Meraki ダッシュボードには様々なログを確認するページが含まれています。これは Meraki の売りでもあります。ダッシュボードに備わっているデータを他の機器で閲覧しようとすると、複数のサーバを立てなければいけません。トラフィック分析のためには NetFlow サーバ、ロケーション分析のためには Connected Mobile Experience (CMX)、イベントログのためには syslog サーバや simple network management protocol (SNMP) サーバが必要になります。そんな各種ログですが、日本語ではまとまったページがどこにも存在しません。Aaron Willette がそれらのログを英語でまとめている記事がありますが、その日本語版あっても便利なのではないかと思い、作成することにしました。Willete の許可を頂いています。
概要
下表に Meraki ダッシュボードで確認できるログの簡単な説明、保存期間、エクスポート形式をまとめました。
| 種類 | 説明 | 保存期間 | エクスポート形式 |
|---|---|---|---|
| クライアント情報 | 特定のクライアントがどのようなトラフィックをどのくらい生成したか表示 | 30日 | CSV XML |
| トラフィック分析 | 検出したトラフィックの詳細 (宛先、ポート番号、プロトコル、セッション数等) を表示 | 30日 | CSV |
| サマリーレポート | オーガナイゼーションの総合的な情報を表示 | 6ヶ月 | XLSX メール |
| ロケーションヒートマップ | フロアマップのどこが混雑しているのか表示 | 6ヶ月 | ✖️ |
| ロケーション分析 | アクセスポイントが検知した端末の数、その場に滞在した時間、リピート率を表示 | 1年 | CSV |
| イベントログ | 各 Meraki デバイスが生成したログを表示 | 3ヶ月 | CSV |
| セキュリティセンター | 各 MX で検知・遮断した脅威を表示 | 30日 | CSV メール |
| 変更ログ | 管理者がダッシュボードで変更した内容を表示 | 1年 | CSV |
クライアント情報
トラフィック分析は必ず Meraki のウェビナーやダッシュボードデモで紹介されるくらい、一押しの機能となります。「ネットワーク全体」>「クライアント」では、どのクライアントがどのような方法でネットワークに接続し、どのくらいのトラフィックを生成し、さらにはそのトラフィックはどのアプリケーションに分類されるのか、過去 30 日前まで遡って確認できます。これは deep packet inspection (DPI) という技術が MX、MS、MR に備わっているから可能になっています。有線や無線や virtual private network (VPN) で接続しても、そのクライアントが生成したトラフィックをしっかりと把握できます。
この情報を出力することも可能で、comma separated values (CSV) もしくは XML 形式でダウンロードが可能です。
トラフィック分析
DPI を最大限使用したい場合、「ネットワーク全体」>「一般」の「トラフィック分析」より「詳細: 宛先のホスト名を収集する」を選択してください。それを設定すると「ネットワーク全体」に「トラフィック分析」が表示されます。トラフィック分析ではより詳細な情報を表示しています。アプリケーションで使用された宛先、ポート番号、プロトコル、セッション数等を確認できます。
トラフィック分析は CSV 形式でダウンロード可能です。
サマリーレポート
「オーガナイゼーション」>「サマリーレポート」よりオーガナイゼーションの統計情報を確認できます。このページでは上位 X(クライアント、アプリケーション、脅威等)を一目で把握できます。
このページでは以下のフィルタが用意されています。
- 単一ネットワーク
- タグ付きネットワーク
- デバイスタグ
- SSID
過去半年間のデータを Excel 形式 で出力できますが、定期的にレポートを含んだメールを送信することも可能です。
ロケーションヒートマップ
Meraki は Cisco のように CMX を導入しなくても簡易的なローケーションに関連する機能がダッシュボードに備わっています。その中の一つがロケーションヒートマップです。ロケーションヒートマップのデータは6ヶ月保存され、フロアのどの部分が社員に良く利用されいているのか把握できます。実際に海外のデパートではこの情報を基にテナントへの賃料を決めている会社があるようです。人通りが多いところ高く、人通りが少ないところは低く賃料を設定されています。
上図に表示されているグレーの丸はネットワークの SSID に接続していないが、MR が検知したデバイスです。青の丸は SSID に接続しているクライアントになります。また、より色が濃いエリアは他のエリアと比べてクライアント数が多く、滞在時間が長いことを示しています。
ロケーション分析
ローケーションに関連する機能のもう一つが「ロケーション分析」になります。「ロケーション分析」は「オーガナイゼーション」メニューに含まれていて、「周辺の人の流れ」、「滞在時間の分布」、「顧客ロイヤリティ」という三つデータの種類が 1 年前まで遡って表示できます。
上図のように、2つのネットワークのデータも比較できます。これはリテールのお客さんで使用されているとよく聞きます。例えば、訪問者が多い店舗や滞在時間が長いクライアントが多い店舗にも関わらず売り上げが低い店舗は customer relationship management (CRM) サーバのデータと組み合わせることにによって割り出すことができます。
「周辺の人の流れ」、「滞在時間の分布」、「顧客ロイヤリティ」のそれぞれのデータの定義は下表の通りです。
| メトリック | 定義 |
|---|---|
| 周辺の人の流れ | 各クライアントの動き
通行人:「訪問者」、「接続済み」、に該当しないクライアント |
| 滞在時間の分布 | クライアントの滞在時間 |
| 顧客ロイヤリティ | クライアントの訪問回数
たまに:「毎週」、「日々」、「初めて」に該当しないクライアント |
イベントログ
イベントログはネットワーク毎に設けられ、そのネットワークに含まれている全てのデバイスが生成します。他のネットワーク機器でいうと syslog に該当します。「ネットワーク全体」>「イベントログ」から閲覧可能で、3ヶ月間ダッシュボードに保存されます。
イベントログは CSV 形式でダウンロードできますが、長期間保存したい場合は「ネットワーク全体」>「一般」のレポーティングより外部 syslog サーバへ送信することも可能です。
セキュリティセンター
MX の Advanced Security ライセンスを導入すると、「オーガナイゼーション」配下に「セキュリティセンター」というメニューが追加されます。セキュリティセンターは一言で表現すると簡易的な security operation center (SOC) です。MX には Intrusion prevention system (IPS) / intrusion detection system (IDS) と Advanced malware protection (AMP) が搭載されていますが、オーガナイゼーションに追加された全ての MX で検知・遮断された脅威を確認できます。
画像では過去1ヶ月のデータを表示していますが、過去2時間、過去1時間、過去1週間も選択できます。「イベントの時間表示」という棒グラフの棒をクリックすれば、その日時でデータがフィルタされます。
なお、このページに表示されているデータも CSV 形成でダウンロードすることができますが、サマリーレポートのように定期的にメールで送信することも可能です。
変更ログ
ダッシュボードで実施した設定変更はログとして 12 ヶ月残されます。いつ、誰が、どの設定を変更したのかが分かります。トラブルシューティングを実施したことがある人は分かると思いますが、問題の原因がネットワークの設定を変更したことからということは良くあります。勝手にネットワークの設定を変更する管理者もいます。そのようなことが起きても、変更ログを確認することによって事態を把握し、より早く終息することが可能です。さらに、変更した人に対して正しい教育ができ、再発防止を高められます。
このデータも CSV 形式でダウンロードできます。
APICLI 