ネットワークのトラフィック監視とは？主な監視手法や監視項目を紹介

テレワークの一般化やSaaSの普及など、時代の変化とともにネットワーク上で行われる通信量は増加傾向にあります。このような中、ネットワークの状況を把握し、また輻輳などのトラブルが発生した際に迅速に原因を究明するためにも、トラフィックの監視は重要度を増しているといえるでしょう。この記事では、トラフィック監視の概要や主な手法、監視項目などについてご紹介します。

トラフィック監視とは

トラフィックとは、インターネットやLANなどのコンピュータ通信において、通信回線上に流れる一定時間あたりのデータ量のことを意味します。トラフィック量は、一定の地点間において測定されることとなります。たとえば、企業内ネットワークにおいて本社と支店をつなぐために回線を敷設している場合、本店と支店の間の一定時間あたりのデータ通信量がトラフィックとなりますし、データセンター内においてはサーバーからゲートウェイまでの通信量をトラフィックとして計測することもあるでしょう。

トラフィックを計測する際には、一般的に単位としてbps（bits per second：1秒あたりのビット数）を用います。これは、1秒当たりに通信回線上に流れているビット数を表すもので、たとえば1Gbpsであれば1秒当たりに1ギガビットのデータが流れていることを示します。

トラフィック監視とは、このトラフィックの平均値やピーク値、増減などの変化パターンを監視することを指す言葉です。トラフィックが増加すると、通信の遅延が発生し、場合によってはタイムアウトの発生などで通信エラーが起きることもあります。本社と支店の間のトラフィックが増加すると、たとえば支店から本社にあるファイルサーバーにアクセスする際、遅延が発生したり、アクセス自体ができなくなったりするケースが考えられます。

このようにトラブルの前兆を把握したり、ネットワークインフラの増強の検討を行ったりするためにも、トラフィックの監視を行う必要があります。

主なトラフィック監視方法

トラフィック監視を実現する方法は様々です。以下では、トラフィック監視に用いられる主な方法について紹介します。

SNMP

SNMP（Simple Network Management Protocol）は、TCP/IPプロトコル群に含まれるプロトコルのひとつであり、ネットワークに接続されている機器の監視に用いられます。SNMPを用いることで、機器の稼働状況やリソースの使用状況など様々な情報を取得できます。そのうちの一つとしてトラフィック状況の取得に利用することも可能です。

SNMPはインターネット技術の標準化を推進する団体であるIETF（Internet Engineering Task Force）によって管理されている標準的なプロトコルであり、ベンダーや機器を問わずに利用できる点がメリットです。

SNMPは監視対象機器にインストールするSNMPエージェントと、管理を行うSNMPマネージャから構成されます。双方が通信を行うことで、各監視対象機器上のトラフィック情報を取得できます。

「Simple」という名称のとおり、詳細な情報を取得するのには不向きです。たとえばIPアドレス別にトラフィックをフィルタしたりすることはできません。より高度な監視を行うためには、他の手法も検討する必要があります。

SNMPを用いた監視の詳細については、以下の記事でもご紹介しておりますので、併せてご確認ください。

※今月執筆中の「SNMP監視」へのリンクを張る想定です。

WMI

WMI（Windows Management Instrumentation）はWindows OSにおいて用いられる監視手法です。トラフィックの監視以外にも、リソースの利用状況やサービスの起動状況、イベントログなどの様々な情報を取得するのに利用することができます。

Windows OSで動作する機器に対しては、WMIを利用することで送受信のトラフィックやエラーが発生した・破棄されたパケット数などの情報を取得できます。豊富な機能を有する一方で、Windows OS以外での活用が難しく、活用できる領域が限定される点がデメリットともいえます。

パケットスニファ

パケットスニファは、通信が行われるノード間を通過するパケットを監視することで、通信状況を把握する手法のことです。パケットキャプチャとも呼ばれます。

送受信されている具体的な内容まで監視を行うため、通信内容によりフィルタリングを行ったり、プロトコル別にトラフィックを分析したりと、詳細な監視と分析が行える点にメリットがあります。どちらかというと常時監視のために実施するというよりも、問題が発生した際にその内容を特定したり、分析したりする際に活用する手法といえます。

パケットスニファにより、様々な情報を収集できるものの、監視対象のネットワークや監視機器のCPUなどに負荷がかかってしまうというデメリットもあります。

NetFlow/sFlow

NetFlowはネットワーク機器の製造大手であるCisco社が開発した技術です。Cisco社の機器はもちろんのこと、他社製品であってもNetFlowに対応している機器も多く、活用の幅が広い監視手法です。NetFlowにはIPアドレスやmacアドレスごとのトラフィック把握などの機能が備わっており、詳細なトラフィック監視を行うことができます。

類似する技術としてsFlowというものも存在します。sFlowはInMon社が仕様作成した技術ですが、上述したインターネット技術の標準化を推進する団体であるIETFによって標準化されている技術です。その他、類似の技術としてJ-FlowやIPFIX、AppFlowなど、様々な技術が存在します。これらを併せてxFlowと呼ぶこともあります。

NBAR

NBARはCisco社が開発したアプリケーションプロトコルを分類する技術です。アプリケーションレベルでトラフィックの識別を行うことができ、動的にポートを利用するような、トランスポート層では把握できないアプリケーションレベルの通信トラフィックも監視できます。また、URLによる識別も可能となりますので、HTTPトラフィックをURL別に状況把握するような使い方も可能です。

たとえば、NBARではZoomやMicrosoft365などのSaaSごとにどのように通信が行われているかを調べることもできます。SaaSの動作が不安定である場合に、その原因調査に活用することも可能です。

トラフィック監視における監視項目

以下では、トラフィック監視における主な監視項目を整理します。

送受信トラフィック

基本的な要素として、トラフィック監視では送信および受信のトラフィックを監視します。この際、総トラフィック量の監視はもちろんのこと、利用しているプロトコルごとやIPアドレス・MACアドレスごとにフィルタリングを行ってトラフィックを監視することも重要です。このような情報があれば、輻輳の発生時などネットワーク通信に異常ある場合に原因の究明を行いやすくなります。上述したNBARを用いることで、アプリケーション別のトラフィック状況を分析することも可能となります。

トラフィックの使用率は時系列グラフなどで可視化することで、トラフィックの変化をとらえやすくなります。可視化機能を備えた監視ツールの採用も有効でしょう。

帯域使用率

トラフィックの使用率（帯域使用率）は、ネットワークの余裕度を見る上で参考になる情報となります。帯域の使用率が上がると、そのネットワーク上での通信を利用するシステムのレスポンスが低下したり、最悪の場合、通信ができなくなってしまったりといった問題が生じます。

帯域使用率が常時高いようであれば、ネットワークの増強も検討することとなります。トラフィック監視により、常時帯域使用率が高い状況を検知することで、早めの対応が可能となります。また、一時的な理由によって帯域の使用率が一定を超えた場合にアラートを上げるような仕組みを設けることで、ネットワーク上の輻輳を早期に発見することもできるでしょう。大規模なマーケティング施策やTVCMなどを実施した際に、自社のWebサイトやシステムに大量のアクセスがあった場合などに、対応しやすくなります。

帯域使用率は「ネットワークのトラフィック / 回線速度」で計算されるものです。各種情報からいちいち帯域使用率を計算していては、迅速な把握はできません。帯域使用率の算出や時系列での可視化機能を備えている監視ツールがあると、帯域使用率の状況を把握しやすくなります。

トラフィック監視機能を備えたLogicMonitorとは

このように、ネットワーク上のトラフィックを監視するためにはトラフィック監視に有効な機能を備えた監視ツールを採用するとよいでしょう。当社では、SaaS型のIT統合運用監視サービスである「LogicMonitor」を提供しています。LogicMonitorは、トラフィック監視に活用できる様々なプロトコルに対応しています。以下では、LogicMonitorの導入によりどのようなトラフィック監視を実現できるのかについて紹介します。

SNMP・NetFlow・sFlow・NBARなど幅広いプロトコルに対応

LogicMonitorでは、本記事で紹介したSNMP・WMI・NetFlow・sFlow・JFlow・NBARなど、幅広いプロトコルに対応しています。あらゆるメーカーの機器が存在するネットワーク上であったとしても、一元的にトラフィック監視を実現することができます。

ダッシュボードによる可視化

トラフィック状況はダッシュボード機能により時系列情報として可視化できます。これにより、トラフィックの増大にも一目で気づけるようになります。

ダッシュボード上にはIPアドレスやプロトコル、対象ポートなどの情報に加え、それらで区分した形でトラフィック量や帯域使用率も表示されます。これにより、ネットワークに問題が発生している際にも、原因究明がしやすくなります。さらに、デバイスごとやデバイスを単位ごとにひとまとめにしたデバイスグループごとでのトラフィック量の表示も可能です。

NBARにも対応しており、アプリケーションレベルでトラフィック量を分析することも可能です。どのアプリケーションが帯域を使用しているのかも、把握しやすくなります。

監視対象機器を自動で検出

LogicMonitorはエージェントレス型のツールであり、LogicMonitor Collectorによりネットワーク内に存在する機器を自動で検出し、監視対象とすることができます。これにより、導入時においても迅速な対応が可能となり、機器の追加や更新にも対応しやすくなります。

エージェント型のメリットとして、監視対象機器に負荷をかけないで監視を実現する点も挙げられます。LogicMonitorの導入により、大規模システムにおいても、比較的負荷を抑えて監視を実現できます。

まとめ

この記事では、トラフィック監視の概要や実施方法、監視項目などについてご紹介しました。ネットワーク上のトラフィック量を把握するトラフィック監視は、基本的な監視項目のひとつであり、多くのシステムやネットワークにおいて実施すべきものです。トラフィック監視を実現する上では、単に情報を収集するだけではなく、時系列分析による可視化やIPアドレス、デバイスごとの状況把握など、詳細な分析が有効です。トラフィック監視を実施する上では、このような機能を備えたツールの活用が有効となります。