環境設定画面は,ネットワーク監視を行うために設定が必要な項目のみを表示する「基本設定画面」と,詳細な設定項目を含めて表示する「詳細設定画面」があります。「基本設定画面」と「詳細設定画面」の切り替えは,下部に表示されている「基本設定画面」,「詳細設定画面」のボタンを押すと切り替わります。デフォルトでは「基本設定画面」が表示されます。
各種モードや情報を変更した後,「更新」ボタンを押すと環境設定の変更が行われます。デフォルトの「変更&再読込み」は変更情報が監視処理に即時反映されます。「変更のみ」は環境設定ファイルを更新するだけで,監視処理には反映されません。次の監視処理起動時に反映されます。「変更&監視処理起動」は環境ファイルを更新後,監視処理を起動します。初期構築時(監視処理が停止している場合)にチェックします。
| No |
項目 |
設定値 |
デフォルト |
| 1 |
監視モード |
ネットワークを監視するかどうかを設定します。
「監視モード」の変更はJP1/NETM/Network Monitorを再起動した後に有効になります。 |
ネットワークの監視を行わない |
| 2 |
排除モード |
不正接続機器を検出したときの動作を設定します。「不正機器を検出したら排除する」をチェックすると,許可機器一覧/固定機器一覧,または排除機器一覧にしたがって,不正機器を検出・排除します。
また,「不正機器を検出しても排除しない」のサブ項目「検出・排除ともに行わない」をチェックするとネットワークに接続されている機器の情報を収集して,接続機器一覧を作成します。この接続機器一覧から,許可機器一覧を作成することができます。
サブ項目「検出のみを行う」をチェックすると,検出ログの記録・トラップ通知など接続排除以外の処理は「排除する」設定時と同様に行います。(不正機器検出時のシミュレーションを行うことができます。)
なお,「不正機器を検出したら排除する」をチェックした場合には,「検出のみを行う」や「検出・排除とも行わない」をチェックしても無効となります。 |
「不正機器を検出しても排除しない」
「検出・排除とも行わない」 |
| 3 |
排除レベル |
不正機器を排除するための処理のレベルを設定します。
レベルが高くなると,より多くの排除パケットを出します。
「中」デフォルト:排除効果と監視装置のCPU負荷等のバランスから,通常はこのレベルを推奨します。
「高」:Windowsだけでなく,Linuxマシンの不正接続も確実に排除したい場合にチェックします。(レベル「中」でも,Linuxマシンを排除できますが,通信可能となるタイミングがあります。)
「低」:不正接続を排除した時に,その影響を受けて通信出来なくなる機器(一部の無線アクセスポイント)がまれにあり,「低」に変更することで影響を受けなくなる場合があります。
ただし,不正接続PCの通信を排除できないタイミングが発生したり,特定のOSの機器を排除することができないため,無条件での設定は推奨しません。(注4) |
中 |
| 4 |
動作モード |
不正機器の判定方法を設定します。
通常モードは,ホワイトリスト(許可機器・固定機器一覧)に登録されていない機器を,不正機器と判定します。
簡易モードは,ブラックリスト(排除機器一覧)に登録されている機器を不正機器と判定します。
両リストを同時に使用することはできません。また,簡易モードでは,持込みPCを自動で排除することはできません。 |
通常(許可機器一覧を使用する) |
| 5 |
トラップ情報(共通) |
ログのトラップ送信対象範囲を設定します。「警告」の場合は警告だけ,「操作」の場合は警告と操作,「情報」の場合は警告と操作と情報が出力されます。
通常は,「警告」をチェックします。 |
警告 |
| 6 |
トラップ情報(SNMP) |
SNMPマネージャにトラップ情報を通知するための,情報を設定します。
「バージョン」はSNMPマネージャが受信するSNMPのバージョンをV1またはV2で設定します。
「送信先IPアドレス」はSNMPマネージャのIPアドレスを設定します。
「コミュニティ名」はSNMPマネージャと通信を行う際のコミュニティ名を32バイト以内で指定します(注1)。 |
- バージョン「V1」
- 送信先IPアドレス「0.0.0.0」
- コミュニティ名「Public」
|
| 7 |
トラップ情報(独自) |
統合管理ツール(JP1/NETM/Network Monitor - Manager)にトラップ情報を通知するための,情報を設定します。
「送信先IPアドレス」は統合管理装置のIPアドレスを設定します。送信先ポート番号は,統合管理ツール(JP1/NETM/Network Monitor - Manager)で設定した受信ポート番号と合わせて設定してください。 |
- 送信先IPアドレス「0.0.0.0」
- 送信先ポート番号「0」
|
| 8 |
監視情報 |
- ●接続機器の保持期間
- 1〜365の値(日)を指定した場合,指定期間停止していた機器を接続機器一覧のエントリから自動削除します。保持期間に0を指定した場合は自動削除を行いません。
|
0(日) |
- ●監視状態見直し時の対処
- 「機器一覧の設定に従う」をチェックすると,監視状態見直し時(監視処理の再起動,機器一覧・環境設定の更新時)に,手動による接続許可・拒否を行った機器に対して許可機器一覧の登録情報に従って「許可・拒否」を判定し,手動による操作は無効になります。「状態を保持する」にチェックすると,監視状態見直し時も許可・拒否の状態を保持します。
|
機器一覧の設定に従う |
- ●監視間隔
- 監視間隔は,接続機器の検出を目的としたポーリング処理の送信間隔です。10〜3000ミリ秒の範囲で指定します。この設定値により,ポーリング処理によるネットワーク負荷を調整することができます。
- 監視間隔を0とすると,ポーリング処理を行いません。この場合,機器の検出に時間がかかる場合があります。
|
200(ms) |
- ●監視開始IPアドレスと監視終了IPアドレス
- ポーリングによる監視処理を行うIPアドレスの範囲(開始IPアドレスから終了IPアドレス)を指定します。"0.0.0.0"(デフォルト)を指定した場合は,監視対象ネットワーク内の全IPアドレスが監視対象となります。
- クラスAなどの大規模ネットワークのポーリング処理を行う場合は,ポーリングするIPアドレスの範囲を設定してください。
|
- 監視開始IPアドレス「0.0.0.0」
- 監視終了IPアドレス「0.0.0.0」
|
- ●監視対象外IPアドレス
- 監視しているネットワーク以外のIPアドレスで接続している機器を接続機器一覧に取り込むかどうかを指定します。「無視する」をチェックすると,監視対象ネットワークと異なるネットワークのIPアドレスを持つ機器を検知しても,ログや接続機器一覧に表示しません。
- 「取り込む」をチェックした場合,異なるネットワークのIPアドレスを持つ機器の情報を取り込んで,ログや接続機器一覧に表示を行いますが,許可・拒否の判定は行わず,接続機器一覧の状態表示は常に「対象外」となります。監視対象外IPアドレスも排除する場合は,次項「監視対象外機器の排除」の設定も「排除する」に変更します。
|
無視する |
- ●監視対象外機器の排除
- 監視しているネットワーク以外のIPアドレスで接続している機器を排除するかどうかを指定します。「排除する」をチェックすると,許可機器一覧に登録されていても監視対象ネットワークと異なるネットワークのIPアドレスを持つ機器は排除されます。また,「監視対象外IPアドレス」を「無視する」に設定してある場合には,本設定は無効となります。
|
排除しない |
- ●有効期限切れ機器の許可
- 有効期限が切れて,排除された機器に対して,許可する方法を設定します。
- 「有効期限の延長が必要」をチェックすると,有効期限を過ぎた機器に対して,手動操作で許可操作を行うことができず,許可機器一覧の更新(有効期間の延長または削除)が必要となります。「許可操作が可能」をチェックすると有効期限を過ぎた機器に対しても,手動で許可操作を行うことができます。
|
有効期限の延長が必要 |
- ●MACアドレスのベンダ指定
- MACアドレスの上位3バイトのベンダIDだけで許可機器をチェックするかどうかを指定します。「有効」をチェックすると,許可機器一覧に登録されたMACアドレスの下位3バイトがすべて0の場合はワイルドカードとして,上位3バイトのベンダIDだけでチェックします。これにより,ルータなどを同じメーカの予備品を交換した場合にMACアドレスは変わりますが,ベンダIDが変わらないので,許可機器一覧を更新しなくても許可状態を継続できます。
|
無効 |
- ●コンピュータ名
- コンピュータ名とワークグループ名(ドメイン名)の取得を行うかどうかを指定します。
- 接続状態が「動作中」の機器に対して約10分間隔でNetBIOS情報を収集し,接続機器一覧に「機器名・グループ名」として表示します。この収集にはWindowsのNBT(NetBIOS over TCP/IP)を使用しますので,NBTを有効にしているWindows PCが対象となります。なお,仮想IPアドレスなど複数のIPアドレスを使用しているPCやパーソナルファイアウォール機能が有効になっているPCからは情報取得できない場合があります。この収集処理を止める場合は,「収集しない」を指定してください。
|
収集する |
- ●コンピュータ名の変更
- コンピュータ名の変更を検出するかどうかを指定します。
- 「検出する」をチェックすると,コンピュータ名の変更を検出したときにログ出力します。なお,クラスタサーバのように,1つのMACアドレスで,複数のIPアドレスと対応するBIOS名を持つシステムでは,再起動(再接続)時に名称変更と判定される場合があります。このような場合は,「検出しない」に設定変更してください。
|
「検出する」 |
- ●許可機器の編集
- 監視装置で許可機器一覧の編集を可能にするか,不可にするかを設定します。
- WebConsole機能やその他連携製品により許可機器の更新を行う場合,「不可」に設定してください。統合管理ツールから「初期設定」を行うと「不可」に設定されます。
|
「可能」 |
| 9 |
検疫支援情報 |
- ●検疫支援モード
- 検疫を支援する通信を有効にするのかどうかを指定します。
- 検疫支援モードを有効にする場合には,「ON」を指定します。検疫支援機能を有効にした場合,ネットワークから排除された機器は,監視装置および指定した特定のサーバとの通信だけできるようになります(注2)。
- また,Windows Vista以降のOSやLinuxなど,特定のOSの機器を通信排除する場合にも検疫支援機能を有効にする必要があります。(注4)。
|
|
- ●許可機器起動時の対処
- 機器が起動したときにネットワークから排除し,機器に問題ないことを確認してから接続を許可する運用を行う場合に指定します。
- 「強制排除する」設定時は,検疫対象機器を許可機器一覧に,検疫を受けない機器は,固定機器一覧に登録してください。
- この機能によって排除された機器を許可する場合は,「拒否機器一覧画面」で機器を選択してから「許可」ボタンを押下してください。
|
|
- ●許可機器登録時の対処
- 新規に機器を検知したときに,ネットワークから排除し,機器に問題ないことを確認してから接続を許可する運用を行う場合に指定します。
- 検疫処理を受けて,パッチ/ウィルスパターンファイルなどが最新となった場合に,初めてネットワークに接続許可する場合に,「切断のままにする」を指定します。許可機器登録時すぐにネットワークに接続する場合は「接続を許可する」を指定してください。
- この機能によって排除された機器を許可する場合は,「拒否機器一覧画面」で機器を選択してから「許可」ボタンを押下してください。
|
|
- ●検疫実行方法
- 検疫を支援する通信を許可する機器の対象範囲を指定します。
- 「登録機器のみ検疫可能」を有効にした場合,接続拒否された機器のうち,許可機器一覧や固定機器一覧に登録した機器のみが監視装置または指定した特定のサーバと検疫通信できるようになります。
- 登録されていない機器は,検疫支援モードがONであっても,監視装置または指定した特定のサーバと通信ができません。
- なお,監視装置のOSが,Windows Server 2008,Windows 7の場合,「登録機器のみ検疫可能」は,非サポートです。
|
|
- ●「通知先IPアドレス」
- 機器の接続を検知した時に,その機器のアドレス(MAC+IP)情報を検疫モジュールに通知するために設定します。
- 「通知先IPアドレス」は,検疫モジュールがインストールされている機器のIPアドレスを指定します。
- 連携する製品(検疫モジュール)の設定指示に従って設定しますので,通常は設定不要です。
|
|
- ●「通知先ポート」
- 「通知先IPアドレス」と同様に検疫モジュールのポート番号を指定します。
|
|
| 10 |
IP重複検出 |
IPアドレスの重複を検出するかどうかを指定します。
IPアドレス重複検出時は,警告ログを出します。そのため,二重化システムで系が切り替わった時なども,該当IPアドレスが重複したと検出することがあります。トラップ通知を設定している場合は,その通知が管理者へ通知されますので,注意してください。
二重化システムがある環境では,二重化システムが使用するIPアドレスを「除外IPアドレス」に設定することを推奨します。なお,「除外IPアドレス」に設定できるのは五つまでなので,これを越える場合は「検出しない」に設定変更してください。 |
|
| 11 |
許容停止期間 |
許容停止期間は,指定した時間以上停止していた機器の接続を拒否するものです。
停止期間は,1〜8760時間の範囲で指定します。0を指定すると,停止期間の監視を行いません。
許可機器一覧/固定機器一覧の「停止期間監視対象」にYが指定されている機器が対象となります(設定方法は,「6.18 アップロード」を参照してください)。 |
0(時間) |
| 12 |
最大接続台数 |
接続機器一覧に表示する最大件数です。256から8192の範囲で指定します。
最大接続台数を超えた場合ログを出力し,それ以降に新しく接続された機器は接続機器一覧に登録されないため,監視・遮断されません。 |
4096(台) |
| 13 |
最大ログ件数 |
ログを保存する最大件数を指定します。4096から65536の範囲で指定します。最大ログ件数をオーバすると古いログを削除してサイクリックにログを保存していきます。なお,最大ログ件数を変更するとそれまで保存されていたログはクリアされます。 |
4096 |
| 14 |
不正機器特定情報 |
不正機器の位置(接続スイッチのIPアドレスを接続ポート番号)特定機能を有効にする場合,コミュニティ名を指定します。コミュニティ名の指定がない場合には,位置特定を行いません。
また,スイッチ情報の有無により以下の通り,スイッチの検出方法が異なります。
- <スイッチ情報が登録されていない>
- 監視ネットワーク内の接続機器から,ここに設定されているコミュニティ名を使用してスイッチのMIB情報を収集することで,スイッチを自動検出します。
- <スイッチ情報が登録されている>
- スイッチ情報に登録されている情報(コミュニティ名1)を使用して,スイッチのMIB情報を収集し,登録されている機器がスイッチかどうか判断し,検出します。
- JP1/NETM/Network Monitorが認識しているスイッチは,「その他」メニューのスイッチ情報で確認することができます。
- コミュニティ名を指定すると,画面表示を切り替えるメニュー一覧にスイッチ情報を設定するための「スイッチ」メニューを表示します。また「その他」メニューに「スイッチ情報」を表示します(注3)。
|
なし |
![[目次]](FIGURE/CONTENT.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
![[図データ]](FIGURE/ZU061900.GIF)
![[図データ]](FIGURE/ZU061910.GIF)
![[図データ]](FIGURE/ZU061920.GIF)
![[図データ]](FIGURE/ZU061930.GIF)
![[図データ]](FIGURE/ZU061940.GIF)