クラシックなNetFlowとフロー分析は通常、ソースIP、デスティネーションIP、ポート、プロトコル、バイト数などのL3/L4フィールドに依存します。そのデータはネットワークキャパシティとトラフィック方向には価値がありますが、モダンなHTTPおよびAPIトラフィックでは「何が起きたのか?」という質問に単独では答えられません。同じIPとポートで数百の異なるホスト、パス、メソッド、アプリケーションの動作が共存できます。
運用チームとセキュリティチームはフローコレクター画面で高いトラフィック量を見ることができますが、そのトラフィックがどのURL、メソッド、ステータスコード、クライアントコンテキストで生成されたかが見えなければ、分析は不完全なままです。L7コンテキストはキャパシティ計画、DDoS分析、PCIスコープレポーティング、リクエストレベルの監査に必要です。
この差を独立したフロープローブや外部コレクターレイヤーで埋めることは可能ですが、インストール作業、独立したメンテナンス、独立した高可用性モデル、独立した監視のオーバーヘッドが追加されます。アプリケーショントラフィックがすでにADC/WAAPlayerを通過しているときに、別のポイントで同じコンテキストを再現することは運用上非効率です。
正しいアプローチはトラフィックの通過ポイントでフローエクスポートを生成し、標準的なIPFIX / NetFlow形式で外部システムへ配信することです。標準フィールドはネットワークの可視性を保持し、Enterprise IEフィールドはHTTPコンテキストを追加します。フロー分析システムは「どのIPがどれだけ通信したか?」だけでなく「どのパス、どのレスポンス、どのクライアントコンテキストで通信したか?」も答えられます。
TR7ネイティブIPFIX / NetFlowエクスポートは標準IPFIXフィールドとTR7 Enterprise IEフィールドを組み合わせ、リクエストとレスポンスの両フェーズからL7エンリッチされたフローレコードを生成します。
TR7はフローエクスポートを外部プローブの役割から取り除き、ADC/WAAPレイヤーのデータパス内の組み込みオブザーバビリティレイヤーとして実装します。
標準とエンタープライズの情報要素は組み込みライブラリによって準備されます。Luaラッパーはリクエストとレスポンスのフェーズから必要な値を収集し、IPFIXレコードに変換します。
リクエスト側では、ホスト、パス、クエリ、メソッド、ヘッダー、アップロードバイトデータが収集されます。レスポンス側では、ステータスコード、レスポンスコンテンツタイプ、ダウンロードバイト数、ターミネーション状態がフローレコードを完成させます。
IPFIX v10形式はテンプレートセットとテンプレートIDを使用してフローフィールドを外部システムに定義します。このモデルにより、コレクター側でフィールドを正しく解析でき、標準フロー分析ツールとの互換性が維持されます。
TR7 Enterprise Number 57011の下で、アップロード/ダウンロードバイト数、リクエストクエリ、X-Forwarded-For、Referer、Cookie、レスポンスコンテンツタイプ、ターミネーション状態のカスタムフィールドが定義されます。このメカニズムによりクラシックなフローデータがL7コンテキストでエンリッチされます。
IPFIX / NetFlowエクスポートは標準ネットワークフィールドとHTTPリクエスト/レスポンス詳細を組み合わせ、エンリッチされたフローレコードをコレクターシステムへ送信します。
TR7は標準IPFIX情報要素を使用してsourceIPv4Address、destinationIPv4Address、sourceIPv6Address、destinationIPv6Addressをエクスポートできます。IPv4とIPv6の両方のトラフィックがフロー分析のスコープ内で可視化されます。デュアルスタック環境はIPv4のみの分析に制限されません。ソースとデスティネーションのネットワーク可視性は標準フィールドを通じてコレクター側で維持されます。
sourceTransportPortとdestinationTransportPortフィールドがフローレコードに含まれます。これらのフィールドはクライアント接続、VIPポート、サービスアクセスのネットワークレベル分析で重要です。HTTPコンテキストと組み合わせると、どのポートでどのアプリケーションパスが動作しているかを確認できます。キャパシティと異常分析がより意味のあるものになります。
httpRequestHost、httpRequestPath、httpRequestMethod、httpMessageVersionなどの標準HTTPフィールドがフローレコードをL7レベルに引き上げます。同じIPとポートで異なるホストやパスを区別できます。これはバーチャルサービスとマルチアプリケーション環境で重要な可視性を提供します。フロー分析はもはや接続だけでなく、アプリケーションリクエストのコンテキストも見られます。
httpStatusCodeフィールドはレスポンスが成功、リダイレクト、クライアントエラー、またはサーバーエラーかを示します。リクエストコンテンツタイプとレスポンスコンテンツタイプフィールドは転送されるデータの種類を分析するのに役立ちます。この情報はエラーレート分析、APIの動作検査、データタイプベースのトラフィック調査に特に価値があります。フローコレクター上でL7エラートレンドをより明確に読み取れます。
httpUserAgent、httpReferrer、httpCookieフィールドはクライアント動作のより詳細な分析を可能にします。これらのフィールドはbot分析、ユーザーフロー調査、クライアントタイプの区別に使用できます。Cookieフィールドはセンシティブなデータを含む可能性があるため、エクスポートポリシーは慎重に設計する必要があります。セキュアな環境と限定されたコレクターターゲットに対してのみ必要に応じて有効にすべきです。
TR7 Enterprise IEにはuploadedBytesとdownloadedBytesフィールドが含まれます。これらのフィールドはリクエストボディとレスポンスボディの量をフローレベルで測定することを可能にします。合計接続バイト数だけでなく、方向性のあるアプリケーションデータフローも分析できます。大きなアップロード、異常なダウンロード、データ流出の疑いなどのケースでこの可視性は価値があります。
httpRequestQueryフィールドはパスを超えたクエリパラメーターをフローレコードに追加します。httpXForwardedForフィールドはプロキシチェーンの背後にある実際のクライアントIPを分析するのに役立ちます。これら両方のフィールドはアプリケーションログとフローレコードを相関させる際に特に価値があります。リクエストコンテキストはセキュリティとコンプライアンスの調査でより完全になります。
httpTerminationStateCodeフィールドは接続がどのように終了したかについての追加シグナルを提供します。正常クローズ、エラー、中断、または予期しないターミネーションをフロー分析で区別できます。この情報はネットワークとアプリケーション層の問題を共同で評価するのに役立ちます。エラーの根本原因分析でSREチームにとって価値のあるフィールドです。
Enterprise IEフィールドはTR7 Enterprise Number 57011の下で定義されます。この構造は標準IPFIX互換性を壊しません。カスタムフィールドを明確に解析可能な方法で運びます。コレクター側がこれらのフィールドを認識するよう設定されると、L7詳細がフローダッシュボードで利用可能になります。標準とカスタムフィールドが同じエクスポートレコードに結合されます。
TR7のエクスポートアプローチはIPFIX v10上に構築され、NetFlow v9後方互換パスをサポートします。これにより組織の既存のフローコレクターとネットワーク可視性への投資との統合が容易になります。新しいカスタムログ形式を学ぶ代わりに、標準フローエコシステムを使用できます。L7エンリッチメントはTR7の追加価値レイヤーとして提供されます。
IPFIX / NetFlowエクスポートはテンプレート構造、エンタープライズフィールド、トランスポートの動作、バイトオーダー、ビルド依存関係と合わせて運用されます。
IPFIXバージョン値は10です。Template Set IDは2で、Template IDは256です。このテンプレートはどのフィールドがどの順序で来るかをコレクターに通知します。
IPFIXヘッダーはversion、length、exportTime、sequenceNumber、observationDomainIdフィールドで構成されます。総ヘッダー長は16バイトです。この構造は標準IPFIXコレクター互換性のための基本フレームを提供します。
TR7カスタム情報要素はEnterprise Number 57011の下で運ばれます。uploadedBytes、downloadedBytes、httpRequestQuery、httpXForwardedFor、httpReferrer、httpCookie、httpResponseContentType、httpTerminationStateCodeフィールドがこのスコープで定義されます。非標準のL7フィールドはこのメカニズムを通じて明確に区別されます。
エクスポートのデフォルトトランスポートはUDPです。コレクターポートは環境要件に応じて4779や2055などの値に設定できます。UDPは低オーバーヘッドで広く使われるフロートランスポートモデルです。配信保証が必要な環境では、コレクターアーキテクチャをそれに応じて計画する必要があります。
マルチバイトフィールドはネットワークバイトオーダーを使用して転送されます。この動作はポート、長さ、テンプレート、カウンターフィールドの正しい解析に重要です。コレクター互換性はこの標準エンコーディングに大きく依存します。
組み込みCライブラリはLua統合のために共有ライブラリとしてコンパイルされます。ビルド環境にはLua開発パッケージ、pkg-config、コンパイルツールが必要です。結果として生成されるライブラリはLuaラッパーによって呼び出されてフローレコードを生成します。
サービスプロバイダーはTR7からIPFIXエクスポートを受け取り、既存のフロー分析システムでHTTPホスト、パス、ステータスコードの詳細を表示できます。クラシックなIP/ポート分析がL7コンテキストで拡張されます。キャパシティと異常の調査がより意味のあるものになります。
金融機関はすべてのHTTPリクエストをフローレコードとして外部システムにエクスポートできます。ホスト、パス、メソッド、ステータスコード、バイトフィールドはSIEMまたはフローコレクターと相関させることができます。どのアプリケーションパスでどのトラフィックが流れたかという監査の質問がより明確に答えられます。
セキュリティチームはフローレコードのアップロード/ダウンロードバイト値とHTTPステータスコード分布を異常検出に使用できます。突然の大きなアップロード、異常なダウンロード、または高密度な4xx/5xxパターンはコレクターで監視できます。TR7は攻撃分析のためにL7シグナルをフロー層へ運びます。
カードホルダーデータスコープ内のアプリケーションパスはフローエクスポート内でホストとURLコンテキストで追跡できます。監査チームはIP/ポートだけでなく、関連するHTTPパスに基づいたトラフィックの証拠を受け取ります。これによりスコープの決定と監査証跡の作成プロセスが強化されます。
運用チームは既存のフロー分析システムでIP/ポートだけでなく、HTTPパスによるトラフィック量を表示できます。どのエンドポイントがどの負荷を運んでいるかをより詳細に分析できます。この可視性はリソース計画と成長判断をサポートします。
IPFIX v10とNetFlow v9互換のネイティブエクスポート — 独立したプローブなしでHTTPエンリッチされたフローレコード。お客様自身のコレクターインフラでライブウォークスルーを実施します。