はじめに
Secure Network AnalyticsのGUIのフロー検索の機能で収集したフローを確認することができますが、GUIで不具合が発生している可能性があるときに、CLIで直接フローデータを確認する方法を紹介します。
実施手順
本手順ではFC version7.4.2 非DataStore環境を使用しています。バージョンや環境の違いにより動作が異なる場合があります。
今回は条件を変えて2回検索していますが、SQL文を適切に変更することでお客様自身で様々な条件でデータを確認することができます。
(1)
FC に SSH でアクセスして、root ユーザでログインします。
(Copy & Paste できるクライアントを使用してください)
(2)
以下コマンドを実行するとフローデータを取得し、結果をreslt.txtというファイルに保存されます。
今回の場合はフローのスタートタイムが「2024/01/20より後」という条件で検索しています。
#/opt/vertica/bin/vsql -U dbadmin -w lan1cope -P pager=off -c "select * from flow_stats where start_time >= '2024-01-20 00:00:00.0 +0000';" >>result.txt
(3)
result.txtをエディタで確認するとこのようになります。フローのスタートタイムが2024/01/20より後のフローが出力されていることがわかります。
(4)
条件を変えてクライアントIPアドレスが「10.70.81.237」という条件で検索してみます。
今回は出力結果を絞って「フローID」、「クライアントIP」、「接続先IP」の3つのみにします。
#/opt/vertica/bin/vsql -U dbadmin -w lan1cope -P pager=off -c "select id, v6_ntoa(client_ip_address), v6_ntoa(server_ip_address) from flow_stats where client_ip_address = v6_aton('10.70.81.237');"
(5)
クライアントIPアドレスが「10.70.81.237」のフローが出力されていることがわかります。
