NTA-Webコンソール上の用語-グラフについて

NTA(NetFlow Traffic Analyser)のWebコンソール上で利用される用語は、英語表記と比較して、日本語表記は混同しやすい表記になっています。

Webコンソールのメニュー

pastedImage_2.png

NTAメニュー内で最も分かりにくいのが、送信元、受信先、です。
- 送信元(英語表記: Transmitters): パケットを送信する側の意味、"Source Address" を指す
- 受信先(英語表記: Receivers): パケットを受取る側の意味、"Destination Address" を指す
- エンドポイント(英語表記: Endpoints): 送信元或いは受信先のいずれかを含む通信を指す
 ※ある特定のIPアドレスに関して、送信/受信に関わらずどんな通信でも確認したい、のような時にこれを利用できる。
- カンバセーション(英語表記: Conversations): あらゆるある2点間(IPアドレス{X} - IPアドレス{Y})の通信を指す


方向

上のメニューと用語がダブっていることが、更にわかりにくくしています。

pastedImage_9.png

- 受信(英語表記: Ingress)
- 送信(英語表記: Egress)

NTAは、フローソースデバイス上の特定インターフェイスから転送されるフローデータ(UDPデータ)を受信して活用します。
Ingressとは、外部からインターフェイスに入ってくる通信
Egressとは、インターフェイスから外部に出ていく通信
を指します。

pastedImage_11.png

※「社内LANからInternet(外部)への通信」のような言い方をしますが、上の絵のように、この言い方とIngress/Egressは関係ありません


グラフ(chart)

以下は、トップxxアプリケーションを面グラフ(棒グラフ)表示として、過去1時間の両方向(Ingress/Egress)のデータを表示させ、トップ量であるMS-SQL-Server(1433)の表示のみとした例。

pastedImage_5.png

この例での読み取り方として、
- 過去1時間における、MS-SQL-Server(1433) の通信データの総量(Ingress+Egress)は、144.8+144.8=289.6 Mbytes。
- これを単位換算すると、289.6 Mbytes/時 >>> 4.83 Mbytes/分 >>> 0.08 Mbytes/秒 (80 Kbytes/秒)
  つまり、過去1時間の平均的なbpsは 0.08 Mbytes/秒だが、ところどころで1.0 Mbpsを超える程度の通信が発生している、と言える

上のグラフの11:00過ぎあたりの1.0Mbpsを超えている辺りにフォーカスしたのが下のグラフ(※マウス操作でフォーカスできる)

pastedImage_7.png

NTAでは、最小1分毎間隔のグラフ表示が可能。
11:02に1.1Mbpsを示していることが確認できる。
また、NTAのグラフの[編集]にて、縦軸を「指定期間中に転送されたデータ」に変更できる。
これにより、ここでは、8.0MBのデータが流れていたことがわかる。

pastedImage_8.png

※グラフの[編集]では、トップxxの表示数や、グラフのタイプの変更も可能


ヒント:
NTAのグラフは、選択する時間(横軸)の範囲によって、自動でその粒度が変わる
- 範囲が4時間以内: 1分の粒度
- 4時間以上~48時間以内: 15分の粒度
- 48時間以上~7日以内: 1時間の粒度
- 7日以上: 6時間の粒度


[関連情報]
NTA: Flowデータ取得構築のヒント
Overview of Network Traffic Flow Technologies - Video (用語など解説の英語ビデオ)
NTA chart granularity