如果您想知道如何分析網(wǎng)絡(luò)流量,那么您來對地方了。分析網(wǎng)絡(luò)流量可能會令人生畏。它涉及收集、存儲和監(jiān)控遍歷您的本地、混合或多云基礎(chǔ)架構(gòu)的所有數(shù)據(jù)。您需要可視化和搜索這些數(shù)據(jù)以進(jìn)行網(wǎng)絡(luò)規(guī)劃和設(shè)計。當(dāng)出現(xiàn)問題時,您還需要通知以有效地進(jìn)行故障排除。所以可能需要處理很多事情。為了幫助您對整個事情感覺更好,讓我們分解您需要采取的步驟。
第 1 步:確定您的數(shù)據(jù)源
第一步是找出網(wǎng)絡(luò)上的內(nèi)容。如果你不知道它存在,你就無法分析和監(jiān)控它。這一步有兩個部分。
確定數(shù)據(jù)源類型
您需要識別和分類可以從中收集數(shù)據(jù)的來源類型。有應(yīng)用程序、桌面、服務(wù)器、路由器、交換機(jī)、防火墻等等。這些中的每一個都可以提供 您可以收集用于分析的各種指標(biāo)。
確定識別方法
接下來,您需要確定可用于識別數(shù)據(jù)源的最佳方法。您可以使用手動或自動方法。手動方法涉及篩選拓?fù)鋱D和其他文檔,但它們很快就會過時。所以考慮使用 應(yīng)用程序和網(wǎng)絡(luò)發(fā)現(xiàn)的自動化方法。常見的自動發(fā)現(xiàn)方法包括使用 SNMP、Windows Management Instrumentation (WMI)、基于流的協(xié)議和事務(wù)跟蹤。現(xiàn)在執(zhí)行此操作將在以后幫助您找到應(yīng)用程序和網(wǎng)絡(luò)依賴項(xiàng)并最大限度地提高基礎(chǔ)架構(gòu)的可見性。
第 2 步:確定從數(shù)據(jù)源收集數(shù)據(jù)的最佳方式
下一步是找出從數(shù)據(jù)源收集所需數(shù)據(jù)的最佳方法。收集網(wǎng)絡(luò)流量數(shù)據(jù)的方法大致有兩種:使用代理和不使用代理。
基于代理的集合
使用代理收集數(shù)據(jù)涉及在數(shù)據(jù)源上部署軟件。代理可以收集有關(guān)正在運(yùn)行的軟件進(jìn)程、系統(tǒng)資源性能和入站/出站網(wǎng)絡(luò)通信的信息。雖然基于代理的收集可以提供非常精細(xì)的數(shù)據(jù),但它也會產(chǎn)生處理和存儲問題。
無代理收集
在沒有代理的情況下收集數(shù)據(jù)涉及使用數(shù)據(jù)源已支持的流程、協(xié)議或API 。無代理收集包括網(wǎng)絡(luò)設(shè)備上的 SNMP 和 Windows 服務(wù)器上的 WMI 等方法。防火墻上啟用的 Syslog 有助于識別安全事件,基于流的協(xié)議有助于識別流量。無代理收集并不總是產(chǎn)生像代理收集那樣細(xì)化的數(shù)據(jù),但它可以很好地為您提供正確分析網(wǎng)絡(luò)流量所需的用戶和系統(tǒng)數(shù)據(jù)。
第 3 步:確定任何收集限制
一旦您了解了您的數(shù)據(jù)源以及從中提取網(wǎng)絡(luò)流量數(shù)據(jù)的最佳方式,就很容易開始行動。但是您的組織可能對管理基礎(chǔ)設(shè)施的內(nèi)容和方式有規(guī)則和限制。不事先確定任何這些要求將對您分析網(wǎng)絡(luò)流量的能力產(chǎn)生不利影響。
因此,請務(wù)必確定是否有任何端口需要打開以供收集,例如。還要確保在開始數(shù)據(jù)收集之前確定是否需要部門批準(zhǔn)。這可以幫助您通過從網(wǎng)絡(luò)的其他部分收集數(shù)據(jù)來打破孤島。
想想您的組織所在的行業(yè)。醫(yī)療保健 或 金融等高度監(jiān)管的行業(yè)可能不允許您收集某些類型的數(shù)據(jù),或者可能要求您將數(shù)據(jù)存儲更長時間。擁有更多的歷史數(shù)據(jù)有助于網(wǎng)絡(luò)流量分析,但這會占用存儲空間。因此,請注意任何限制或管理數(shù)據(jù)收集的規(guī)則。
第 4 步:開始小而多樣的數(shù)據(jù)收集
下一步是啟用您的數(shù)據(jù)源進(jìn)行收集。這里的關(guān)鍵是從一組不同的數(shù)據(jù)源開始,尤其是在您運(yùn)行大型網(wǎng)絡(luò)的情況下。這將有助于在您擴(kuò)大網(wǎng)絡(luò)覆蓋范圍之前識別任何系統(tǒng)的問題。例如,您最不想做的就是從所有 Windows 服務(wù)器收集數(shù)據(jù),然后發(fā)現(xiàn)某些服務(wù)器組不斷崩潰。因此,從多元化的團(tuán)隊(duì)開始,然后從那里擴(kuò)展。
第 5 步:確定數(shù)據(jù)收集目標(biāo)
您需要確定要收集的所有數(shù)據(jù)的目的地。可以使用專用硬件或虛擬設(shè)備來存儲網(wǎng)絡(luò)流量。在您的物理或虛擬設(shè)備上安裝監(jiān)控軟件也是一種選擇。
考慮網(wǎng)絡(luò)的規(guī)模和復(fù)雜性。例如,如果大部分包括虛擬設(shè)備,則虛擬設(shè)備可能更合適。如果您的組織仍然主要使用本地物理基礎(chǔ)設(shè)施,那么硬件設(shè)備可能是更好的選擇。避免使用虛擬設(shè)備來監(jiān)控該網(wǎng)絡(luò)內(nèi)繁忙的虛擬網(wǎng)絡(luò)。
網(wǎng)絡(luò)流量存儲的目標(biāo)設(shè)備決定了您如何分析它。例如,無法通過 Web UI 查看數(shù)據(jù)的設(shè)備使分析變得更加困難。如果你有一個軟件組件,你的生活會更輕松,因?yàn)樗梢詭椭惴治龊褪占瘮?shù)據(jù)。
第 6 步:啟用持續(xù)監(jiān)控
分析網(wǎng)絡(luò)流量通常不是一次性事件。有時您需要對特定問題進(jìn)行故障排除,例如意外的安全漏洞或突然的鏈接故障。您可能還需要幫助分析來自網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)流量,盡管您做了上述所有努力,但仍無法訪問或限制監(jiān)控。在這些情況下,您可能需要收集和分析一次或特定時期的流量。
但要正確分析網(wǎng)絡(luò)流量,您需要持續(xù)監(jiān)控基礎(chǔ)架構(gòu)并收集數(shù)據(jù)。持續(xù)監(jiān)控對于實(shí)時和歷史流量收集至關(guān)重要。因此,請務(wù)必使用您在上一步中選擇作為網(wǎng)絡(luò)流量目標(biāo)的任何解決方案啟用持續(xù)監(jiān)控。
第 7 步:查看和搜索收集的數(shù)據(jù)
分析網(wǎng)絡(luò)流量涉及篩選千兆字節(jié)或更多的數(shù)據(jù)。你必須查看、搜索并理解這一切。也許您是終端向?qū)В梢酝ㄟ^ grep 找到您要查找的內(nèi)容,并且您認(rèn)為存儲在服務(wù)器或該設(shè)備上的文本文件可能沒問題。 但是 流量分析涉及能夠?qū)⒕W(wǎng)絡(luò)數(shù)據(jù)分類到應(yīng)用程序、字節(jié)大小、協(xié)議、IP 子網(wǎng)等桶中。通過命令行來做到這一點(diǎn)并不容易。
因此,您需要確保有一個監(jiān)控解決方案來查看所有收集的數(shù)據(jù)。能夠通過儀表板和報告可視化網(wǎng)絡(luò)流量可以大大減少解決應(yīng)用程序問題所需的時間。這將幫助您確定誰是您網(wǎng)絡(luò)上的主要談話者以及他們正在經(jīng)歷什么。它可以幫助您找到最常用的應(yīng)用程序以及它們遇到的問題。通過采取此步驟,您還可以找到可以擺脫的低帶寬網(wǎng)絡(luò)連接以節(jié)省資金。
第 8 步:設(shè)置警報
最后一步是確保在出現(xiàn)問題時收到通知。您不能整天坐在屏幕前查看儀表板和報告。因此,您需要配置監(jiān)控解決方案,以便在出現(xiàn)問題時提醒您。警報通常通過電子郵件發(fā)送,但您也可以通過從 Netreo 等監(jiān)控工具獲得的集成來提醒自己和您的團(tuán)隊(duì)。無論您使用哪種監(jiān)控工具,它都必須發(fā)送正確的警報,這樣您才能避免警報疲勞。
不要忘記還設(shè)置 自定義閾值。正確的監(jiān)控工具應(yīng)該能夠幫助您 檢測異常,但您最了解您的網(wǎng)絡(luò)。如果您知道某些端口不允許通過防火墻,則應(yīng)為此創(chuàng)建警報閾值。即使該工具是新部署的,它仍然可以幫助您了解何時出現(xiàn)問題,并且您可以開始深入挖掘。
遵守這些規(guī)則
如果您按照上述步驟操作,那么應(yīng)該對您的整個團(tuán)隊(duì)表示足夠的祝賀。因?yàn)闅w根結(jié)底,分析網(wǎng)絡(luò)流量是一項(xiàng)團(tuán)隊(duì)游戲。因此,請實(shí)施這些步驟并幫助您的IT 團(tuán)隊(duì)成員也這樣做。這樣,您的整個團(tuán)隊(duì)都可以從了解如何分析網(wǎng)絡(luò)流量中受益。
