株式会社ディアイティはサイバーセキュリティとネットワークの企業

Omnipeekを使いこなそう
~Omnipeekの使い方~ (不定期連載)


第10回:Compassダッシュボード

Omnipeekの解析機能の1つに「Compassダッシュボード」という機能があります。
Compassダッシュボードは、Node、Protocol、Flow、Applicationなどの解析機能で解析された結果をさまざまな形でグラフに表示する機能になります。

Compassダッシュボードの表示概要

パケット解析の流れ


トップグラフで表示できる内容

トップグラフでは、以下の種類のグラフを表示することができます。

トップグラフ

Bits/Bytes/Mbits/Gbits

トラフィック量をBits/Bytes/Mbits/Gbitsで表示します。
表示のインターバルが1秒の場合は、帯域利用量(bps、Bytes/sec、Mbps、Gbps)の時間推移に相当するものになります。表示のインターバルが1秒以外の場合は、インターバル当たりのトラフィック量の時間推移を示します。


2-Way Latency

双方向遅延を表示します。
2-Way Latencyは、以下の2種類が表示されます。

2-Way LatencyはTCPフローでのみ計算され、それ以外のフローに対しては0と表示されます。


Response Time

クライアントからの要求パケットと、サーバーからのデータを含む応答パケットとの間のデルタ時間(応答時間)を表示します。
応答時間はTCPフローでのみ計算され、それ以外のフローに対しては0と表示されます。
平均応答時間(Average)は、表示インターバル内での平均値を表示します。
最大応答時間(Maximum)は、表示インターバル内での最大値を表示します。


Expert Events

Expertイベントのカウントを表示します。
このカウントに含まれるのは、画面上部のイベントタイプが有効になっていて、かつExpertイベントリストビューで選択されているイベントものが対象になります。Expertイベントリストビューが非表示の場合は、有効になっているイベントタイプのイベントすべてが対象になります。
詳細な設定方法は後述します。


トップグラフのグラフ表示形式を選択する

トップグラフは、次の4種類の表示形式で表示することができます。

トップグラフ|グラフ表示

設定アイコンの以下の部分にあるアイコンをクリックして選択してください。


統計情報ビューに表示される統計情報

統計情報ビューには、以下の統計情報が表示されます。
表示方法は、リスト、棒グラフ、円グラフから選択して表示することができ、リスト表示では利用率TOP50、棒グラフと円グラフでは、TOP10を表示します。ここに表示される統計情報は、キャプチャの内容(有線/無線)によって表示されない場合があります。
また、解析オプションが選択されておらず統計解析が行われていないものは情報が表示されません。

統計情報ビュー (*無線キャプチャのみ)

各統計の画面は、上図のように選択して表示することができます。
各画面右上のピンをクリックすると非表示になり、下のバーに格納されます。


グラフを要素で分類する

Compassダッシュボードのグラフの特徴は、統計解析結果の各要素が占める部分を分離し、色分けしてグラフに表示することができる点です。
一例を示し、使い方を説明します。


トップグラフで表示する内容を選択する

「トップグラフで表示できる内容」でご紹介した項目から、表示するグラフを選択します。また、表示形式を見やすさに合わせて選択します。
例では、「Packets」のTotalを棒グラフで表示しています。

トップグラフ表示


凡例ビューを表示する

設定アイコンの以下のアイコンをクリックします。有効になるとアイコンがオレンジ色に変わります。

凡例ビュー表示メニュー

トップグラフの右側に凡例ビューが表示されます。この時点では、「Total」のみが一覧に表示されます。

凡例ビュー表示


分離して表示する要素を選択する

統計情報ビューから、トップグラフで分離して表示する要素を選択します。
要素を選択する場合はリスト表示に切り替え、分離表示する項目をクリックします。
例では、アプリケーション解析の結果からアプリケーションをいくつか選択しています。

表示する要素の選択

要素を選択すると、凡例ビューに項目が追加され、トップグラフに反映されます。
凡例ビューには、選択された順に項目が表示されます。またトップグラフ上には、後から選択されたものが前面に表示されます。グラフが被って見えなくなってしまう場合は、統計情報ビューでの選択の順番を変更してください。
Totalのグラフは、最背面に表示されますので、上図の例でTotalのグラフが見えている部分は選択した項目以外の要素によるパケットであることがわかります。

注意点

この表示方法は、あくまで選択した要素が占める量を個別に重ねて表示するものになります。
例えば、ノード解析結果から特定のIPアドレスを選択し、プロトコル解析結果から特定のプロトコルを選択した場合、表示されるグラフは選択した各要素の占める量を色分けします。
「選択したIPアドレスが選択したプロトコルを使って通信した量」というようなAND条件の結果を表示するものではありませんのでご注意ください。


どんなときに使えるのか

どう使えばいいのかということで、1つの例をご紹介します。
次の図は、頻繁に無線LANの接続・切断を繰り返すトラブルが発生した端末の通信をパケットキャプチャしたものになります。
2本の無線LANアダプタを使用して、2チャンネル同時キャプチャを行った上で、問題の端末のMACアドレスが通信したパケットのみを抽出した状態になっています。

グラフ表示の利用例1

統計情報ビューの「Channels」に複数のチャンネルが表示されています(52CHと100CH)。なお、コントロールで使用される802.11aと実際の通信の802.11nは個別に表示されます。
この端末はキャプチャをした時間帯に複数のチャンネルを使って通信していました。この項目の中から、802.11nの2つのチャンネルを選択してグラフに表示すると、図のように短い間隔で2つのチャンネルが入れ替わっているということがわかります(ビジーローミング)。
パケットリストを上から順に見ていけば、同じことに気づくかもしれませんが、このようにグラフで表すことでより明確に状況を把握しやすくなります。


レポートに出力する

Compassダッシュボードで表示した内容は、レポートに出力することができます。
出力形式は、CSV、HTML、PDFから選択できます。
設定アイコンのプリンタのアイコンをクリックします。

レポートに出力する

次のような設定画面が表示されます。
各項目を設定して、「Save」ボタンをクリックします。


レポート出力メニュー

次の図は、PDFで出力したレポート(横長)です。
Compassダッシュボードで設定された状態のものが出力されます。統計情報ビューの部分は、選択されたグラフやリストになりますので、レポート出力時に棒グラフや円グラフにすると見栄えのよいものができます。
トラブル調査の結果報告としてご活用頂けるかと思います。


PDFレポートサンプル


パケットファイルを抽出する

Compassダッシュボードから必要なパケットを抽出する機能があります。
Compassダッシュボードで解析を行い、表示した部分のパケットだけを取り出して詳細を確認するなどに利用できます。2通りの抽出方法をご紹介します。

分離した要素のパケットを抽出

「グラフを要素で分離する」で紹介した手順でグラフを分離し、選択した要素に関連するパケットを抽出することができます。
トップグラフ上で右クリックし、「Select Related Packets」を選択します。
抽出される対象は、選択されている要素に関連するパケットです。図の例では、アプリケーションが「Youtube」のものとなります。複数の要素が選択されている場合は、OR条件での抽出になります。

パケットの抽出

次のような画面が表示されますので、抽出されたパケットの処理方法を選択します。
パケットをコピーする場合は、「Copy selected packets to new window」を選択します。新しいウィンドウにコピーしたパケットが表示されます。

パケットの処理方法


エリアを選択して抽出

Compassダッシュボードに表示されているグラフから、指定した範囲のパケットを抽出することができます。
1つ目の図のようにトップグラフ上でドラッグして範囲を指定すると、2つ目の図のように選択した範囲のグラフが表示されます。トップグラフの下には、現在選択されている部分が表示されます。


範囲抽出

ここで先程と同様に、トップグラフ上で右クリックし、「Select Related Packets」を選択してパケットを抽出します。
この2つの抽出方法は組合せて使うこともできます。


Expertイベントと並べて表示する

Omnipeekの代表的な機能の1つにExpert解析機能というものがあります。
Expert解析は、Omnipeekがキャプチャしたパケットから問題を見つけ出しイベントとして記録する機能です。Expertイベントをチェックすることで異なる視点からのパケット解析を可能にし、問題解決への手助けになります。
「トップグラフに表示できる内容」でご紹介したとおり、Expertイベントの発生数をグラフ表示できるようになっています。ただ、Expertイベントの発生数を単独で見るよりも、他のグラフと並べて関連を確認できるほうがよりネットワークの状況を把握しやすいものになります。
Compassダッシュボードでは、トップグラフのすぐ下にExpertイベントの発生数を表示する機能があります。この機能をExpertイベントビューと呼びます。

エキスパートイベント


Expertイベントリストビューを表示する

設定アイコンの右端の「!」アイコンをクリックします。
トップグラフの右側にExpertイベントリストビューが表示されます。この時点では、まだExpertイベントビューは表示されません。


イベントリストビューボタン


Expertイベントビューに表示する項目を選択する

設定アイコンの「!」の左に並んでいる4つのアイコンは、Expertイベントの重要度の分類を示すものになります。
アイコンと内容は以下のようになります。

イベントアイコン

設定アイコンの重要度のアイコンから、Expertイベントビューに表示する重要度をクリックして選択します。オレンジ色の背景になっているアイコンが有効になっているものになります。


ExpertイベントリストビューでExpertイベントビューに表示するイベントを選択する

Expertイベントリストビューには、次の図のように選択した重要度のイベントが表示されます。この中からExpertイベントビューに表示するイベントを選択します。

イベントの選択

選択したイベントは、発生日時の部分に各重要度の色のバーで表示されます。
トップグラフに表示したトラフィック量などのグラフと並べて表示することで、トラフィック量の変化とイベントの発生の相関を視覚的に把握することができます。
なお、Expertイベントビューのバーにカーソルを合わせると、その日時に記録されたExpertイベントの内容と発生数がポップアップ表示されます。

エキスパートイベント


リアルタイム解析とポストキャプチャ解析

Compassダッシュボードは、パケットキャプチャをしながら行うリアルタイム解析、保存されたパケットファイルを開いて解析するポストキャプチャ解析のいずれにも対応しています。
リアルタイムでCompassダッシュボードを使用する場合、必要な解析オプションをすべて有効にしてパケットキャプチャを行う必要があります。リアルタイム解析は多くのリソースを必要とし、有効にした解析オプションが多くなるほどキャプチャパフォーマンスを低下させるというデメリットがありますので、ご利用の際はご注意ください。
可能な限り解析オプションを無効にしてキャプチャパフォーマンスが高い状態でキャプチャを行い、ポストキャプチャ解析でご利用頂くことを推奨します。


この製品に関するお問い合わせ

03-5634-7653電話受付時間/平日9:00-18:00
メールでのお問い合わせ

24時間受付