2020年6月2日火曜日

nProbeのHTTPプラグインでアクセスURL情報を収集

弊社では、ネットワークモニタリング、トラフィックの可視化に力をいれてまいりました。
今回の記事では、ntop社製品のnProbe HTTPプラグインを使って、監視対象ネットワークのデバイス(PC,スマホ、タブレット等)がどのようなWEBサイトにアクセスしているかといった情報を収集する方法をご紹介します。
文:ジュピターテクノロジー よしひろ

nProbeのHTTPプラグインは、表1のHTTP詳細情報をntopng GUIに出力することができます。
※nProbeのプラグイン機能は、ミラーポート/RITE/TAPに接続してパケット収集する構成の場合のみ機能します。
プロキシモードでNetFlow/sFlowを受信する場合はご利用いただけませんので、ご注意ください。

nProbeの各種モードの説明に関しては、「ソフトウェア NetFlowプローブ nProbeの3モードの理解と活用方法」をご一読ください。

表1 nProbe HTTPプラグイン

nProbeのプラグイン設定方法

nProbeにプラグイン設定するのは非常に簡単です。
以下のようにHTTPプラグインで収集したい情報を「%HTTP_~」の形式で、-Tオプションの@NTOPNG@の後ろに半角スペースを空けて追加しnProbeを再起動します。
※以下の例では、DNSプラグインフィールド(%DNS_QUERY, %DNS_RESPONSE)も追加していますのでご注意ください。

$sudo vi /etc/nprobe/nprobe.conf
~snip~ 
-T="@NTOPNG@ %HTTP_URL %HTTP_UA %DNS_QUERY %DNS_RESPONSE"

図2 ntopngでのHTTP追加フィールド表示

HTTPプラグイン設定が完了すると、図2の「情報」列にURL等の詳細情報が表示されます。
詳細情報が表に収まらない場合は情報列をマウスオーバーすれば、関連する全ての情報が表示されます。

nProbeのフローダンプオプション


nProbeは、-Pオプションでフロー情報をダンプすることができます。
HTTPプラグインを導入すると、ダンプファイルに詳細情報が追加されます。

このnProbeダンプ機能を利用すれば、フローデータの生データを保存することと同義となります。
また、HTTPプラグインで取得できる詳細情報を恒久的に保存することができますので、インシデント発生後の詳細調査に役立てることができます。

本記事で扱っているntop社のnProbe, ntopngという製品ですが、ご興味のある方は以下のリンクから弊社までお問い合わせください!