推奨構成 › ハードウェア フィルタを使用したデータ管理 › 正確なフィルタリングのための正規表現の使用

正確なフィルタリングのための正規表現の使用

ハードウェア フィルタには、キャプチャされるか破棄されるデータを正確に制御する正規表現を含めることができます。 フィルタの作成時に正規表現を適用できます。

次の手順に従ってください：

1. ハードウェア フィルタを作成します。
2. ［Logical Ports: New Hardware Filter］ページの［Advanced］をクリックします。 ［Logical Ports: New Advanced Hardware Filter］ページが表示されます。
3. 以下のフィールドに入力します。
   • Filter Enabled。 名前が示された論理ポートにフィルタが適用されます。 選択すると、nqcapd プロセスの再起動後にフィルタが適用されます。
   • Filter Name。 作成または編集中のフィルタの名前。 フィルタ名は、フィルタが適用される論理ポートの ［Hardware Filters］ページに表示されます。
   • Filter Priority。 優先度によって、フィルタ条件がオーバラップするときに優先されるフィルタが決まります。 2 つ以上のオーバラップしているフィルタの優先度が同じである場合、その優先順位は定義されていません。 値は 0（最高の優先度）から 62（最低の優先度）です。 デフォルトの優先度は 10 です。

     フィルタ優先度の設定はパケット スライスと共に使用できます。 たとえば、各 HTTP パケットのバイトをより多く保持するとします。 スライシングを「TCP ヘッダ + 50 バイト」に設定し、優先度を 1 に設定して、TCP および ポート 80 のフィルタを指定します。 その後、スライシングを「TCP ヘッダ + 1 バイト」に設定し、優先度を 10 に設定して、TCP の別のフィルタを指定します。 このシナリオで、他の TCP トラフィックより多い HTTP トラフィックのペイロード バイトが保持されます。

   • Packet Slicing Mode。 各パケットの選択した部分のみをキャプチャするオプション。 ハードウェア フィルタを使用すると、TCP/IP 以外のプロトコルのパケットをキャプチャできます。 ただし、Multi-Port Monitor は、TCP トラフィックのみのパフォーマンス メトリックを収集します。 ボリューム メトリックはすべてのトラフィック タイプに対して収集されます。
     • Capture full packet： フィルタを通過する各パケットからすべての情報がキャプチャされます。
     • Capture fixed size： すべてのパケットから一部のバイトがキャプチャされます。 ［Packet Slicing Size］フィールドで、キャプチャするバイトの数を入力します。
     • Capture headers plus size： すべてのレイヤ 2、レイヤ 3、およびレイヤ 4 ヘッダに加えて、［Packet Slicing Size］フィールドの固定数のペイロード バイトがキャプチャされます。 レイヤ 2 ヘッダには Ether II、LLC、SNAP、Raw ヘッダ、および VLAN、ISL、MPLS タグが含まれます。 レイヤ 3 ヘッダには IPv4 （IPv4 オプションを含む）および IPX ヘッダが含まれます。 レイヤ 4 ヘッダには TCP、UDP、および ICMP ヘッダが含まれます。
4. ［Field］リストおよび空白のフィールドで、式を構築します。 フィルタ構文に一致するパケットがすべてキャプチャされます。 ワイルドカードは使用できません。
   1. 最初のリストから、フィルタするパケット ヘッダからフィールドを選択します。 デフォルトでは、フィルタにはトラフィックが含まれます。 フィルタが適用される論理ポートでトラフィックからそのデータに相当するアイテムを選択します。 トラフィックを除外するフィルタを作成するには、除外するトラフィックを除くすべてのトラフィックを指定します。
      • VLAN ID： データを含める仮想 LAN （VLAN）の識別子。 VLAN ID をカンマ区切りリストで空のフィールドに指定します。 たとえば、VLAN 165 および 140 からのトラフィックを含めるには、「165,140」と入力します。 この論理ポートにフィルタリングを追加しなかった場合、これらの VLAN ID のいずれか一方のパケットがキャプチャされます。 「140-165」のように VLAN の範囲を指定することもできます。 そのようなフィルタは包括的であり、最初と最後の値も含まれます。
      • カプセル化： パケットに適用されるカプセル化。 キャプチャ ファイルから含めるカプセル化のタイプの値を指定します。 有効な値は以下のとおりです。

        VLAN： フィルタ操作で VLAN ヘッダを持つすべてのパケットを含むカテゴリ。

        MPLS： マルチプロトコル ラベル スイッチング ネットワーク アーキテクチャ。 MPLS は、サービス品質および TTL 情報など、パケット ルーティングを制御するラベルを含むヘッダを各パケットに添付します。

        ISL： 高性能リンク用の Cisco 独自の VLAN カプセル方式。

      • Layer 3 Protocol： フィルタ操作に含めるレイヤ 3 プロトコル。 このオプションを選択する場合は、1 つのプロトコル、またはプロトコルのカンマ区切りリストを指定します。 有効な値は IP および IPv4 です。
      • レイヤ 4 プロトコル： フィルタ操作に含めるレイヤ 4 プロトコル。 1 つのプロトコル、または複数プロトコルのカンマ区切りリストを指定します。 有効な値は TCP、UDP、および ICMP です。
      • IPv4 Source Subnet、IPv4 Destination Subnet： フィルタ操作に含めるサブネットの IP アドレス。 ［IPv4 Source Subnet］または［IPv4 Destination Subnet］を選択するか、あるいは［AND］または［OR］ボタンをクリックして正規表現に両方を追加します。 フィルタはパケット ヘッダの［ソース］または［宛先］フィールドに適用されます。 IP アドレス、およびサブネット マスクのビット数を指定します。 以下の構文を使用します： 123.45.67.0/24。
      • IPv4 ソース IP アドレス、IPv4 宛先 IP アドレス： フィルタ操作に含めるホストの完全な IPv4 アドレス。 フィルタはパケット ヘッダの［ソース］または［宛先］フィールドに適用されます。 1 つの IPv4 アドレス、カンマ区切りリスト、または範囲を入力できます。 標準的な構文を使用します（123.45.67.89、123.45.67.8,123.45.67.15、123.45.67.8-123.45.67.15 など）。
      • TCP Source Port、TCP Destination Port： フィルタ操作に含める単一のポート番号、ポート番号のカンマ区切りリスト、またはポート番号をハイフンで結んだ範囲。 フィルタはパケット ヘッダの［ソース ポート］または［宛先ポート］フィールドに適用されます。
   2. 2 番目のリストから条件（等しい（==）または等しくない（!=））を選択します。
   3. 空白のフィールドに、手順 a の選択内容に関連付けられている値を入力します。
   4. （オプション）フィルタに条件を追加するには、ブール演算子ボタン（［AND］または［OR］）のいずれかをクリックし、手順 a ～ d を繰り返します。

      フィルタの構文が［Conditions］フィールドに表示されます。

5. ［Save］をクリックします。 フィルタが［Logical Ports: Hardware Filters］ページに表示されます。
6. フィルタを有効にした場合は、nqcapd プロセスを再起動します。