Wenn Sie wissen möchten, wie Sie den Netzwerkverkehr analysieren, sind Sie bei uns genau richtig.
Die Analyse des Netzwerkverkehrs kann entmutigend sein. Es umfasst das Sammeln, Speichern und Überwachen aller Daten, die Ihre lokale, hybride oder Multi-Cloud-Infrastruktur durchlaufen. Sie müssen diese Daten für die Netzwerkplanung und -gestaltung visualisieren und durchsuchen. Sie benötigen auch Benachrichtigungen, wenn etwas schief gelaufen ist, um effektiv Fehler zu beheben. Es kann also viel zu tun sein.
Lassen Sie uns die Schritte aufschlüsseln, die Sie unternehmen müssen, damit Sie sich bei der ganzen Sache besser fühlen.
Schritt 1: Identifizieren Sie Ihre Datenquellen
Der erste Schritt besteht darin, herauszufinden, was sich in Ihrem Netzwerk befindet. Sie können etwas nicht analysieren und überwachen, wenn Sie nicht wissen, dass es existiert. Dieser Schritt besteht aus zwei Teilen.
Datenquellentypen ermitteln
Sie müssen die Quell-Typen identifizieren und kategorisieren, aus denen Sie Daten erfassen können. Es gibt Anwendungen, Desktops, Server, Router, Switches, Firewalls und mehr. Jede dieser Metriken kann verschiedene Metriken bereitstellen, die Sie zur Analyse sammeln können.
Identifikationsmethoden festlegen
Als nächstes müssen Sie die besten Methoden ermitteln, mit denen Sie Ihre Datenquellen identifizieren können. Sie können einen manuellen oder automatisierten Ansatz verwenden. Der manuelle Ansatz beinhaltet das Durchsuchen von Topologiekarten und anderen Dokumentationen, die jedoch schnell veraltet sind. Betrachten Sie also die automatisierte Methode mit Anwendungs- und Netzwerkerkennung. Zu den gängigen Methoden der automatischen Erkennung gehören die Verwendung von SNMP, Windows Management Instrumentation (WMI), flussbasierten Protokollen und Transaktionsverfolgung. Wenn Sie dies jetzt tun, können Sie später Anwendungs- und Netzwerkabhängigkeiten finden und die Sichtbarkeit der Infrastruktur maximieren.
Schritt 2: Ermitteln der besten Methode zum Sammeln aus Datenquellen
Im nächsten Schritt müssen Sie herausfinden, wie Sie die benötigten Daten am besten aus Ihren Datenquellen sammeln können. Grundsätzlich gibt es zwei Möglichkeiten, Netzwerkverkehrsdaten zu erfassen: mit und ohne Agenten.
Agentenbasierte Erfassung
Die Erfassung von Daten mithilfe eines Agenten umfasst die Bereitstellung von Software in Ihren Datenquellen. Agenten können Informationen über laufende Softwareprozesse, Systemressourcenleistung und eingehende/ausgehende Netzwerkkommunikation sammeln. Die agentenbasierte Erfassung kann zwar sehr detaillierte Daten liefern, kann jedoch auch Verarbeitungs- und Speicherprobleme verursachen.
Agentenlose Erfassung
Das Sammeln von Daten ohne Agenten umfasst die Verwendung von Prozessen, Protokollen oder APIs, die bereits von Ihren Datenquellen unterstützt werden. Die agentenlose Sammlung umfasst Methoden wie SNMP auf Netzwerkgeräten und WMI auf Windows-Servern. Auf Firewalls aktiviertes Syslog hilft bei der Identifizierung von Sicherheitsereignissen, und flussbasierte Protokolle helfen bei der Identifizierung von Datenverkehrsströmen. Die agentenlose Erfassung erzeugt nicht immer Daten, die so granular sind wie die Agentenerfassung, aber sie funktioniert gut genug, um Ihnen die Benutzer- und Systemdaten zur Verfügung zu stellen, die Sie zur ordnungsgemäßen Analyse des Netzwerkverkehrs benötigen.
Schritt 3: Bestimmen Sie alle Erfassungsbeschränkungen
Sobald Sie Ihre Datenquellen und den besten Weg kennen, Netzwerkverkehrsdaten daraus zu extrahieren, ist es verlockend, einfach loszulegen. Aber Ihre Organisation hat wahrscheinlich Regeln und Einschränkungen, was und wie die Infrastruktur verwaltet wird. Wenn Sie keine dieser Anforderungen im Voraus festlegen, wirkt sich dies nachteilig auf Ihre Fähigkeit zur Analyse des Netzwerkverkehrs aus.
Stellen Sie also sicher, dass Sie herausfinden, ob es Ports gibt, die Sie beispielsweise für die Sammlung öffnen müssen. Stellen Sie außerdem sicher, dass Sie herausfinden, ob eine Genehmigung der Abteilung erforderlich ist, bevor mit der Datenerfassung begonnen werden kann. Dies kann Ihnen helfen, Silos aufzubrechen, indem Sie Daten aus anderen Teilen des Netzwerks sammeln.
Und denken Sie an die Branche, in der sich Ihre Organisation befindet. In stark regulierten Branchen wie dem Gesundheitswesen oder dem Finanzwesen ist es Ihnen möglicherweise nicht gestattet, bestimmte Arten von Daten zu sammeln, oder Sie müssen Daten für einen längeren Zeitraum speichern. Mehr historische Daten können für die Analyse des Netzwerkverkehrs hilfreich sein, dies nimmt jedoch Speicherplatz in Anspruch. Beachten Sie daher alle Regeln, die die Datenerfassung einschränken oder regeln.
Schritt 4: Starten Sie eine kleine und vielfältige Datenerfassung
Der nächste Schritt besteht darin, Ihre Datenquellen für die Erfassung zu aktivieren. Der Schlüssel hier ist, mit einer Vielzahl von Datenquellen klein anzufangen, insbesondere wenn Sie ein großes Netzwerk betreiben. Auf diese Weise können Sie Probleme mit allen Systemen identifizieren, bevor Sie Ihre Reichweite im gesamten Netzwerk erweitern. Das Letzte, was Sie wollen, ist zum Beispiel, Daten von all Ihren Windows-Servern zu sammeln und dann herauszufinden, dass bestimmte Gruppen von Servern immer wieder abstürzen. Beginnen Sie also klein mit einer vielfältigen Gruppe und erweitern Sie von dort aus.
Schritt 5: Bestimmen des Datenerfassungsziels
Sie müssen das Ziel für alle Daten bestimmen, die Sie erfassen. Der Netzwerkverkehr kann mit spezieller Hardware oder virtuellen Appliances gespeichert werden. Die Installation von Überwachungssoftware auf Ihren physischen oder virtuellen Geräten ist ebenfalls eine Option.
Berücksichtigen Sie die Größe und Komplexität Ihres Netzwerks. Wenn große Teile beispielsweise virtuelle Geräte enthalten, können virtuelle Geräte geeigneter sein. Wenn Ihre Organisation immer noch hauptsächlich eine lokale physische Infrastruktur verwendet, ist ein Hardwaregerät möglicherweise die bessere Option. Vermeiden Sie die Verwendung einer virtuellen Appliance zur Überwachung eines ausgelasteten virtuellen Netzwerks in diesem Netzwerk.
Die Ziel-Appliance für den Netzwerkverkehrsspeicher bestimmt, wie Sie ihn analysieren können. Eine Appliance ohne die Möglichkeit, die Daten über eine Web-Benutzeroberfläche anzuzeigen, erschwert beispielsweise die Analyse. Wenn Sie über eine Softwarekomponente verfügen, wird Ihr Leben einfacher, da Sie damit Daten analysieren und sammeln können.
Schritt 6: Kontinuierliche Überwachung aktivieren
Die Analyse des Netzwerkverkehrs ist normalerweise kein einmaliges Ereignis. Manchmal müssen Sie ein bestimmtes Problem beheben, z. B. eine unerwartete Sicherheitsverletzung oder einen plötzlichen Linkfehler. Möglicherweise müssen Sie auch dabei helfen, den Netzwerkverkehr aus einem Bereich des Netzwerks zu analysieren, der trotz aller oben genannten Bemühungen nicht erreichbar ist oder die Überwachung einschränkt. In diesen Fällen müssen Sie den Datenverkehr möglicherweise einmal oder für einen bestimmten Zeitraum erfassen und analysieren.
Aber um den Netzwerkverkehr richtig zu analysieren, müssen Sie kontinuierlich Daten aus Ihrer Infrastruktur überwachen und sammeln. Kontinuierliche Überwachung ist für die Erfassung von Echtzeit- und historischem Datenverkehr von größter Bedeutung. Aktivieren Sie daher die kontinuierliche Überwachung mit der Lösung, die Sie im vorherigen Schritt als Ziel für den Netzwerkverkehr ausgewählt haben.
Schritt 7: Anzeigen und Durchsuchen der gesammelten Daten
Bei der Analyse des Netzwerkverkehrs werden Gigabyte oder mehr Daten durchsucht. Und Sie müssen alles sehen, suchen und verstehen. Vielleicht sind Sie ein Terminal-Assistent und können sich durcharbeiten, um zu finden, wonach Sie suchen, und Sie denken, dass Textdateien, die auf Ihrem Server oder dieser Appliance gespeichert sind, in Ordnung sein könnten. Bei der Verkehrsanalyse müssen Netzwerkdaten jedoch in Buckets wie Anwendung, Bytegröße, Protokoll, IP-Subnetz usw. kategorisiert werden. Es ist nicht einfach, dies über die Befehlszeile zu tun.
Sie müssen also sicherstellen, dass Sie über eine Überwachungslösung verfügen, um alle gesammelten Daten anzuzeigen. Die Möglichkeit, den Netzwerkverkehr über Dashboards und Berichte zu visualisieren, kann die Zeit für die Behebung eines Anwendungsproblems erheblich verkürzen. Auf diese Weise können Sie feststellen, wer die besten Sprecher in Ihrem Netzwerk sind und was sie erleben. Es kann Ihnen helfen, die am häufigsten verwendeten Anwendungen und die Probleme zu finden, die sie haben. Mit diesem Schritt können Sie auch Netzwerkverbindungen mit geringer Bandbreite finden, die Sie entfernen können, um Geld zu sparen.
Schritt 8: Warnungen einrichten
Der letzte Schritt besteht darin, sicherzustellen, dass Sie benachrichtigt werden, wenn ein Problem vorliegt. Sie können nicht den ganzen Tag vor Ihrem Bildschirm sitzen und Dashboards und Berichte anzeigen. Sie müssen also Ihre Überwachungslösung so konfigurieren, dass Sie benachrichtigt werden, wenn etwas schief geht. Warnungen werden oft per E-Mail gesendet, aber Sie können sich und Ihr Team auch mit Integrationen alarmieren, die Sie von Überwachungstools wie Netreo erhalten. Unabhängig davon, welches Überwachungstool Sie verwenden, muss es die richtigen Warnungen senden, damit Sie eine Ermüdung der Warnungen vermeiden können.
Vergessen Sie nicht, auch benutzerdefinierte Schwellenwerte festzulegen. Das richtige Überwachungstool sollte Ihnen helfen, Anomalien zu erkennen, aber Sie kennen Ihr Netzwerk am besten. Wenn Sie wissen, dass bestimmte Ports über Ihre Firewalls nicht zulässig sind, sollten Sie Warnschwellenwerte dafür erstellen. Selbst wenn das Tool neu bereitgestellt wird, kann es Ihnen immer noch helfen zu wissen, wann etwas nicht stimmt, und Sie können tiefer graben.
Befolgen Sie diese Regeln
Wenn Sie die obigen Schritte ausführen, sollte es genügend Glückwünsche für Ihr gesamtes Team geben. Denn am Ende des Tages ist die Analyse des Netzwerkverkehrs ein Teamspiel. Implementieren Sie diese Schritte und helfen Sie Ihren IT-Teammitgliedern, dasselbe zu tun. Auf diese Weise kann Ihr gesamtes Team davon profitieren, den Netzwerkverkehr zu analysieren.
Dieser Beitrag wurde von Jean Tunis geschrieben. Jean ist der Hauptberater und Gründer von RootPerformance, einem Performance-Engineering-Beratungsunternehmen, das Technologiebetreibern hilft, Kosten und Produktivitätsverluste zu minimieren. Er arbeitet seit 1999 in diesem Bereich mit verschiedenen Unternehmen zusammen und hilft Kunden bei der Lösung und Planung von Anwendungs- und Netzwerkleistungsproblemen.