キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
526
閲覧回数
2
いいね!
0
返信

Secure Network Analytics :CLIでフローを確認する方法について

htahara
Cisco Employee
Cisco Employee

 

はじめに

Secure Network AnalyticsのGUIのフロー検索の機能で収集したフローを確認することができますが、GUIで不具合が発生している可能性があるときに、CLIで直接フローデータを確認する方法を紹介します。

 

 

実施手順

本手順ではFC version7.4.2 非DataStore環境を使用しています。バージョンや環境の違いにより動作が異なる場合があります。
今回は条件を変えて2回検索していますが、SQL文を適切に変更することでお客様自身で様々な条件でデータを確認することができます。

 

(1)
FC に SSH でアクセスして、root ユーザでログインします。
(Copy & Paste できるクライアントを使用してください)

htahara_1-1705813096532.png

 

(2)

以下コマンドを実行するとフローデータを取得し、結果をreslt.txtというファイルに保存されます。
今回の場合はフローのスタートタイムが「2024/01/20より後」という条件で検索しています。

#/opt/vertica/bin/vsql -U dbadmin -w lan1cope -P pager=off -c "select * from flow_stats where start_time >= '2024-01-20 00:00:00.0 +0000';" >>result.txt

htahara_2-1705813151063.png

 

(3)
result.txtをエディタで確認するとこのようになります。フローのスタートタイムが2024/01/20より後のフローが出力されていることがわかります。

htahara_3-1705813204329.png

 

(4)

条件を変えてクライアントIPアドレスが「10.70.81.237」という条件で検索してみます。
今回は出力結果を絞って「フローID」、「クライアントIP」、「接続先IP」の3つのみにします。

#/opt/vertica/bin/vsql -U dbadmin -w lan1cope -P pager=off -c "select id, v6_ntoa(client_ip_address), v6_ntoa(server_ip_address) from flow_stats where client_ip_address = v6_aton('10.70.81.237');"

htahara_4-1705813288946.png

 

(5)
クライアントIPアドレスが「10.70.81.237」のフローが出力されていることがわかります。

htahara_5-1705813328143.png

 

0件の返信0