【クラウドのトラフィック可視化に最適】Gigamonクラウド可視化ソリューションでAWS環境のパケットを収集しntopでロギング・フロー化・可視化する

本記事では、Gigamon社提供のGigamon クラウド可視化ソリューションと弊社取り扱いのntop製品を連携させ、AWS VPC内のAWSインスタンストラフィックを収集し、あらゆる通信をロギング、フロー化、さらには可視化する方法について記載します。

文:ジュピターテクノロジー よしひろ

Gigamon クラウド可視化ソリューションについては、Gigamon社のWebサイトをご覧ください。

仮想ネットワークとクラウド・ネットワークのためのビジビリティ(www.gigamon.com/jp)


前提条件

本記事では、Gigamon クラウド可視化ソリューションのコンポーネントであるG-vTap Agentを監視対象のEC2インスタンスにインストールし、トラフィック受信インスタンスであるntopngインスタンスがAWS VPC上のトラフィックをロギング・フロー化・可視化します。

簡易的な設定投入で、Gigamon クラウド可視化ソリューションとntopがあればAWS VPC内のトラフィックを自由にロギング・フロー化・可視化することができます。



 

Gigamon クラウド可視化ソリューション連携イメージ

1 Gigamon クラウド可視化ソリューションとntopng連携ソリューション

 

実際に監視対象インスタンスのトラフィックをntopngにコピー送信するメカニズムをご説明いたします。

  1. G-vTAP Agentが監視対象インスタンスの通信をコピー、Gigamon V Series Nodeへ転送
  2. V Series nodeがアグリゲーション・フィルタリングを実施
  3. V Series nodeからntopngGRE経由で監視対象インスタンスのコピートラフィックを転送

参考:”AWS環境の可視化 Gigamon社クラウド可視化ソリューションのご紹介

 

GREトンネル設定

1ntopngEC2インスタンスです。ntop製品がサポートしているプラットフォームは、以下の通りです。

  • Debian/Ubuntu/CentOS(x64)
  • FreeBSD/OPNsense/pfSense
  • Docker

今回は、Ubuntu Server 20.04 LTS (HVM),
SSD Volume Type
を利用しましたが、上記のプラットフォームで貴社が希望するものをご準備ください。

 

1GRE Tunnelの記載の通り、Virtual TAPからのトラフィックを受信するためには、Gigamon
Vseries Node
GRE Tunnelを接続する必要があります。ここでは以下のコマンドを使用しました。

 

$ sudo
modprobe ip_gre

$ lsmod |grep
gre
 
  
 ※モジュールの確認 ip_gre, greが表示される

$ sudo
ip link add tun0 type gretap local any remote “Gigamon Vseries Node
IPアドレス

$ sudo ip
link set dev tun0 up

 

上記コマンドによりtun0インターフェイスが追加されています。

 

$ sudo ip a

snip

6: tun0@NONE:
<BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 8963 qdisc fq_codel state
UNKNOWN group default qlen 1000

   
link/ether ae:7e:23:ba:49:e5 brd ff:ff:ff:ff:ff:ff

   
inet6 fe80::ac7e:23ff:feba:49e5/64 scope link

   
   valid_lft forever preferred_lft forever$

 

次に、ntop製品をインストールします。以下に従ってください。

 

$
sudo apt-get install software-properties-common wget

$ sudo
add-apt-repository universe

$ sudo wget
https://packages.ntop.org/apt/20.04/all/apt-ntop.deb

$ sudo apt
install ./apt-ntop.deb

$ sudo
apt-get clean all

$ sudo
apt-get update

$ sudo
apt-get install pfring-dkms nprobe ntopng n2disk

$ sudo
apt-get update

$ sudo
apt-get upgrade

$ sudo
ethtool -K tun0 gro off gso off tso off

$ sudo
systemctl restart ntopng

 

ntopngのライセンスを購入済みであれば、この後ライセンスの適用といった流れとなります。ライセンスを保有していない場合でも、ntopngの評価検証だけであれば、正規ライセンスを必ずしも適用する必要はありません。

上記コマンドによりインストールが完了すれば、商用版が10分間起動しますのでntopngを評価することができます。


ntopngの設定

tun0に流れるトラフィックの時系列データ取得と可視化の為にntopngの設定を以下のように変更します。

 

$sudo vi
/etc/ntopng/ntopng.conf

snip

-i=tun0  ※-iオプションにGREトンネルインターフェイスを指定

-F=nindex

snip

:wq!

$ sudo
systemctl restart ntopng

 

以上で、ntopng側の設定は完了です。

 

GigaVUEによるコピートラフィックの送信

ntopngインスタンスの設定が全て完了すれば、後はGigaVUEの操作により監視対象インスタンスのコピートラフィックを送信するように設定します。

 

Gigamon クラウド可視化ソリューションとntopの連携で得られるもの

本連携により、以下を実現することができます。

  • AWS VPCの監視対象インスタンストラフィックの中長期フロー分析
  • AWS VPCの監視対象インスタンストラフィックのロギング(フロー単位)
  • AWS VPCの監視対象インスタンスのトラフィック可視化(マップ、時系列グラフ)
  • AWS VPCの監視対象インスタンストラフィックのパケット保存(pcap抽出)

 

また、オンプレ側にntopngサーバーを準備し、バックホールを通してAWS APCのトラフィックを転送することも可能です。

 

本記事で扱っているGigamon クラウド可視化ソリューションにご興味のある方は、以下のリンクから日本国内総代理店である株式会社マクニカ様へお問い合わせ、資料請求をお願いします。

Gigamon | お問い合わせ – 株式会社マクニカ(www.macnica.co.jp)
Gigamon | 資料請求 – 株式会社マクニカ(www.macnica.co.jp)

 

ntop社のnProbe, ntopng製品にご興味のある方は、以下のリンクから弊社までお問い合わせください!


 

 

 

 

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

JTC IT用語集
TOP