jak analizować ruch sieciowy, krok po kroku

jeśli chcesz wiedzieć, jak analizować ruch sieciowy, trafiłeś we właściwe miejsce.

Analiza ruchu w sieci może być zniechęcająca. Obejmuje gromadzenie, przechowywanie i monitorowanie wszystkich danych przetwarzanych przez infrastrukturę lokalną, hybrydową lub wielochmurową. Musisz wizualizować te dane i przeszukiwać je pod kątem planowania i projektowania sieci. Potrzebujesz również powiadomień, gdy coś poszło nie tak, aby skutecznie rozwiązać problem. Więc to może być dużo do czynienia z.

aby pomóc Ci poczuć się lepiej w całej sprawie, omówmy kroki, które musisz podjąć.

Krok 1: Zidentyfikuj źródła danych

pierwszym krokiem jest sprawdzenie, co znajduje się w Twojej sieci. Nie możesz analizować i monitorować czegoś, jeśli nie wiesz, że istnieje. Ten krok składa się z dwóch części.

określanie typów źródeł danych

musisz zidentyfikować i skategoryzować typy źródeł, z których możesz zbierać dane. Istnieją aplikacje, komputery stacjonarne, serwery, routery, przełączniki, zapory sieciowe i inne. Każda z nich może dostarczyć różnych wskaźników, które można zebrać do analizy.

zdecyduj metody identyfikacji

następnie musisz określić najlepsze metody, których możesz użyć do identyfikacji źródeł danych. Możesz użyć podejścia ręcznego lub automatycznego. Podejście ręczne obejmuje przesiewanie map topologicznych i innej dokumentacji, ale szybko stają się przestarzałe. Rozważmy więc zautomatyzowaną metodę z wykrywaniem aplikacji i sieci. Typowe metody automatycznego wykrywania obejmują korzystanie z SNMP, oprzyrządowania zarządzania Windows (WMI), protokołów opartych na przepływach i śledzenia transakcji. Teraz pomoże to później znaleźć zależności aplikacji i sieci oraz zmaksymalizować widoczność infrastruktury.

ruch sieciowy

Krok 2: Określ najlepszy sposób zbierania danych ze źródeł danych

następnym krokiem jest znalezienie najlepszego sposobu zbierania danych z Twoich źródeł danych. Zasadniczo istnieją dwa sposoby zbierania danych o ruchu w sieci: z agentami i bez nich.

zbieranie oparte na agentach

zbieranie danych za pomocą agenta polega na wdrożeniu oprogramowania w źródłach danych. Agenci mogą zbierać informacje na temat uruchomionych procesów oprogramowania, wydajności zasobów systemowych oraz komunikacji sieciowej przychodzącej/wychodzącej. Podczas gdy gromadzenie oparte na agentach może dostarczać bardzo szczegółowe dane, może również powodować problemy z przetwarzaniem i przechowywaniem.

zbieranie bezagentowe

zbieranie danych bez agentów wymaga użycia procesów, protokołów lub interfejsów API już obsługiwanych przez źródła danych. Bezagentowa Kolekcja zawiera metody takie jak SNMP na urządzeniach sieciowych i WMI na serwerach Windows. Syslog włączony w zaporach sieciowych pomaga identyfikować zdarzenia bezpieczeństwa, a protokoły oparte na przepływach pomagają identyfikować przepływy ruchu. Zbieranie bezagentowe nie zawsze generuje dane tak szczegółowe jak zbieranie agentów, ale działa na tyle dobrze, że daje dane użytkownika i systemu potrzebne do prawidłowej analizy ruchu w sieci.

Krok 3: Określ wszelkie ograniczenia zbierania

gdy już znasz swoje źródła danych i najlepszy sposób na wyodrębnienie z nich danych o ruchu sieciowym, kuszące jest po prostu rozpoczęcie pracy. Ale Twoja organizacja prawdopodobnie ma zasady i ograniczenia dotyczące tego, czym i jak zarządza się infrastrukturą. Brak wcześniejszego określenia któregokolwiek z tych wymagań wpłynie negatywnie na zdolność Użytkownika do analizy ruchu w sieci.

więc upewnij się, czy są jakieś porty, które musisz otworzyć do kolekcji, na przykład. Pamiętaj również, aby dowiedzieć się, czy wymagane jest zatwierdzenie Departamentu przed rozpoczęciem zbierania danych. Może to pomóc w rozbiciu silosów poprzez zbieranie danych z innych części sieci.

i pomyśl o branży, w której znajduje się Twoja organizacja. Ściśle regulowane branże, takie jak Opieka zdrowotna lub Finanse, mogą nie zezwalać na zbieranie pewnych rodzajów danych lub mogą wymagać przechowywania danych przez dłuższy okres. Posiadanie większej ilości danych historycznych może być pomocne w analizie ruchu w sieci, ale wymaga to Przechowywania. Należy więc pamiętać o wszelkich zasadach ograniczających lub regulujących gromadzenie danych.

Krok 4: Rozpocznij mały i zróżnicowany zbiór danych

następnym krokiem jest włączenie źródeł danych do gromadzenia. Kluczem tutaj jest, aby zacząć od małego z różnorodnym zestawem źródeł danych, zwłaszcza jeśli prowadzisz dużą sieć. Pomoże to zidentyfikować problemy z dowolnymi systemami, zanim rozszerzysz swój zasięg w sieci. Ostatnią rzeczą, jakiej chcesz, jest zbieranie danych ze wszystkich serwerów Windows, na przykład, a następnie dowiadywanie się, że niektóre grupy serwerów ulegają awarii. Więc zacznij od małych z różnorodną grupą i rozwijaj się stamtąd.

kluczem jest zacząć od małego z różnorodnym zestawem źródeł danych, zwłaszcza jeśli prowadzisz dużą sieć.

Krok 5: określ miejsce docelowe zbierania danych

musisz określić miejsce docelowe dla wszystkich gromadzonych danych. Ruch sieciowy może być przechowywany przy użyciu specjalnego sprzętu lub urządzeń wirtualnych. Zainstalowanie oprogramowania monitorującego na urządzeniach fizycznych lub wirtualnych jest również opcją.

rozważ rozmiar i złożoność swojej sieci. Jeśli duże części obejmują na przykład urządzenia wirtualne, bardziej odpowiednie mogą być urządzenia wirtualne. Jeśli Twoja organizacja nadal w większości korzysta z lokalnej infrastruktury fizycznej, lepszym rozwiązaniem może być urządzenie sprzętowe. Unikaj używania urządzenia wirtualnego do monitorowania ruchliwej sieci wirtualnej w tej sieci.

urządzenie docelowe dla magazynu ruchu sieciowego określa sposób jego analizy. Na przykład urządzenie, które nie ma możliwości przeglądania danych za pośrednictwem interfejsu internetowego, utrudnia analizę. Jeśli masz komponent oprogramowania, twoje życie będzie łatwiejsze, ponieważ może pomóc analizować dane, a także je zbierać.

Krok 6: włącz ciągłe monitorowanie

Analiza ruchu sieciowego zwykle nie jest jednorazowym zdarzeniem. Czasami trzeba rozwiązać konkretny problem, taki jak nieprzewidziane naruszenie bezpieczeństwa lub nagła awaria łącza. Może być również konieczne przeanalizowanie ruchu sieciowego z obszaru sieci, który pomimo wszystkich powyższych wysiłków nie jest dostępny lub ogranicza monitorowanie. W takich przypadkach może być konieczne zbieranie i analizowanie ruchu jednorazowo lub przez określony czas.

ale aby prawidłowo analizować ruch sieciowy, musisz stale monitorować i zbierać dane z infrastruktury. Ciągłe monitorowanie ma kluczowe znaczenie dla zbierania ruchu w czasie rzeczywistym i historii. Pamiętaj więc, aby włączyć ciągłe monitorowanie za pomocą dowolnego rozwiązania, które wybrałeś jako miejsce docelowe ruchu sieciowego w poprzednim kroku.

Krok 7: Wyświetlanie i wyszukiwanie zebranych danych

Analiza ruchu sieciowego obejmuje przesiewanie gigabajtów lub więcej danych. Trzeba to wszystko zobaczyć, przeszukać i zrozumieć. Być może jesteś kreatorem terminali i możesz przeszukiwać go, aby znaleźć to, czego szukasz, i uważasz, że pliki tekstowe przechowywane na serwerze lub tym urządzeniu mogą być w porządku. Ale analiza ruchu polega na możliwości kategoryzowania danych sieciowych na buckety, takie jak aplikacja, rozmiar bajtów, protokół, podsieć IP itp. Nie jest łatwo to zrobić za pomocą wiersza poleceń.

więc musisz upewnić się, że masz rozwiązanie do monitorowania, aby zobaczyć wszystkie zebrane dane. Możliwość wizualizacji ruchu w sieci za pomocą pulpitów nawigacyjnych i raportów może znacznie skrócić czas potrzebny na rozwiązanie problemu z aplikacją. Pomoże Ci to określić, kim są najlepsi mówcy w Twojej sieci i czego doświadczają. Może pomóc w znalezieniu najczęściej używanych aplikacji i problemów, z którymi się borykają. Wykonując ten krok, możesz również znaleźć połączenia sieciowe o niskiej przepustowości, których możesz się pozbyć, aby zaoszczędzić pieniądze.

Krok 8: Skonfiguruj alerty

ostatnim krokiem jest upewnienie się, że otrzymujesz powiadomienie, gdy wystąpi problem. Nie możesz siedzieć cały dzień przed ekranem, przeglądając pulpity nawigacyjne i raporty. Musisz więc skonfigurować rozwiązanie monitorujące, aby ostrzegało cię, jeśli coś pójdzie nie tak. Alerty są często wysyłane za pośrednictwem poczty e-mail, ale możesz również powiadamiać siebie i swój zespół za pomocą integracji z narzędziami monitorującymi, takimi jak Netreo. Niezależnie od tego, jakiego narzędzia monitorującego używasz, musi ono wysyłać odpowiednie alerty, aby uniknąć zmęczenia alertów.

nie zapomnij również ustawić niestandardowych progów. Odpowiednie narzędzie do monitorowania powinno być w stanie pomóc w wykrywaniu anomalii, ale najlepiej znasz swoją sieć. Jeśli wiesz, że niektóre porty nie są dozwolone przez zapory sieciowe, powinieneś utworzyć dla tego progi alertów. Nawet jeśli narzędzie jest nowo wdrożone, nadal może pomóc Ci wiedzieć, kiedy coś jest nie tak i możesz zacząć kopać głębiej.

bo w końcu analiza ruchu w sieci to gra zespołowa.

postępuj zgodnie z tymi zasadami

jeśli wykonasz powyższe kroki, powinno być wystarczająco dużo gratulacji dla całego zespołu. Bo na koniec dnia, analiza ruchu w sieci jest grą zespołową. Wdrożyć te kroki i pomóc członkom zespołu IT zrobić to samo. W ten sposób cały zespół może skorzystać z wiedzy na temat analizy ruchu w sieci.

ten post został napisany przez Jean Tunis. Jean jest głównym konsultantem i założycielem RootPerformance, firmy doradczej zajmującej się inżynierią wydajności, która pomaga operatorom technologicznym minimalizować koszty i zmniejszać produktywność. Pracuje w tej dziedzinie od 1999 roku z różnymi firmami, pomagając klientom rozwiązywać i planować problemy z wydajnością aplikacji i sieci.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.