Windowsファイアウォールのログをお手軽に可視化する(3) [ネットワーク]
前々回でログからネットワークグラフを作り、前回では余分な経路を除いてすっきりさせました。いよいよこれを見やすく装飾していきます。
【無料で使えるグラフ可視化ソフトCytoscapeを使用してファイアウォールのログを可視化する試み】
関連記事: Windowsファイアウォールのログをお手軽に可視化する(1) (2) (3) (4)
可視化したファイアウォールのログを観察
今回の作業はControl PanelのVizMapperタブを使います。
まず作業を開始する前に、現在のスタイルを保存しておきます。
- Current Visual Style の右側のアイコンをクリックしてCopy existing visual styleを選択、適当な名前で保存
次に、まず全体の見た目を変更していきます(以下は完全に私の好みですが)。
- 下のSource-Targetと書かれた絵をクリック、ダイアログが出てくる
- 次のように設定
Globalタブ
・BackGround Color→黒Nodeタブ
・NODE_SHAPE→Round Rectangular
・NODE_LABEL_COLOR→白
・NODE_OPACITY→70EDGEタブ
・EDGE_LABEL_COLOR→灰色
・EDGE_TGTARROW_SHAPE→Arrow
・EDGE_TGTARROW_COLOR→青
・EDGE_OPACITY→200
・EDGE_TGTARROW_OPACITY→200
ここで一旦別名で保存。いま画面はこんな感じのはず。
つぎは、各エッジやノードの属性に応じて見た目を変化させるようにします。これにはVisual Mapping Browserを使います。まず試しに次の操作を。
- Edge Labelをダブルクリック、Valueのリストからinteraction(ポート番号)を選ぶ
- Mapingのリストからpassthroughを選ぶ
これはinteraction(ポート番号)の値をそのままエッジラベルの値にマップするということです。
すると、画面上のエッジの所にポート番号が表示されるようになりました。
ここでおさらいですが、前回、表にまとめたようにエッジの属性として利用可能なのはポート番号(interaction)、アクション(column3)、プロトコル(column4)、パケットのサイズ(column9)があります。また、ノードの属性としてはIPアドレス(ID = canonicalName) があるほか、何本のエッジと接続されているか(Degree)が利用可能です。
※ここでちょっとしたトリックがあって、Degreeを利用するためには一度Layout→Cytoscape Layout→Degree Sorted Circle Layout を実行しておく必要があるようです(参考:ここのtutorial4)。なのでここで一度実行しておきましょう。
再び属性一覧
edge.interaction 行き先ポート番号
edge.column3 アクション(DROP、OPEN-INBOUNDなど)
edge.column4 プロトコル(TCP、UDPなど)
edge.column9 パケットのサイズ
edge.canonicalName(IDと同じ)
源IPアドレス (行き先ポート番号) 行き先IPアドレス の組node.canonicalName(IDと同じ) IPアドレス
node.Degree 接続してるエッジの本数
試しにNodelabelのValueをIDからDegreeに変えてみるとこんな感じになります。今までIPアドレスが表示されていたところが、エッジの接続本数に変わりました。
次回は、エッジとノードの属性に応じて線の色や太さなどを変えていきます。
- TCPのポート番号は立体、UDPは斜体
- ポート番号の色をレインボーカラーにする
- パケットサイズで太さを変える(しかし残念ながら通過したパケットサイズは記録されていないのであった)
- 接続相手数によってノードの大きさを変える
- 遮断した通信(DROP)は点線の黄色、内向きの接続(OPEN-INBOUND)は目立つように不透明の赤
今回はここまでです。
関連記事: Windowsファイアウォールのログをお手軽に可視化する(1) (2) (3) (4)
可視化したファイアウォールのログを観察