NPCD (Nagios-Perfdata-C-Daemon) ble skrevet for å gi en asynkron modus for å håndtere ytelsesdata med nagios. I store nagios installasjoner kan gjennomsnittlig sjekketidensitet øke til en ikke akseptabel høy verdi. Dette betyr at nagios skal gjøre en sjekk ved tid x, men faktisk gjør det y sekunder senere. Hvis du forteller Nagios kjerne at du vil behandle ytelsesdataene etter hver enkelt sjekk, fungerer dette bra for en viss mengde sjekker, men over denne grensen vil du løpe inn i latensproblemer. For å redusere antall handlinger for hver sjekk, kan du bruke Bulk Mode som samler ytelsesdata i noen tid, og deretter lar Nagios-kjernen utføre lthostservicegtperfdatafilprocessingkommandoen, eller du kan fortelle Nagios å bare flytte perfdatafiler til en spoolkatalog. Dette trekket er en veldig rask handling for nagios kjernen, og kjernen vil bli gjort med behandling av ytelsesdata og kan fortsette å gjøre det som skal gjøres: utføre andre kontroller, sende varsler, og så videre. Som nevnt ovenfor har Nagios-prosessen fullført sitt arbeid med å flytte ytelsesdatafilen til en spoolkatalog, men dette vil føre til at dataene kommer inn i RRD-filene. For denne oppgaven kan du starte npcd for å se på den definerte spool katalogen og starte en handling for hver fil som er funnet. Etter at NPCD begynner å kjøre, vil den bygge en liste over filnavn som finnes i perfdataspooldir og starter nye tråder for hvert filnavn og kjører perfdatafileruncmd med valgfri perfdatafileruncmdarg som et ekstra argument. Siden perfdata-filene i spool dir er i samme format som for 039normal039 bulkmodus, bør NPCD utføre processperfdata. pl i Bulk Mode. Prestasjonsforbedringer for nagios Fordi ytelsesdatabehandling er løsrevet fra Nagios kjerne, har det mer tid til eget arbeid. så lenge nagios skriver perfdata-filer til spolen, blir dataene dine vunnet, hvis NPCD dør eller du glemte å starte den etter en systemstart. NPCD starter med den første filen som er funnet (de sorteres etter TIMET-makroen i kronologisk rekkefølge) og oppdaterer dine RRD-filer. Ingen sanntidsbehandling av ytelsesdata siden det er en forsinkelse i å skrive ytelsesdatafiler av Nagios (serviceperfdatafilprocessinginterval), finnes det en annen forsinkelse i NPCD som venter i opptil 10 sekunder etter hver katalogskanning. Du må kontrollere NPCD med sin egen konfigurasjonsfil som den utrullede npcd. cfg-prøvefilen. Bare gi nytt navn til npcd. cfg for å starte NPCD slik: å kjøre i Daemon Mode (Bakgrunn). Tips: Hvis du bestemmer deg for å ikke endre navn på config-filen, kan den bli overskrevet av en fremtidig oppdatering av PNP. Disse er de grunnleggende konfigurasjonsdirektiver for NPCD: Innholdsfortegnelse Webview Netflow Reporter er et virksomhetsfokusert Netflow reporteranalyzer-verktøy med klikkbare grafer, kraftig kategorisering som går utover enkle TCPUDP-portnavn, automatisk eksportørfunn og full tilgang til alle aspekter av den rå flyt data (grensesnitt navn, millisekund nøyaktighet, QoS innstillinger, TCP flagg, etc). Webview installasjoner på en Linux er tilgjengelig via en nettleser. I et typisk oppsett blir Netflow-data konstant kategorisert og sporet på hvert routerswitch-grensesnitt. Webbrukeren velger en eller flere grensesnitt og kan se en graf over gjennomsnittlig oror topp trafikk utnyttelse for hver kategori i løpet av den siste timen, dagen, uka, etc (se eksempel skjermbilder nedenfor). Brukeren kan også kjøre ad hoc-rapporter over en hvilken som helst tidsperiode for å utforske alle aspekter av trafikken, for eksempel en IP-adresserapport eller en råstrømskronologi. Tilkoblingsrapportering. En tilkobling er en komplett TCPUDP-økt, som kan spanne mange strømmer. Tilkoblingsrapportering identifiserer tydelig klienten (initiativtaker) og serveren, og også rapporter om toveis pakkebytter overført, etc. Ved å se på en forbindelse når den krysser flere rutere, er det enkelt å identifisere pakketap, asymmetrisk ruting og andre rariteter. Se Ad hoc søkeverktøy for flere detaljer. Innebygd Symmetrisk Multiprosessering (SMP). Dette forbedrer ytelsen på multi-core CPUer når det er mange eksportører. SNMPv3-støtte Kraftig rapportering om helsen til flytinnsamlingen. inkludert out-of-order og dupliserte eksportørspakker. rthcached er nå fullt støttet for forbedret disk IO på svært store distribusjoner Egendefinert trafikk kategorisering (klassifisering). Trafikkategorisering bruker en Cisco-tilgangsliste-stilsyntax. Webview kommer med flere forhåndsdefinerte kategorier som fungerer bra, men den virkelige kraften til dette verktøyet er når du legger til egendefinerte kategorier som samsvarer med nettene dine, unike trafikkmønstre - E-post, ERP, backup, Internett-proxyer etc. Innenfor en ACL kan hver linje pass eller mislykkes, basert på hvilken som helst kombinasjon av: IP-adresse maske portnummer (TCPUDP) TCP flagg ICMP type og kode BGP ASN (hvis konfigurert som et eksportalternativ) IP Type-of-Service (DSCP, IP-prioritet eller et enkelt nummer) neste - Hopp IP-maskereeksportør IP-masking Inngangs - eller utgangsgrensesnitt Antall pakker eller byte Flytets varighet Gjennomsnittlig byte per sekund eller pakker per sekund Gjennomsnittlig pakningsstørrelse Suksessen til en annen ACL i løpet av de siste n sekundene Nedenfor er det flere ACL-eksempler. enkel: kompleks: spesifikk: ruting-tabell avledet: flyt-avledet: heuristisk: acl-map: Kategorier grupperes sammen for å lage en bestilt visning som deretter blir brukt på en eller flere eksporterende enheter. Flere visninger kan brukes på samme enhet (for eksempel det er vanlig å ha sammendrag og detaljert visning av de samme dataene). Antall kategorier er ubegrenset, selv om antall og rekkefølge av kategorier påvirker ytelsen. For mer informasjon om ACL-syntaxen, datafildeling og andre konfigurasjonsalternativer, vennligst les PDF-dokumentasjonen. Grafer og tabellrapporter. Webview bruker Flowscan-stil sommerfrekvensgrafer som viser kategorier stablet i rekkefølge av volumet, med inntasting under aksen og utgang over. F. eks Denne sommerfuglvisningen kan virke forvirrende først, men det er en veldig praktisk måte å vise mange trafikkategorier på i begge retninger. Selvfølgelig kan du også generere enkle enkeltakse grafer, samt eksportere de rå grafdataene til csvExcel for manuell manipulering. Dataene aggregeres ved en minuttoppløsning, som standard. For eksempel, her er den forrige grafen zoomet inn til 8:00 - 10:00: En-minutters oppløsning er ideell for de fleste bedrifter siden den tett samsvarer med den menneskelige faktoren av sluttbrukernes toleranse tålmodighet. F. eks de fleste brukere vil ikke merke eller være opptatt av sporadiske korte perioder med langsomhet, men hvis virkningen er et minutt eller mer, garanteres det nesten at de vil være ulykkelige. Standard aggregering kan senkes til ett sekund og kombinert med fleksible nettstrømmer en sekund aktiv tidsavbrudd for å produsere utrolig nøyaktige grafer. Imidlertid kommer presisjonen til en signifikant CPUdisk-kostnad. Hvis målet ditt er microburst policing, er Netflow egentlig ikke det riktige verktøyet for jobben. Grafene ovenfor viser trafikkategorier for et rutefrensesnitt. Du kan også bla denne rundt. F. eks Den følgende grafen har istedenfor den eneste trafikkategorien TSM (disk backup) ødelagt av grensesnittene MPLScle (Cleveland), MPLSwau (Wausau) osv. I tillegg til trafikkvolum rapporterer Webview også om strømmer, pakker og samtidig aktive IP-er. For eksempel kan du være interessert i å vite hva den gjennomsnittlige båndbredden trenger per aktiv bruker av en bestemt applikasjon. Følgende rapport viser at hver bruker av InternetHTTP trenger omtrent 30 Kbps når den måles over en forretningsuke (8 am-5pm, mandag - fredag): Grafemotoren er veldig fleksibel (muligens for fleksibel): Klikkbare grafer. Folk ser ut til å gå over denne praktiske funksjonen, og jeg er ikke sikker på hvorfor flere kommersielle pakker ikke har det. I utgangspunktet, hvis du ser på en graf og ser noe interessant, kan du klikke på det for å finne ut mer. Denne visningen går etter råstrømdataene, som vanligvis holdes i minst 4-8 uker (avhengig av ledig diskplass). Ad hoc søkeverktøy. Som den forrige rapporten viser, er det en fin GUI for å utforske og rapportere om råstrømdataene. Den heter Ad Hoc Query Tool (aka Webview Flow Reporter), og mange tror det er den mest nyttige funksjonen til Webview. I virkeligheten er det bare en front-end for flow-verktøyet utmerket flow-rapport verktøy (og kan kjøre frittstående uten grafen motoren hvis du vil). Råstrømdataene som er tilgjengelige for rapportering går tilbake i tid så langt som diskplass tillater det. De fleste små og mellomstore bedrifter finner at 30 GB er tilstrekkelig for en måned med data. Større nettverk kan bruke mange terabyte. Filtreringsalternativer: Protokoll: TCP, UDP, ICMP, VPN, Andre ToS DSCP-forrang ECN TCPUDP-portnummer IP-adresse eller delnett Brukerdefinert trafikk kategori (ved hjelp av Cisco ACL-syntaksen beskrevet tidligere) Grensesnitt (navn, beskrivelser, flere ruteflytter tillatt) Frysformatfiltre på byte telling, pakketall, bps, pps, ToSDSCP, nexthop, tcpflags Logiske uttrykk tillatt (ELLER OG OG IKKE) Rapporteringsalternativer: Type: Rå - En enkel kronologisk dump av råstrømdata. Som standard inkluderer dette IP-adresser, port, protokoll, DSCP, TCP-flagg, starttid, varighet og pakkebyte-tellere. Eksportører og grensesnitt - legger til felt som viser eksportøren og dens SNMP-grensesnittbeskrivelser. Ruting - legger til nexthop-felt og rutefelt prefikslengde ASN - legger til BGP ASN-felt. Type: Tilkobling - sender strømdataene gjennom en TCPUDP-tilkoblingsmotor som stikker strømningsdataene tilbake i en toveis tilkobling, med klientens og serverens IP-adresser tydelig identifisert. Enkel - grunnrapporten viser klient og server IPport-tall, varighet, klient-til-server (c2s) og server-til-klient (s2c) byte - og pakketeller. Multihop - multihop-rapporten viser hver tilkobling som den ses av flere nettstrømoppsamlingspunkter. For eksempel, hvis en TCP-strøm går over en datasenterruter og en filialkontor, viser dette forbindelsen fra begge perspektiver. Dette er veldig nyttig når man ser etter tap av tap og sikrer end-to-end QoS-merking. Dette er en veldig kul funksjon. Se en eksempelrapport Type: Strøm - dette er standardstrømrapporteringsmotoren. IP-nøkler av hver IP (kilde eller destinasjon) Src - nøkler fra kilden IP - dette gjør det mulig for telleren som viser hvor mange destinasjons-IP-er hver kilde sender til. Dst - tastene av destinasjons-IP - dette gjør det mulig for telleren som viser hvor mange kilde-IP-er som sender pakker til destinasjonen. Port - tastene av portnummeret til bestemmelsesstedet. Klienter - nøkler fra hver kilde destinasjon IP-par Flow - nøkler fra hver 5-tuple-protokoll og bestemmelsessted IPport wtotals - denne avkrysningsboksen vil vise totals for hele spekteret, selv om bare de 100 toppene eller så vises. Type: Annet - diverse rapporter Eksportører - viser en liste over alle eksportører og volumet av strømningsdata mottatt fra hver, etter å ha brukt noen av filtrene dine. Dette identifiserer også enveisgrensesnitt, som kan være nyttig for å identifisere feilkonfigurert nettstrøm. Vær oppmerksom på at eksportørrapporten fra hjemmesiden til hjemmesiden viser flere detaljer om en sysadmin-natur, men har ingen filtreringsevne. BGP ASN - genererer en flytrapport med autonome systemnumre (ASN), som ofte ikke er aktivert i nettstrøminnsamling. Andre alternativer: Output: Excel, CSV, ASCII, eller HTML-tabell Input: En eller flere tidsstemplede raw flow-inngangsfiler. Flere flyt kataloger er tillatt. DNS: rask og ikke-blokkering (forsinker aldri en rapport mer enn 5 sekunder). Sortering: bytespacketsflowspeersdurationchronology. Klienter er en telling av en IP-tilkoblingskompetanse og er flott for å finne ut hvem som er chattiest - f. eks. malware forsøker å spre, DNS-servere blir hamret, osv. Merk: Det kan ikke overvurderes om rå nettstrømdata kan brukes. Mange Netflow-programvarepakker samler dataene eller slipp feltene som ikke passer deres oppfatning av overvåking. Ad hoc-søkeverktøyet gir et kraftig grensesnitt til de rå dataene, brukeren har ubegrensede muligheter for å undersøke disse dataene. Netflow eksportør og grensesnitt oppdagelse og normalisering. Nettverksadministrasjonsverktøy vedlikehold bør ikke være en læreplass. Å legge til en ny enhet til Webview er like enkelt som å konfigurere Netflow-eksport på selve enheten. Webview vil se det og bruke SNMP til å laste inn grensesnitt og beskrivelser. SNMP ifIndex endringer er ikke et problem, selv om det alltid er best å konfigurere Cisco-enheter med snmp-server hvisindex fortsetter. Det er ingen grense for antall eksportører, og noen Webview-installasjoner har hundrevis. Grensesnitt kan også aggregeres og omdøpes. For eksempel, si at du hadde fire rutere: Du kunne få tilgang til grafene ved å gå til en bestemt ruter og grensesnitt. Men du kan også lage aliaser basert på et vanlig uttrykk. For eksempel, med disse aliasene:. GUI-nettvisningen vil vise disse alternativene for grafering: Alias vises i GUI-grensesnittene som brukes i rapporter Rtr2 Gig00 og Gig01 og Rtr3 Fast00 Rtr2, Multilink1 og Rtr3, Tunnel1 Denne tilnærmingen er skjønnheten at GUI-grensesnittet er stabilt og lett å navigere , selv om de underliggende nettverksrutene og grensesnittene kan endres ofte. Det lar også flere grensesnitt enkelt aggregeres sammen. Fleksibel data aggregering. Den enkleste og vanligste måten å konfigurere Webview er å definere trafikkategorier og spore dem via rutefrensesnittet. Deretter begynner du å eksportere Netflow fra en eller flere rutere i nettverket ditt som du vil ha synlighet inn i. Denne tilnærmingen fungerer bra for de aller fleste brukere av dette produktet. For de som ikke passer denne molden, har Webview full støtte for prosessering og visualisering av Netflow-data: ved subnet hentet fra rutetabellen for eksporterende rutere ved subnett CIDR-blokk definert for hånd av bestemmelsesstedets IP-adresse ved bestemmelsessted BGP ASN av IP-neste hop i henhold til en ACL Subnet-sporing er svært nyttig når Netflow-data ikke er tilgjengelig for en del av nettverket. For eksempel, kanskje Netflow kun samles inn fra hovedendringene i en fullmasket MPLS WAN. I dette tilfellet kan sporing av nettstrømstatistikk etter delnett gi en utmerket utledet visning av hvert eksternt nettsted. Netflow-embedded timestamps Dette er en subtil men viktig poeng. Mange Netflow-analysepakker antar at strømmer mottas i samleren i sanntid, og at de hver passer inn i et enkelt prøveintervall (vanligvis 1, 5 eller 15 minutter). Webview kan selvfølgelig gjøre det. Men hvis nettverket er riktig konfigurert for Network Time Protocol (NTP), kan Webview i stedet bruke tidsstemplene som er innebygd i hver Netflow-post. Dermed er det tre separate metoder for å telle strømmer: telle strømmen basert på når den ble mottatt av oppsamleren, telle strømmen basert på start, slutt eller midt tidsstempel for strømmen, fordeler strømmen jevnt over varigheten av strømmen. Dette håndterer flater som er lange eller strekker seg i et prøveintervall. F. eks en fire minutters flyt som starter kl 07:58:00 og slutter kl 08:01:59 Denne siste tilnærmingen har flere fordeler: Prøvestørrelser kan være mindre enn fangstfilens varighet. Trinnet i webvideo er størrelsen på hvert utvalgsintervall, og det kan settes alt fra 1 sekund opp til filfangstørrelsen (normalt 5 minutter). I praksis gir 60-sekunders prøver en utmerket balanse mellom CPUstorage og å kunne se full effekt av trafiksøkene. strømmer kan bli forsinket. Selv i et enkelt nettverk, vil en samler ikke motta en Netflow-pakke til flere sekunder etter at strømmen er ferdig. I et komplekst nettverk med flere samlere kan det ta minutter eller timer for strømmen samles på et sentralt punkt for behandling. strømmer kan spilles på nytt. F. eks Hvis du endrer renderingskonfigurasjonen, er det enkelt å spille av den siste måneden med data gjennom den nye konfigurasjonen. en aggressiv aktiv flyt-timeout er unødvendig (dvs. ip-flow-cache timeout aktiv 1). Faktisk kan webvisningen konfigureres til å håndtere standard timeout på 60 minutter, og grafene vil se like bra ut som med en 1-minutters timeout. Det garanterer konsistent, nøyaktig rapportering, selv på tidsutfordrede virtuelle maskiner. Noen VM ser ut til å ha problemer med deres sanntidsklokker, noe som fører til 5-minutters flytfiler som inneholder alt fra 3 til 8 minutter data. Det er ikke noe problem når tidsstemplene brukes. Flow collection Webview bruker en modifisert versjon av Damien Millers flowd (mindrot. orgprojectsflowd) nettstrømsamler. Svært høye strømningshastigheter (testet til over 50.000 flowsecond) Testet opp til tusen samtidige eksportører Håndterer nettstrømpakker uten ordre - noe som ikke kjenner kommersielt produkt. Støtter multicast lytte, noe som er nyttig for redundans Kompatibel med samplikator. et verktøy som kan kopiere nettstrømstrafikk til flere samlere. Støtter v1579 nettstrømdata. v9 nettstrøm støttes, men bare tradisjonelle v5 nettstrømfelt lagres på disk. Alle andre strømningsfelt blir kassert. Forhåpentligvis vil dette endres snart Robust eksportørhåndtering Webviews mål er NULL vedlikehold uansett antall nettstrøm eksportører. Nye eksportører blir automatisk oppdaget ved hjelp av en liste over SNMP v1v2v3 parametere (valgfritt begrenset av nettmasker). Ruteroppgraderinger IP-adresseendringer Nye grensesnitt Ikke noe problem Webview håndterer grasiøst håndtering av eksportører. Redundante par av ruteren Du kan jobbe med dem som en enkelt enhet. Omfattende rapportering om helse for alle eksportører (Se eksempel på statusrapport for eksportør som viser 600 eksportører): SNMP-rekkevidde eksportversjon og pakke tellere, inkludert tapt og duplikat pakkeflyt eksportvolum nettverk trafikkvolum på hver eksportør grensesnitt eksportør klokke helse ut - av synkronisert, skjev eller helt fubar. eksportør feilkonfigurasjoner: aktiv flyt timeout enveis grensesnitt duplikatflyter Soapbox på hvorfor håndtering av flytinnsamlingen er veldig viktig Her er noen virkelige eksempler på Netflow data mismanagement: Nettverkstrafikkspiker oppretter overbelastning som forårsaker at Netflow-eksportpakker slettes. Som et resultat ser nettverksadministratoren ikke noe tegn på pigger. Flere kopier av hver nettstrømpakke finner veien til kollektoren. Dette kan skje når en ruteren har flere konfigurerte eksportører definert eller når intermediære samlere er feilkonfigurert (for eksempel ved bruk av nettstrømrelé, videresending eller kjettingfunksjoner i kommersielle pakker). Disse problemene er vanskelige å legge merke til uten et godt syn på innsamlingshelsen. Min erfaring er at kommersielle Netflow-produkter er svake i denne forbindelse. Når de oppgis uten ordre eller kopiere nettstrømspakker, merker de heller ikke at noe er galt, eller de rapporterer feilfunn (for eksempel milliarder dråper). Flowbehandling av innfødt SMP (symmetrisk multiprosessering) for miljøer med flere eksportører som behandler hastigheter på 5-50k flowsecond per vCPU, avhengig av konfigurasjonskompleksitet rthcached-kompatibel for å optimalisere disken IO avansert klokkesynkronisering Webview har blitt slagetestet i flere krevende multinasjonale og Fortune 100-miljøer Open Source Ikke bare er Webview open source-programvare (GPL2-lisens), den bruker også flere åpne kildekomponenter i backend: Flow-collection håndteres av Damien Millers flowd (mindrot. orgprojectsflowd), med modifikasjoner. Alle modifikasjoner har blitt sendt tilbake til flowd-prosjektet og vil etter hvert bli slått sammen. Flowrapportering og filtrering håndteres av Mark Fullmers flyt-verktøy (splinteredswflow-verktøy). Selv om et lite gammelt strømningsverktøy fortsatt gjør noen ting bedre og raskere enn noen annen pakke. En javascript webkalender kommer fra DHTMLX (dhtmlxdocsproductsdhtmlxCalendar). Perl Webview Netflow Reporter er nesten helt skrevet i Perl skriptspråk. Perl tilbyr stor fleksibilitet, rask utvikling, enkel modifikasjon og høy ytelse. Quality-of-Service (QoS). Netflow måler ikke jitter eller talekvalitet, men det er utmerket for å vise at DSCP-merkene dine er konsistente og at trafikkvolumene stemmer overens med forventningene. For eksempel, her er en graf som viser både riktig og feilaktig merket G.729-trafikk: Ignorer de nedadrettede spikene (disse var stemmeprober fra NetIQ) og fokusere på de små 25 Kbps lilla og røde rektangler mellom 19:20 til 20:20. Disse viser at en G.729-strøm ble merket i en retning, men ikke den andre. Et klikk på det lilla untagged området avslører de feilaktige endepunktene. En ytterligere råflytningsrapport vil vise DSCP: I dette tilfellet er en retning av VoIP-samtalen riktig merket som DSCP EF, men den andre retningen er ikke. Nettstrømrapporter kan også skinne et lys på jitterkvalitetsmåling fra kilder som Cisco IP Service Level Agreement (IP SLA, tidligere SAA eller RTR). For eksempel i denne QoS valideringsanalysen. De to første grafene viser rundturstid (RTT) og jitter for tale - og datatrafikk på en gitt WAN-kobling som rapportert av IP SLA. Den tredje grafen viser Netflow-trafikkutnyttelsen. De store Netflow-piggene korrelerer til økt jitter og RTT på datatrafikken, men VoIP-trafikken forblir immune. Sluttbordet viser at trafikken som forårsaker spissen, blir riktig merket som DSCP CS1, som brukes til mindre enn best innsats. Denne analysen tok omtrent en time å gjøre, og det viser at VoIP ikke påvirkes av ikke-VoIP-trafikk og at nettverksspisser blir riktig merket som scavenger. Er du sikker på at sant er i nettverket Merk: wwwipsla-katalogen i Webview inneholder en IP SLA-overvåkingsdemon og reporter. Hvis du ikke har noe annet produkt for IP SLA (f. eks. Cacti, NetIQ), fungerer dette ganske bra. Sikkerhetsforensikk. Ad hoc-søkeverktøyet er et flott rettsmedisinsk analyseverktøy. Spesielt er de raske strømningsrapporterne kronologisk nøyaktige og kan ha millisekondens nøyaktighet. Det er som et snifferspor, men det kjører alltid og det er ingen hodepine for å sette opp porter, sette opp en samler og flytte rundt megabytefangstfiler. Gitt, Netflow viser deg ikke nyttelast, men det lar deg skanne gjennom millioner av pakker om sekunder og raskt finne ut hva som skjedde og når. En Webview-bruker hos en ISP skrev artikkelen Mining Netflow på dette emnet i Informasjonssikkerhet, Jan 2006. Han bruker den daglig til å rydde ut zombier og malware på sine kunders maskiner. Snakk om stor ISP-tjeneste En annen Webview-bruker hadde et SQL-ormutbrudd som unnvarte sine antivirus-systemer (ormen var helt ny, men angripsvektoren var kjent og unpatched). De oppdaget kun ormen når nettverket deres begynte å krasje. På det tidspunktet kunne sniffere bare fortelle hvem som var infisert. Heldigvis var Netflow forensics med Webview i stand til å vise at infeksjonen begynte over 24 timer tidligere da en SQL-administrator plugget i sin laptop infisert med W32.Toxbot. B, som da mottok ordre fra en skurk maskin i Storbritannia for å frigjøre ormen på nettverket. Netflow rettsmedisinsk analyse med Webview kan også avsløre mye om bruksadferd for Internett. Internett-leverandører har brukt den til å svare på spørsmål fra hjemmet (en far lurer på akkurat hva sønnen hans lastet ned) til den forbrytende (barnetillatelse, kidnapping, truende anonyme e-postmeldinger, osv.). Netflow er ikke CALEA-kompatibel, men det er en kostnadseffektiv måte for nettverksoperatører som er under CALEA-radaren, å svare på disse spørsmålene når de kommer opp. Profiling WAN akselerasjon (WAAS, WAFS, etc). Mange bedrifter distribuerer WAN-akseleratorer for å øke hastigheten på trafikken. De fleste WAN-akseleratorer tunnelerer all optimalisert trafikk, noe som gjør det nesten usynlig for Netflow på WAN-ruteren. Den forhåndsoptimerte trafikken er imidlertid tilgjengelig fra WAN-ruteren Netflow hvis WCCP brukes til å omdirigere trafikk til akseleratoren (eksempel). Den forhåndsoptimale trafikken kan også være tilgjengelig som Netflow fra WAN-akseleratoren selv. Cisco og moderne Riverbed og Expand produkter støtter gjennomsiktig akselerasjon som beholder IP-header for hver forbindelse (eksempel). I disse tilfellene kan Webview rapportere om både pre - og postoptimaliseringstrafikk per kategori. ltsoapboxgt Det er utrolig at mange bedrifter fortsatt bruker 5 eller 15 minutters utvalgsintervall og magiske tall som 60 for å administrere WAN-kapasiteten. Hvis du er glad i nettverksbrukere, må du stille inn alle båndbreddeovervåkingsverktøyene dine for å bruke et minuttsprøver jeg jobbet for en stor detaljhandelsklient, hvis appen i salgsstedet syntes å være tilfeldig sviktende i butikkene. Nettverksadministratoren insisterte på at WAN-koblingene var fine. Hans bevis var en graf på 5-minutters prøver som viste en gjennomsnittlig utnyttelse på under 25 år. Vi slått på Netflow, og i løpet av få minutter ble det klart at det faktiske trafikkvolumet var 10, men at en Microsoft-replikasjonsjobb bundet linken til 100 i et par minutter hver kvart time. Doh I det veldrevne virksomheten går kapasitetsplanlegging langt utover et makronivåutsikt av trafikk inn i et grensesnitt. Virkelig kapasitetsplanlegging handler om å forstå hvordan individuelle applikasjoner oppfører seg når de møter forringende overbelastning, og det krever en mikronivåvisning som tar hensyn til QoS-politikk. Det handler også om å forstå vanskelige kontrollkilder for overbelastning, for eksempel uønsket internettrafikk, flash-crowding på MPLS WAN-er med full netting, og VoIP-service etter strømbrudd. Og viktigst, det handler om å forstå menneskelig toleranse og overvåkning til det nivået (for eksempel hvor lenge til brukeren klikker på oppdateringsknappen, starter sin Citrix-økt på nytt eller starter PCen på nytt). ltsoapboxgt Når det er sagt, gjør Webview en ganske god jobb med kapasitetsplanlegging. Det kan spore lange perioder med både båndbredde: og aktive brukere: Det er også en valgfri modul kalt Netusage som trekker ut dagsdata for hvert element, og har et forenklet, ledervennlig webgrensesnitt, komplett med enkle linjediagrammer og enkel å lese rapporter. Det lagrer også sine data i MySQL, noe som gjør dataene mer tilgjengelige med verktøy som Excel og Access. Spore IT-migrasjoner. En uopplagt bruk av Webview er å generere rapporter om IT-migrasjonsprosjekter. For eksempel sporer brukere som de konverterer fra en versjon av Exchange til en annen, eller fra et sett med nettverksbrytere til et annet. Webview kan hjelpe deg med å stramme inn i et migreringsstatusmøte med en armful av grafer og rapporter basert på ekte verdensdata som viser prosentvis fullstendig, stragglers, etc. Prosjektledere vil bli overrasket og lurer på hvordan nettverksmannen kunne få slike fantastiske data. Rutebeskyttelse. Når Netflow eksporteres direkte fra en ruter, inkluderer den delnettinformasjon som hentes fra rutingtabellene. Webview inkluderer et valgfritt verktøy kalt routeMon som vedlikeholder en MySQL-tabell som inneholder eksportøren, grensesnittet, destinasjonsruten og byte telling fra forrige dag. Denne informasjonen kan være enormt kraftig og det venter bare på det rette problemet å løse. Men dessverre er det overordnede nettverksadministrasjonsparadigmet å ignorere rutingstabellen og i stedet for å fokusere på å håndtere elementer. Hittil har disse innsamlede rutediagnene hovedsakelig vært nyttige for å undersøke dupliserte ruter og sikre at de er ment eller ikke. F. eks I rapporten nedenfor er de samme rutene forskjellige veier til det samme fjernkontoret. For de sammenligningene som handler i åpen kildekodeverktøy, angir jeg noen av Webview Netflow Reporter-begrensninger: Det kan ikke enkelt generere ad hoc-grafer fordi Webviews-paradigmet er å forhåndsdefinere kategorier og kontinuerlig grave dem. For eksempel kan du ikke bruke webgrensesnittet til å velge noen vilkårlig filtreringskriterier og generere en graf over det i løpet av den siste uken. NFSen og FlowViewer ser begge ut til å ha denne muligheten. Webview kan selvfølgelig gjøre det, men det krever for tiden noen bak-scener CLI jobber av en administrator. Begrenset støtte for Netflow v9Flexible NetflowIPFIX. Strømsamleren støtter Netflow v9-pakker, men sparer kun v5-kompatible felt. Dette skyldes at rapporteringsmaskinen for flytverktøy kun kan fungere på disse feltene. Så mens du kan bruke Netflow v9 og utnytte sin bedre konfigurasjon, kompatibilitet og en sekunds presisjon, kan du ikke bruke noen av de ekstra feltene (IPv6 eller MPLS-koder). Det er ikke pent. Som kvaliteten på denne nettsiden kan bekrefte, er forfatteren ikke en web - eller brukerdesigner. Vennligst vær ikke slått av ved grå-på-mørkere grå tema eller mangel på skinn. Selv om det ser clunky ut, er grensesnittet raskt og funksjonelt. Og hvilken som helst rapport kan være hyperkoblet, slik at du er fri til å bygge en mer brukervennlig portal med webvisning som gir innholdet i back-end. Det er ikke sanntid. Noen pakker viser sanntidsvisning av strømmen som mottas. Webview er alltid minst 5 eller 10 minutter bak. Det er ikke designet for de som er mest interessert i peering (institusjoner eller tjenesteleverandører). Det kan sikkert brukes i disse miljøene, men Webviews hovedfokus er bedriften med sin kraftige kategorisering. Du vil kanskje sjekke ut pmacct eller FlowScan i stedet. Nettgrensesnittet er sannsynligvis ikke sikkert. Den har sunnhets sjekker og skjema validering sjekker, men koden ble ikke skrevet med sikkerhet i tankene. Spesielt kan multitangentegenskapene til webgrensesnittet ikke være kollisikkert (leietakere kan se data utenfor sone). Det er ikke anbefalt å utsette det for Internett eller usikre eksterne partier, med mindre det er front-endet av en portal. Det er ikke for Windows. Beklager. Du kan sikkert installere den på en Linux VM som kjører under gratis VMPlayer for Windows. Webview kjører på en fysisk eller virtuell Linux-vert. Hvis du vil samle nettstrøm på færre enn 5 rutere med totalt mindre enn 200 Mbps trafikk, må liming ikke være et problem. Gå videre og installer Webview på en virtuell maskin med en vCPU, 512 MB RAM og 40-250 GB disk, og se hvordan det går. Hvis du vil samle mye mer flytdata, må du vurdere andre faktorer: Eksport av eksportør - hvor mange enheter vil sende strømmer Flow eksportørgrensesnitt - hvor mange totale grensesnitt vil bli representert i flytdata Flowexport rate - - hva er det totale volumet av flytdata (målt i strømningssekund) Råstrømlagring - hvor mange daysweeks råstrømdata skal holdes online for ad hoc-rapportering Antall trafikkategorier - hvor mange forskjellige typer trafikkategorier vil bli identifisert ( inkludert både generelle kategorier som video, web og e-post og mer detaljerte kategorier som untagged g.711 audio and freds development server) Oppløsning og historie av aggregerte data - hvor mye historie skal lagres ved 1-minutters prøvetaking, 5- minuttprøving, 60-minutters prøvetaking og 24-timers prøvetaking. Her er noen generelle retningslinjer: Flowhastigheten avhenger helt av applikasjonene som brukes. Her er noen forretningsretningslinjer: WAN-router - ca. 15 strømningssekund for hver Mbps brukt båndbredde (for eksempel en ruteren med en 10 Mbps WAN-krets som gjennomsnittlig 5 Mbps for den faktiske bruken, kan generere 75 flowsecond) Datasentralbrytere - omtrent 3 flytingssekunder per Mbps. (e. g. a 10 Gbps inter-data center link carrying about 3 Gbps of traffic might generate 9,000 flowssecond. CPU Multi-core processing spreads the processing workload nicely when there are many exporters Higher clock-rates will result in linearly better performance. An AMD Opteron 1.9 GHz or Intel E7-4850 2.0 GHz CPU have been observed processing: default categories - 25,000 flowssecond per core typical custom cagtegories - 10,000 flowssecond per core complex custom categories - 7,000 flowssecond per core Memory 512MB is fine for typical systems handling less than 5,000 flowssecond. For larger systems, allocate 512MB per core plus 4GB if you plan to use rrdcached to optimize the disk IO (see below). Storage. Webview has two very different storage needs: Raw flow warehousing Each raw flow consumes about 18 bytes. E. g. a large network with 50,000 flowssecond will require 74 GB for each day of raw flow history, or 2.5TB for a month of history, The flow data is written just once and read duri ng ad hoc reports run by the web user. The speed of those reports depends on the speed of this disk. Its fine to use cheaperslower SATA drives (tier 2 or tier 3). Aggregate storage (RRD file format) Webviews default aggregation is: one day of 1-minute resolution two weeks of 5-minute resolution 90 days of 60-minute resolution 720 days of 1-day resolution With these defaults, each interface category requires 3MB for aggregate storage. For example, 50 routers with 4 interfaces each and 25 traffic categories would consume about 50 4 25 3MB 15 GB of disk. This aggregate data is stored in RRD files, which: are read and written constantly in the background (the readwrite ratio is 5050) require very high IO Operations Per Second (IOPS) These files should be stored on fast 10K15K RPM SAS drives configured in RAID groups (tier 1 or tier 2). Flash caching would also help rrdcached is an optional utility that reduces the IO burden by using a very large in-memory cache. If needed, ensure that the host has 4-8GB of extra memory. The Webview Netflow package was primarily written by Craig Weinhold (craig. weinhold cdw. com), a Cisco network engineer and CCIE. This software has been developed to address real-world needs in medium and large-size enterprise networks that the author has worked with over the years. This GPLing of this software was supported by the authors employer, CDW. a company that not only moves a lot of boxes through its warehouses, but also provides top-notch IT professional services around Cisco, Microsoft, IBM, NetApp, EMC, and other vendors. Our specialties include unified communications, security, data center, WAN, storage, and systems. Not surprisingly, CDW would be happy to help you with enterprise Netflow design and planning services, including the support of Webview Netflow Reporter. For more information on these commercial services, consult the Contact us page at cdwcontentservicesprofessional-services. aspx. Sourceforge project site last updated: 16-June-2013R. R. Donnelley Sons Company Common Stock Quote Summary Data Real-Time After Hours Pre-Market News Flash Quote Summary Quote Interactive Charts Default Setting Please note that once you make your selection, it will apply to all future visits to NASDAQ. Hvis du, når som helst, er interessert i å gå tilbake til standardinnstillingene, velg Standardinnstilling ovenfor. Hvis du har noen spørsmål eller støter på problemer ved å endre standardinnstillingene, vennligst send epost til isfeedbacknasdaq. Vennligst bekreft ditt valg: Du har valgt å endre standardinnstillingen for Quote Search. Dette vil nå være din standardmålside, med mindre du endrer konfigurasjonen din igjen, eller du sletter informasjonskapslene dine. Er du sikker på at du vil endre innstillingene dine Vi har en tjeneste å spørre Vennligst deaktiver annonseblokkeren din (eller oppdater innstillingene dine for å sikre at javascript og informasjonskapsler er aktivert), slik at vi kan fortsette å gi deg de førsteklasses markedsnyheter og data du har kommet til å forvente fra oss.
No comments:
Post a Comment