用語解説「パケットキャプチャとは？」

　「パケットキャプチャ」とは、ネットワーク上の通信パケットを収集することです。パケットには、通信の送信元/宛先、プロトコル情報などが含まれます。
　パケットキャプチャの手法自体は、ここ最近出始めた手法ではなく、インターネット黎明期以前から存在し、現在でもトラブルシューティングのため利用されております。エンジニアであれば、一度は聞いたことがあるであろうオープンソースソフトウェア「Wireshark」、「スニファ（Sniffer）」、LANアナライザが有名です。機器のリソース監視やFlow情報では原因が分からない障害に対して、パケットを分析して原因を特定する際に利用されます。
　加えて、収集したパケット自体、ネットワーク機器やアプリケーションの改修のため障害原因の証跡としても利用されます。

パケットキャプチャには多くの稼働と知識が必要？

　実際の通信パケットをキャプチャするため、ユーザーが感じるネットワークの遅延やアプリケーションの不具合などの障害原因を分析することが可能です。また昨今では、収集したパケットをインシデント時の証跡とする「フォレンジック」にも利用されます。
　しかしながらパケット分析は、（1）パケットの取得、（2）取得したパケットのフィルタリング、（3）該当パケットの分析、と段階があり、分析までに多くの時間やエンジニアの稼働が必要です。また、（3）該当パケット分析においても、いわゆる“パケットを読む”作業があり、エンジニアにはネットワーク・アプリケーションの知識が必要で、その知識の習得は一朝一夕にはいきません。
　加えて、（3）該当パケット分析での問題点は、“点での分析”です。例えれば、“木を見て森を見ず”という状態です。障害対応においては、一つの通信が分析できたとしても、その前後の期間の通信や、他ユーザーの通信を分析し、障害の原因や発生時期、範囲を見定める必要があります。

効率的なパケットキャプチャの運用とは

　前項までの内容を要約すると…
　「パケットキャプチャは有効だが、運用には稼働と知識が必要」
　筆者もそうでありますが、パケットキャプチャを行ったことがあるエンジニアの多くが、“パケット分析には多くの稼働がかかる”、“パケットキャプチャは面倒くさい”と感じていると思います。しかし、こういった課題を解決する製品はあります。大別すると以下の2種類に分かれます。

1. パケットを収集/保存する製品
　ネットワーク上にパケットキャプチャ製品を設置し、常時、パケットを収集/保存し続ける製品です。この類の製品は、過去のパケットを取り出し、エンジニアがパケット分析を行います。この場合、“パケットが読める”エンジニアが必要です。

2. パケットを収集/保存＋分析する製品
　ネットワーク上にパケットキャプチャ製品を設置し、常時、パケットを収集/保存し続け、かつ、パケットを分析し統計情報を作成します。この類の製品は、GUI上ですでに分析された情報を数値やグラフで表示し、ネットワークとアプリケーションの量と質を時系列順に確認することができます。GUI上のグラフから障害箇所と時間、原因を特定することができ、パケットは必要に応じて取り出すといった運用が可能です。この場合、“パケットが読める”エンジニアが必ずしも必要ではありません。
　製品の一例として、SCSKで取り扱っている“ネットスカウト（NetScout）”が挙げられます。ガートナー社（Gartner）の市場調査では、Leaderを獲得しており、国内企業での導入実績も多く、モニタリング市場では一定の評価を得ています。

詳しくは、こちらのページをご覧ください。
NetScout nGenius