ここでは、高度なクエリの例をいくつか示します。

各通信パターンのフロー クエリ

  • データセンターまたはサイト全体の合計トラフィック(DCI リンク使用)

    sum(bytes) of flows where ( Dst Manager = 'abc' AND src manager = 'cba') OR ( Dst Manager = 'cba' AND src manager = 'abc')

  • 合計 VTEP トラフィック
    • sum(bytes) of flows where Flow Type = 'Src is VTEP' or flow type = 'Dst is VTEP' VTEP traffic grouped by VMKNIC
    • sum(bytes) of flows where Flow Type = 'Src is VTEP' or Flow Type = 'Dst is VTEP' group by ip
  • その他の管理トラフィック

    flows where Flow Type = 'Source is VMKNIC' or Flow Type = 'Destination is VMKNIC'

  • 拡張 L2 ネットワークのフロー

    flows where flow type = 'Extended L2 Network' and Destination IP Address = 10.172.13.14

集計とグループ分けに関するフロー クエリ

  • ソース仮想マシンごとの合計インターネット トラフィック

    sum(bytes) of flows where Flow Type = 'Internet' group by src vm

  • 合計バイト数ごとの上位ポート

    sum(bytes) of flow group by port order by sum(bytes)

  • ルーティングが設定されたトラフィック ボリュームごとの上位サブネット ペア

    sum(bytes) of flow where Flow Type = 'Routed' group by Source Subnet Network, destination subnet network order by sum(bytes)

  • 合計ペア バイト数ごとの仮想マシンの合計

    sum(bytes) of flows group by src vm , dest vm order by sum(bytes)

  • 合計バイト数ごとの上位サーバ仮想マシン/ポート

    sum(bytes) of flows group by dest vm , port order by sum(bytes)

キャパシティの見積もりとサイジングに関するフロー クエリ

  • ESX でグループ化されたすべての vm-internet/internet-vm トラフィックの合計バイト数(Palo Alto サービス仮想マシンのサイジング)

    sum(bytes) of flows where flow type = 'internet' and (flow type = ' src is vm ' OR flow type = 'destination is vm ') group by host order by sum(bytes)

  • 一致するフローに対して集計されたトラフィックの系列(Palo Alto サービス仮想マシンのサイジング)

    series( sum(byte rate)) of flows where host = 'ddc1-pod2esx012.dm.democompany.net' and (Flow Type = 'Source is VM' OR flow type = 'Destination is VM')

アプリケーションで役立つクエリ

  • 特定のアプリケーションの仮想マシン

    VM where application = 'CRM'

  • 特定のアプリケーションからルーティングが設定されたフロー

    Flows where source application = CRM and Flow Type = 'Routed'

  • 2 階層間のフロー(一方向)

    Flows where src tier = 'App' and Destination Tier = 'DB'

  • 2 階層間のフロー(一方向)

    Flows where ( src tier = 'App' and destination Tier = 'DB') OR (destination tier = 'App' and source tier = 'DB')

仮想マシンと ESX で役立つクエリ

  • Prod -Midtier-1 仮想マシンのプロパティ(MAC、IP アドレス、ホストなど)

    CPU Usage Rate, Network Rate, Memory Usage Rate, mac address, ip , vxlan , host of vm 'Quality control-VM26'

  • 仮想マシン数が最大のネットワーク セグメント

    vm group by l2 network

  • 仮想マシン数が最大のデータストア

    vm group by datastore

  • vSphere バージョンごとのホスト

    host group by version

  • vSphere ビルドごとのホスト

    host group by OS

  • 特定の UCS シャーシのスロットに配備されたすべてのホスト/ブレード上の全仮想マシン(ネストされたクエリ)

    vm where host in (host where Blade like 'sys/chassis-1')

便利なクエリ:一般的なキャパシティ

  • データ ソース数:

    count of datacenter

  • クラスタ数

    count of cluster

  • ホスト数

    count of host

  • 仮想マシン数

    count of vm

  • ネットワーク数

    count of vlan

便利なクエリ:ルート

  • プライマリ コントローラごとの VNI

    vxlan group by Primary Controller

  • プロバイダ エッジ 3 のルート

    routes where vrf = 'Provider Edge 3'

  • DMZ DLR のルート

    NextHop Router of routes where VRF = 'LDR-DMZ'

  • 指定されたルーターをネクスト ホップとして持つルート

    routes where NextHop Router = 'California-Edge'

便利なクエリ:ファイアウォール ルール

  • 2 台の仮想マシン間のファイアウォール ルール

    firewall rules from 'Prod-Midtier-1' to 'Prod-Db-1'

  • ANY ソースを持つルール

    firewall rules where Service Any = true

  • 特定のルールの仮想マシン

    vm where Firewall Rule = 'Prod MidTier to Prod DB - DBService '

  • 任意のポートが許可されるファイアウォール ルール

    firewall rule where action = allow and service any = true

  • 特定のファイアウォール ルールにヒットするフロー

    flows where firewall rule = 'Admin to Prod and Lab - SSH'

  • システム内の拒否されたフロー

    flows where firewall action = deny

  • ゲートウェイ ファイアウォールの表示

    Firewall Rule where firewall type = 'GatewayFirewall'

  • 分散ファイアウォールの表示

    Firewall Rule where firewall type = 'Distributed Firewall'

便利なクエリ:一般的なトラフィック パターン

  • East-West および North-South のトラフィック数、スイッチされたトラフィックの数、経路指定されたトラフィックの数、および仮想マシン間のトラフィック数

    plan security in last 7 days

便利なクエリ:セキュリティ レンズからのトラフィック

  • 上位エンティティ仮想マシンの詳細

    top 7 vm group by name, Vlan order by sum(Total Network Traffic) in last 7 days

  • トラフィック量が上位のネットワーク

    top 7 vlan group by Vlan id, vm count order by sum(Total Network Traffic) in last 7 days

  • ほとんどの通信が VLAN 内で完結する(物理ファイアウォールまたは L3 境界を越えない)ネットワーク

    top 7 flow where Flow Type = 'Switched' group by Subnet Network order by sum(Bytes) in last 7 days

  • ほとんどの通信が VLAN をまたぐ(物理ファイアウォールでボトルネックの問題を生じさせる可能性がある)ネットワーク

    top 7 flow where Flow Type = 'Routed' group by Source Subnet Network, Destination Subnet Network order by sum(Bytes) in last 7 days

  • 国外と通信する仮想マシン

    top 7 flow where Destination Country != 'United States' group by Source VM, Destination Country order by sum(Bytes) in last 7 days

  • ストレージ遅延の主な発生源となっているデータストア

    avg(Read Latency), avg(Write Latency) of top 7 vm group by Datastore, vlan order by avg(Write Latency) in last 7 days

便利なクエリ:コンプライアンス/脆弱性

  • 脆弱性のある OS の詳細

    vm where Operating System like 'Microsoft Windows Server 2003' or Operating System like 'Microsoft Windows Server 2008' or Operating System like 'Red Hat Enterprise Linux 6' or Operating System like 'Red Hat Enterprise Linux 5' or Operating System like 'SUSE Linux Enterprise 10' group by vlan, Operating System

  • 脆弱性のある OS の数

    count of vm where Operating System like 'Microsoft Windows Server 2003' or Operating System like 'Microsoft Windows Server 2008' or Operating System like 'Red Hat Enterprise Linux 6' or Operating System like 'Red Hat Enterprise Linux 5' or Operating System like 'SUSE Linux Enterprise 10'

  • 古い OS による攻撃対象領域の合計

    vm where vlan in (vlan of vm where os in ('Microsoft Windows Server 2003', 'Microsoft Windows Server 2008', 'Red Hat Enterprise Linux 6', 'Red Hat Enterprise Linux 5', 'SUSE Linux Enterprise 10')) group by Vlan

    count of vm where vlan in (vlan of vm where os in ('Microsoft Windows Server 2003', 'Microsoft Windows Server 2008', 'Red Hat Enterprise Linux 6', 'Red Hat Enterprise Linux 5', 'SUSE Linux Enterprise 10'))
    注: 脆弱性のある OS で推奨されるファイアウォール ルールを取得するには、 脆弱な OS を保護するために推奨されるファイアウォール ルールを参照してください。