます。
[アクション]項目のゴミ箱アイコンをクリックすることで、アラートプロファイルを削除できます。
削除されると、そのアラートプロファイルに関連付けられているすべてのアラートが自動的にクリアされます。
※「リンクダウン」アラートプロファイルは削除できません。
※セキュリティアラートでのみ、発生アラートのオールクリアが可能です。
リアルタイムアラート
NetFlow Analyzerは、設定したアラートのしきい値条件を1分間に1回確認します。また指定期間に発生するアラートは1件のみです。
例 :
監視インターフェースで、しきい値は帯域使用率60%、回数は3回、期間は30分のアラートプロファイルに対して、使用率が60%を超える通信が常に続いたと仮定します。
1分毎のしきい値違反 × 3回 = 3分後 に設定中のアラートが発報され、計測期間がリセットされます。
同じ状態が続く場合、次回のアラート発生は最初の使用率超過から6分後(初回違反の3分 + 期間リセット後しきい値違反3回分)です。
既存の「LinkDown」アラートは5分以上フローデータを受信しない場合にメール発報を行うデフォルトアラートです。
デフォルトは無効になっており、削除はできません。メールサーバーの設定が必要です。
1. 設定 > フロー解析 > アラートプロファイル > リアルタイム > 画面右上の[追加]をクリック
2.項目を入力し、[保存]をクリック
| 項目1 | 項目2 | 詳細 |
| プロファイル名 | - | 必須/作成後変更不可 |
| 説明 | - | 任意 |
| 出力対象 | - | 監視インターフェースや各種グループの任意対象を選択 |
| アラート条件 | - | トラフィックタイプを受信/送信/送受信から選択 |
| しきい値とアクションの定義 | 「使用率」「容量」「速度」「パケット数」から選択 | 超過(>)/不足(<)> しきい値 > 発生回数 > 時間間隔 > 重要度(注意/警告/重大) > 通知手段(全てのテンプレート) > 作成済みテンプレート ※"メール"等ではなく"全てのテンプレート"を選択してください |
| 時間フィルター | 週末の除外/タイムゾーン/業務時間フィルター | 任意選択 |
集約
指定の時間帯のトラフィックにしきい値ベースのアラートを作成して管理します。また、しきい値違反の際は通知します。
1. 設定 > フロー解析 > アラートプロファイル > 集約 > 画面右上の[追加]をクリック
2.項目を入力し、[保存]をクリック
| 項目 | 詳細 |
| プロファイル名 | このアラートプロファイルを特定する一意の名前を入力 作成後、変更不可 |
| 説明 | アラートプロファイルの説明情報を入力 |
| 出力対象 | アラートの判定対象とするインターフェースやグループの選択 |
| アラート期間 | カスタム : 開始/終了日時や業務時間フィルター、週末の除外オプションを自由に設定 定期的 : 開始日時や周期幅、業務時間フィルターや週末の除外オプションを設定 |
| しきい値の定義 | 受信/送信/送受信トラフィックの通信ベクトルを選択 ボリューム(容量)/パケット(数)からしきい値基準を選択し、具体値を入力 |
| しきい値とアクションの定義 | 上記で設定した条件に対して発報されるアラートの重要度を注意/警告/重大から選択 [すべてのテンプレート]から事前に設定した通知テンプレート ※"メール"等ではなく"全てのテンプレート"を選択してください |
セキュリティ
※セキュリティ機能はEnterprise Edition専用
の機能です。
※Editionの概要はこちらをご確認ください。
※ビルド12.6.288よりUI上の表示機能名が「攻撃」から「セキュリティ」に変更されました。
※事前にセキュリティ分析設定から、機能を有効化する必要があります。
※事前にメールサーバーの設定が必要です。
あらかじめ定義されたアルゴリズム、問題クラス、しきい値に基づき、ネットワークで発生したセキュリティイベントに関するアラートを発報します。
1.設定 > フロー解析 > アラートプロファイル > セキュリティ > 画面右上の[追加]をクリック
2.項目を入力し、[保存]をクリック
| 項目 | 詳細 |
| プロファイル名 | このアラートプロファイルを特定する一意の名前(アルファベットとアンダーバーを推奨)を入力
作成後、変更不可 |
| 説明 | アラートプロファイルの説明情報を入力 |
| 出力対象 | アラートの判定対象とする問題を選択 |
| しきい値の定義 | [送信元/宛先IP、関連インターフェース、装置IP、送信元/宛先ポート]からしきい値基準を選択し、具体値を入力 [+]アイコンで複数の条件を指定し、or/and条件を[いずれかの条件に合致]/[すべての条件に合致]から選択 |
| アクションの定義 | 上記で設定した条件に対して発報されるメールアラートの宛先を指定(,)で区切りながら最大5つまで設定可能 例:aaa@aaa.aaa,bbb@bbb.bbb,ccc@ccc.ccc ※SMSはご利用いただけません |