- SNMP Trap は監視設計の主役ではない – 状態監視とイベント通知を分けて考える
状態監視、イベント通知、監視設計の役割分担を整理した記事です。 - SNMPv2c の community 名は秘匿ではなくアクセス制御のキーとして扱う
監視プロトコルを認証、制御、運用境界から見直した記事です。 - CentOS 8 で Zabbix エージェントを設定する – passive / active と監視方式の使い分け
Zabbix Agent の passive / active を監視方式として整理した記事です。
NETSCOUT には、nGeniusPULSE という製品があります。
NETSCOUT は、ネットワーク可視化、パケット解析、DPI、サービスアシュアランス、DDoS 対策などの領域で知られています。そのため、nGeniusPULSE についても、パケット解析や詳細な DPI まで単体で行う製品のように見えてしまうかもしれません。
しかし、nGeniusPULSE を理解するときは、まず外形監視 / Synthetic Monitoring / Active Monitoring の製品として捉えた方が分かりやすいです。
つまり、各拠点やユーザー近傍に擬似クライアントのような観測点を配置し、その場所から Google、Microsoft 365、社内 Web、DNS、VPN、VoIP などへ定期的にアクセスさせる。その結果を集約し、「その場所から本当にサービスへ到達できているのか」「応答性能が悪化していないか」を確認するための製品です。
この記事は、nGeniusPULSE を監視設計の観点から整理するものです。製品仕様、対応プラットフォーム、ライセンス、正式サポート範囲は、導入時点の NETSCOUT または販売代理店の資料で確認してください。
nGeniusPULSE 単体はパケット解析製品ではない
まず押さえておきたいのは、nGeniusPULSE 単体は、基本的にはパケット解析製品ではないという点です。
nGeniusPULSE の中心的な役割は、各拠点やユーザー近傍から Synthetic Test を実行し、サービスへの到達性や応答性能を確認することです。
一方で、パケットキャプチャ、DPI、実トラフィック分析、詳細な原因解析は、nGeniusONE、InfiniStreamNG、vSTREAM、ASI など、NETSCOUT の別コンポーネントと組み合わせて実現する領域として分けて考える必要があります。
| nGeniusPULSE | Synthetic Monitoring / Active Monitoring の管理・可視化を担う製品。 |
|---|---|
| nGeniusPULSE Server | nPoint からの結果を集約し、テスト設定や管理画面を提供する管理サーバ。 |
| nPoint | 実際にテスト通信を発生させる観測点。拠点やユーザー近傍に置く。 |
| Business Transaction Testing | Web アプリなどの操作シナリオを模擬するテスト機能。 |
| nGeniusONE / InfiniStreamNG / vSTREAM / ASI | 実トラフィック可視化、パケット取得、詳細分析で関係する別領域のコンポーネント。 |
ここを切り分けておかないと、nGeniusPULSE 単体に過剰な期待を持ってしまいます。nGeniusPULSE は「パケットの中身を細かく見る製品」というより、「指定した場所からサービスが使える状態に見えているか」を継続的に見る製品として理解した方が自然です。
中心になるのは nPoint である
nGeniusPULSE で重要になるのが、nPoint です。
nPoint は、各拠点やユーザー近傍に配置される観測点です。実際にテスト通信を発生させるのは、この nPoint です。
| nGeniusPULSE Server | テスト定義、結果収集、可視化、管理画面を担当する。 |
|---|---|
| 拠点 A の nPoint | 拠点 A から見た SaaS や社内サービスの到達性、応答時間を測る。 |
| 拠点 B の nPoint | 拠点 B から見た同じサービスの状態を測る。 |
| AWS VPC の Virtual nPoint | AWS 上のワークロード視点で外部サービスや社内向け経路を測る。 |
nGeniusPULSE Server が中央でテストを管理し、各拠点に配置された nPoint が実際にテスト通信を実行します。その結果が nGeniusPULSE 側に集約され、拠点ごとの到達性、応答時間、可用性などを確認できます。
つまり、nPoint は単なる監視エージェントではありません。どこから見たサービス品質なのかを決める、監視設計上の重要な部品です。
nPoint の配置場所が監視の視点になる
nPoint には、ハードウェア型や仮想・ソフトウェア型など、複数の配置形態があります。
| nPoint 3000 | 支店、営業所、店舗、コールセンター、Wi-Fi 環境などに置く物理センサー。 |
|---|---|
| nPoint 2000 | 拠点 LAN や Ethernet 接続環境でサービステストを行う小型センサー。 |
| Virtual nPoint | Windows / Linux、サーバ、VM、ノート PC、クラウド上のインスタンスなどで動かすソフトウェア型の観測点。 |
どの形態を使うかは、「どこからサービスを見たいのか」によって決まります。
拠点全体の品質を見たいのであれば、拠点 LAN に物理 nPoint を置くのが分かりやすいです。Wi-Fi 利用者の体感に近い状態を見たいのであれば、Wi-Fi 側に対応した nPoint の配置が必要になります。仮想基盤やクラウド上からの到達性を見たいのであれば、Virtual nPoint を使う構成が候補になります。
nPoint の配置は監視設計そのもの
nPoint をどこに置くかで、監視結果の意味が変わります。拠点 LAN に置けば拠点視点、Wi-Fi 側に置けば無線利用者視点、AWS 上に置けばクラウドワークロード視点の監視になります。
HTTPS を基本にした場合の通信要件
nGeniusPULSE を設計するときは、nPoint がどのサービスへテスト通信を出すのかだけでなく、nPoint と nGeniusPULSE Server の間で管理・結果収集の通信が成立するかも確認する必要があります。
ここでは、監視対象を Web / SaaS とし、基本的に HTTPS を使う前提で整理します。実際の製品バージョン、配置形態、オンプレミス版かクラウド連携かによって必要な通信は変わるため、最終的なポート、通信方向、プロキシ対応、証明書要件は NETSCOUT または販売代理店の正式資料で確認すべきです。
| nPoint から監視対象 | Google Workspace、Microsoft 365、社内 Web、API などへ HTTPS でアクセスする。基本は TCP/443 を許可する。 |
|---|---|
| nPoint から DNS | FQDN で監視する場合、名前解決が必要になる。拠点 DNS、社内 DNS、クラウド DNS のどれを使うかで監視結果の意味が変わる。 |
| nPoint から nGeniusPULSE Server | テスト定義の取得、状態通知、測定結果の送信に使う管理通信を許可する。HTTPS ベースで設計する場合は TCP/443 を基本に考える。 |
| 管理端末から nGeniusPULSE Server | 管理画面へ HTTPS でアクセスする。管理者用ネットワークや踏み台経由に限定するなど、運用上の境界を決める。 |
| nGeniusPULSE Server から外部 | ライセンス確認、更新、通知、外部連携などが必要になる場合がある。インターネットへ直接出すのか、プロキシ経由にするのかを設計する。 |
| 時刻同期 | 応答時間や時系列の比較を行うため、nPoint と Server の時刻同期を揃える。NTP の参照先も通信要件に含めておく。 |
特に重要なのは、nPoint の外向き通信を単に許可すればよいわけではないという点です。nPoint は監視対象へ HTTPS でアクセスする一方で、測定結果を nGeniusPULSE Server 側へ戻す必要があります。監視対象への通信だけを開けても、管理通信や結果収集が成立しなければ、監視システムとしては機能しません。
また、プロキシを経由する環境では、通常のブラウザ通信と同じように扱えるとは限りません。認証プロキシ、SSL インスペクション、証明書置換、宛先制限がある場合、Synthetic Test の結果が「サービスの問題」ではなく「監視経路の制約」を反映することがあります。
通信要件は監視結果の前提条件である
nPoint から監視対象、nPoint から Server、管理端末から Server、Server から外部連携先という通信の流れを分けて確認すると、どこまでがサービス障害で、どこからが監視基盤側の制約なのかを切り分けやすくなります。
Google や Microsoft 365 へのアクセスチェックはできる
nGeniusPULSE では、nPoint から Google や Microsoft 365 などの外部サービスに対して、定期的なアクセスチェックを行うことができます。
たとえば、Google Workspace や Microsoft 365 を対象にする場合、DNS 名前解決、TCP/443 接続、TLS ハンドシェイク、HTTP / HTTPS 応答、応答時間、拠点ごとの差、有線と Wi-Fi の差などを確認する設計が考えられます。
ここで重要なのは、「Google や Microsoft 365 自体が生きているか」を見ることではありません。Google や Microsoft 365 自体が正常でも、社内 DNS、プロキシ、Firewall、ISP、インターネット経路、Wi-Fi などの問題により、特定の拠点からは利用しづらいことがあります。
nGeniusPULSE で見るべきなのは、その拠点やユーザー近傍から、対象サービスへ正常に到達できているかです。
どの段階までアクセス確認するのか
外形監視といっても、どの段階まで確認するかで意味が変わります。
ここでは、OSI 参照モデルの層番号ではなく、監視設計上の確認段階として整理します。DNS、TLS、HTTP / HTTPS は単純に OSI の L2、L3、L4 と対応するものではありません。重要なのは、OSI 上の階層ではなく、監視としてどこまで確認するかです。
| 到達性確認 | 宛先まで通信できるか。ICMP や疎通確認など。 |
|---|---|
| 名前解決確認 | FQDN を解決できるか。google.com や login.microsoftonline.com など。 |
| 接続確認 | 対象ポートへ接続できるか。TCP/443、TCP/80 など。 |
| 暗号化通信確認 | TLS ハンドシェイクが成立するか。証明書や TLS 接続を見る。 |
| アプリケーション応答確認 | HTTP / HTTPS 応答が返るか。HTTP ステータス、応答時間、コンテンツ応答を見る。 |
| 業務シナリオ確認 | ログイン、画面遷移、検索、ログアウトなど、実操作に近い処理を確認する。 |
Google Workspace や Microsoft 365 への接続性監視であれば、初期導入時は、DNS 名前解決、TCP/443 接続、TLS ハンドシェイク、HTTP / HTTPS 応答、応答時間の確認で十分なケースが多いと思います。
これにより、少なくとも「その拠点からサービス入口までは正常か」を判断できます。SaaS の障害や遅延が発生したときに重要なのは、全拠点で起きているのか、特定拠点だけなのか、Wi-Fi だけなのか、DNS が遅いのか、TCP / TLS で詰まっているのか、HTTP / HTTPS 応答が遅いのかを切り分けることです。
実際の操作レベルまで常時監視する必要はあるのか
nGeniusPULSE では、Business Transaction Testing のように、より実利用に近いシナリオを実行することも可能です。
たとえば、Web アプリにログインし、特定画面へ遷移し、処理を行い、ログアウトするようなテストです。これは、単なる URL 監視よりも実ユーザーの操作に近い確認になります。
しかし、Google Workspace や Microsoft 365 のような SaaS に対して、ログインや画面操作まで含めた監視を常時行う場合、運用上の問題が一気に増えます。
- テストアカウントの管理
- パスワードや認証情報の管理
- SSO や MFA への対応
- CAPTCHA や自動操作検知
- SaaS 側の画面変更によるテスト失敗
- 監査ログ上の扱い
- 実障害なのか、テストシナリオ破損なのかの切り分け
ここまで行くと、監視というより業務シナリオ自動化に近くなります。そのため、初期導入の目的が「外部サービスへの到達性確認」であれば、ログイン後の操作まで常時監視する必要性は高くありません。
AWS 上で使う場合は視点を分ける
nGeniusPULSE を検討するときに、AWS 上で使えるのかという点も気になります。ここは、何を AWS 上で動かすのかを分けて考える必要があります。
nGeniusPULSE Server は、テスト設定、結果収集、可視化を行う管理サーバです。仮想サーバアプライアンスとして提供される場合、技術的には AWS 上に配置できる可能性があります。ただし、AWS EC2 上での正式サポート可否、提供イメージの有無、ライセンス条件、必要スペック、ネットワーク要件については、NETSCOUT または販売代理店への確認が必要です。
一方で、Virtual nPoint を AWS 上に置く構成は、設計上分かりやすいです。AWS 上の EC2 インスタンスなどに Virtual nPoint を配置すれば、AWS VPC 視点から外部サービスや社内サービスへの Synthetic Test を行うことができます。
| 拠点 LAN の nPoint | 拠点ユーザー視点で Google、Microsoft 365、社内サービスを確認する。 |
|---|---|
| AWS VPC の Virtual nPoint | AWS 上のワークロード視点で外部サービスや社内 VPN / Direct Connect 先を確認する。 |
AWS 上に nPoint を置いても、拠点ユーザーが Google や Microsoft 365 へアクセスできるかは分かりません。拠点ユーザー視点を見たいのであれば、拠点側に nPoint を配置する必要があります。
常時監視と詳細調査は分けるべき
監視設計では、常時実行するテストと、障害時に行う詳細調査を分けるべきです。
| 通常時 | DNS、TCP、TLS、HTTP / HTTPS 応答を継続監視する。 |
|---|---|
| 異常検知 | 拠点別、経路別、サービス別に影響範囲を確認する。 |
| 詳細調査 | 必要に応じてパケット解析、経路調査、SaaS ステータス確認を行う。 |
しきい値については、固定値を最初から決め打ちするよりも、初期導入時にベースラインを取得して決める方がよいです。通常時の DNS 応答時間、TCP 接続時間、TLS 接続時間、HTTP 応答時間を一定期間計測し、拠点ごとの通常値を把握します。
外部 SaaS はインターネット経路や SaaS 側の状態にも影響を受けるため、単純な一律しきい値だけでは誤検知が増える可能性があります。拠点ごとの差、時間帯による傾向、継続的な悪化傾向を見た方が、運用上は有効です。
書籍
監視設計・ネットワーク運用の本を探す
外形監視、ネットワーク監視、サービス品質の見方を整理するための本を探すリンクです。
Amazon で見る価格、在庫、内容はリンク先で確認してください。
まとめ
nGeniusPULSE は、まず nPoint による外形監視 / Synthetic Monitoring / Active Monitoring の製品として理解すると分かりやすいです。
nPoint を拠点やユーザー近傍に配置し、その場所から Google、Microsoft 365、社内 Web、DNS、VPN、VoIP などへ定期的にアクセスする。その結果を集約し、拠点ごとの到達性や応答性能を確認する。この見方をすると、nGeniusPULSE の役割はかなり明確になります。
一方で、パケットキャプチャ、DPI、実トラフィック分析、詳細な原因解析は、nGeniusONE、InfiniStreamNG、vSTREAM、ASI などと組み合わせて考える領域です。nGeniusPULSE 単体にすべてを期待するのではなく、常時監視、影響範囲の把握、詳細調査を分けて設計することが重要です。
監視設計で重要なのは、どの製品を使うかだけではありません。どこから見た品質なのか、どの段階まで確認するのか、常時監視と詳細調査をどう分けるのかです。nGeniusPULSE は、その中で「利用者に近い場所からサービス品質を見る」ための製品として位置づけると扱いやすいと思います。
