nProbeのHTTPプラグインでアクセスURL情報を収集

弊社では、ネットワークモニタリング、トラフィックの可視化に力をいれてまいりました。
今回の記事では、ntop社製品のnProbe HTTPプラグインを使って、監視対象ネットワークのデバイス(PC,スマホ、タブレット等)がどのようなWEBサイトにアクセスしているかといった情報を収集する方法をご紹介します。

文:ジュピターテクノロジー よしひろ

nProbeのHTTPプラグインは、表1のHTTP詳細情報をntopng GUIに出力することができます。
※nProbeのプラグイン機能は、ミラーポート/RITE/TAPに接続してパケット収集する構成の場合のみ機能します。
プロキシモードでNetFlow/sFlowを受信する場合はご利用いただけませんので、ご注意ください。

nProbeの各種モードの説明に関しては、「ソフトウェア NetFlowプローブ nProbeの3モードの理解と活用方法」をご一読ください。

表1 nProbe HTTPプラグイン

nProbeのプラグイン設定方法

nProbeにプラグイン設定するのは非常に簡単です。
以下のようにHTTPプラグインで収集したい情報を「%HTTP_~」の形式で、-Tオプションの@NTOPNG@の後ろに半角スペースを空けて追加しnProbeを再起動します。
※以下の例では、DNSプラグインフィールド(%DNS_QUERY, %DNS_RESPONSE)も追加していますのでご注意ください。

$sudo vi /etc/nprobe/nprobe.conf
~snip~ 
-T=”@NTOPNG@ %HTTP_URL %HTTP_UA %DNS_QUERY %DNS_RESPONSE”

図2 ntopngでのHTTP追加フィールド表示
HTTPプラグイン設定が完了すると、図2の「情報」列にURL等の詳細情報が表示されます。
詳細情報が表に収まらない場合は情報列をマウスオーバーすれば、関連する全ての情報が表示されます。

nProbeのフローダンプオプション

nProbeは、-Pオプションでフロー情報をダンプすることができます。
HTTPプラグインを導入すると、ダンプファイルに詳細情報が追加されます。

このnProbeダンプ機能を利用すれば、フローデータの生データを保存することと同義となります。
また、HTTPプラグインで取得できる詳細情報を恒久的に保存することができますので、インシデント発生後の詳細調査に役立てることができます。


本記事で扱っているntop社のnProbe, ntopngという製品ですが、ご興味のある方は以下のリンクから弊社までお問い合わせください!


こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

JTC IT用語集
TOP