推奨ルール設定
ネットワークのトラフィック量を監視するために、特定のIPアドレスおよび/またはIP プレフィックスのセットに対してMagic Network Monitoringルールを作成できます。これらのルールのトラフィック量の閾値は、あなた自身が設定します。トラフィック量の閾値を超えた場合、Magic Network Monitoringはメール、Webhook、またはPagerDutyを通じてアラートを送信します。
このページに記載されているガイドラインに従って、適切なMagic Network Monitoringルールを作成し、正確なルール閾値を設定してください。
Cloudflareは、顧客が自分のネットワーク内の各公開/24 IPプレフィックスに対して1つのMagic Network Monitoringルールを作成することを推奨しています。ルールをMagic Network Monitoring分析で見つけやすくフィルタリングしやすくするために、/24 IPプレフィックスの範囲を含めることが役立ちます。
各IPプレフィックスのトラフィックパターンに慣れてきたら、ニーズに応じて/24プレフィックスよりも小さいまたは大きいIPプレフィックスを使用して、より複雑なルールを作成することをお勧めします。また、同じルール内で複数のIPプレフィックスを組み合わせて監視することもできます。
適切なルール閾値を設定するために、以下の手順に従ってください。
Magic Network Monitoringを初めて設定する際、各IPプレフィックスの典型的なトラフィック量パターンを知らないかもしれません。Cloudflareは、初期設定中に超える可能性が低い10 Gbps(ギガビット毎秒)または10 Mpps(百万パケット毎秒)の高いルール閾値を設定することを推奨しています。
これにより、アラートを受信することなく、Magic Network Monitoringルールの典型的なトラフィック量に関する初期情報を収集できます。Magic Network Monitoringルールの過去のトラフィックデータを収集して分析した後、閾値を適切な値に調整する必要があります。
| 閾値タイプ | 初期データ収集のための推奨ルール閾値 |
|---|---|
| ビット | 10 Gbps(10,000,000,000ビット毎秒) |
| パケット | 10 Mpps(10,000,000パケット毎秒) |
ネットワークトラフィックを監視するための初期ルールセットを作成した後、各ルールのために14〜30日間の過去のトラフィック量データを収集する必要があります。
Cloudflareは、新しい顧客がMagic Network Monitoringルール内の1分間の時間間隔で観測された最大の非攻撃トラフィックの2倍のルール閾値を設定することを推奨しています。
過去14〜30日間の1分間の時間間隔での最大の非攻撃トラフィックを見つけるには、分析したい特定のルールをフィルタリングできます。そのためには:
- Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
- Analytics & Logs > Magic Monitoringに移動します。
- Add filterを選択します。
- New filterで、ドロップダウンメニューを使用して次のフィルターを作成します:
フィールド 演算子 ルール名 Monitoring Rule equals <RULE_NAME>
Magic Network Monitoring Analyticsでルールフィルターが選択されると、選択した期間のルールの過去のトラフィック量データを確認できます。過去のトラフィック量データは、1時間の時間間隔を示す最大のウィンドウであるため、7日ごとに確認することをお勧めします。Magic Network Monitoring Analyticsでカスタムの7日間の時間範囲を選択するには、Magic Network Monitoring分析の右上隅に移動し、時間ウィンドウのドロップダウンを開き、Custom rangeを選択します。
選択した7日間の時間範囲を確認し、最大のトラフィック量のピークを特定します。次に、最大のトラフィックピークをクリックしてドラッグし、より小さな時間ウィンドウのトラフィック量データを表示します。1分間の時間間隔でトラフィック量データを表示するまで続けます。
ルールの最大トラフィック量ピークをスプレッドシートに記録し、14〜30日間のデータ全体でこのプロセスを繰り返します。ルール閾値は、14〜30日間のデータにおける1分間の時間間隔での最大トラフィックスパイクの2倍に更新する必要があります。このプロセスを経て、各Magic Network Monitoringルールの閾値を設定してください。
IPプレフィックスは、1分間の時間間隔でトラフィック量の不規則なスパイクを経験する可能性があります。短期的な非悪意のトラフィックスパイクに対する誤検知アラートを減らすために、ルールの持続時間を120秒に設定することをお勧めします。120秒のルールの持続時間は、アラートが発生する前にトラフィック量がルール閾値を120秒間上回る必要があることを意味します。
過去のトラフィックデータに基づいて最初のルール閾値を更新した後、ルール閾値が適切かどうかを確認するためにMagic Network Monitoringアラートを監視することが重要です。顧客は、特定のネットワーク環境に対して理想的なアラート感度レベルを見つけるために、時間の経過とともにルール閾値と持続時間を調整することを推奨されています。