如果您想知道如何分析網(wǎng)絡(luò)流量，那么您來(lái)對(duì)地方了。分析網(wǎng)絡(luò)流量可能會(huì)令人生畏。它涉及收集、存儲(chǔ)和監(jiān)控遍歷您的本地、混合或多云基礎(chǔ)架構(gòu)的所有數(shù)據(jù)。您需要可視化和搜索這些數(shù)據(jù)以進(jìn)行網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)。當(dāng)出現(xiàn)問(wèn)題時(shí)，您還需要通知以有效地進(jìn)行故障排除。所以可能需要處理很多事情。為了幫助您對(duì)整個(gè)事情感覺(jué)更好，讓我們分解您需要采取的步驟。

第 1 步：確定您的數(shù)據(jù)源

第一步是找出網(wǎng)絡(luò)上的內(nèi)容。如果你不知道它存在，你就無(wú)法分析和監(jiān)控它。這一步有兩個(gè)部分。

確定數(shù)據(jù)源類(lèi)型

您需要識(shí)別和分類(lèi)可以從中收集數(shù)據(jù)的來(lái)源類(lèi)型。有應(yīng)用程序、桌面、服務(wù)器、路由器、交換機(jī)、防火墻等等。這些中的每一個(gè)都可以提供 您可以收集用于分析的各種指標(biāo)。

確定識(shí)別方法

接下來(lái)，您需要確定可用于識(shí)別數(shù)據(jù)源的最佳方法。您可以使用手動(dòng)或自動(dòng)方法。手動(dòng)方法涉及篩選拓?fù)鋱D和其他文檔，但它們很快就會(huì)過(guò)時(shí)。所以考慮使用 應(yīng)用程序和網(wǎng)絡(luò)發(fā)現(xiàn)的自動(dòng)化方法。常見(jiàn)的自動(dòng)發(fā)現(xiàn)方法包括使用 SNMP、Windows Management Instrumentation (WMI)、基于流的協(xié)議和事務(wù)跟蹤。現(xiàn)在執(zhí)行此操作將在以后幫助您找到應(yīng)用程序和網(wǎng)絡(luò)依賴(lài)項(xiàng)并最大限度地提高基礎(chǔ)架構(gòu)的可見(jiàn)性。

第 2 步：確定從數(shù)據(jù)源收集數(shù)據(jù)的最佳方式

下一步是找出從數(shù)據(jù)源收集所需數(shù)據(jù)的最佳方法。收集網(wǎng)絡(luò)流量數(shù)據(jù)的方法大致有兩種：使用代理和不使用代理。

基于代理的集合

使用代理收集數(shù)據(jù)涉及在數(shù)據(jù)源上部署軟件。代理可以收集有關(guān)正在運(yùn)行的軟件進(jìn)程、系統(tǒng)資源性能和入站/出站網(wǎng)絡(luò)通信的信息。雖然基于代理的收集可以提供非常精細(xì)的數(shù)據(jù)，但它也會(huì)產(chǎn)生處理和存儲(chǔ)問(wèn)題。

無(wú)代理收集

在沒(méi)有代理的情況下收集數(shù)據(jù)涉及使用數(shù)據(jù)源已支持的流程、協(xié)議或API 。無(wú)代理收集包括網(wǎng)絡(luò)設(shè)備上的 SNMP 和 Windows 服務(wù)器上的 WMI 等方法。防火墻上啟用的 Syslog 有助于識(shí)別安全事件，基于流的協(xié)議有助于識(shí)別流量。無(wú)代理收集并不總是產(chǎn)生像代理收集那樣細(xì)化的數(shù)據(jù)，但它可以很好地為您提供正確分析網(wǎng)絡(luò)流量所需的用戶(hù)和系統(tǒng)數(shù)據(jù)。

第 3 步：確定任何收集限制

一旦您了解了您的數(shù)據(jù)源以及從中提取網(wǎng)絡(luò)流量數(shù)據(jù)的最佳方式，就很容易開(kāi)始行動(dòng)。但是您的組織可能對(duì)管理基礎(chǔ)設(shè)施的內(nèi)容和方式有規(guī)則和限制。不事先確定任何這些要求將對(duì)您分析網(wǎng)絡(luò)流量的能力產(chǎn)生不利影響。

因此，請(qǐng)務(wù)必確定是否有任何端口需要打開(kāi)以供收集，例如。還要確保在開(kāi)始數(shù)據(jù)收集之前確定是否需要部門(mén)批準(zhǔn)。這可以幫助您通過(guò)從網(wǎng)絡(luò)的其他部分收集數(shù)據(jù)來(lái)打破孤島。

想想您的組織所在的行業(yè)。醫(yī)療保健 或 金融等高度監(jiān)管的行業(yè)可能不允許您收集某些類(lèi)型的數(shù)據(jù)，或者可能要求您將數(shù)據(jù)存儲(chǔ)更長(zhǎng)時(shí)間。擁有更多的歷史數(shù)據(jù)有助于網(wǎng)絡(luò)流量分析，但這會(huì)占用存儲(chǔ)空間。因此，請(qǐng)注意任何限制或管理數(shù)據(jù)收集的規(guī)則。

第 4 步：開(kāi)始小而多樣的數(shù)據(jù)收集

下一步是啟用您的數(shù)據(jù)源進(jìn)行收集。這里的關(guān)鍵是從一組不同的數(shù)據(jù)源開(kāi)始，尤其是在您運(yùn)行大型網(wǎng)絡(luò)的情況下。這將有助于在您擴(kuò)大網(wǎng)絡(luò)覆蓋范圍之前識(shí)別任何系統(tǒng)的問(wèn)題。例如，您最不想做的就是從所有 Windows 服務(wù)器收集數(shù)據(jù)，然后發(fā)現(xiàn)某些服務(wù)器組不斷崩潰。因此，從多元化的團(tuán)隊(duì)開(kāi)始，然后從那里擴(kuò)展。

第 5 步：確定數(shù)據(jù)收集目標(biāo)

您需要確定要收集的所有數(shù)據(jù)的目的地。可以使用專(zhuān)用硬件或虛擬設(shè)備來(lái)存儲(chǔ)網(wǎng)絡(luò)流量。在您的物理或虛擬設(shè)備上安裝監(jiān)控軟件也是一種選擇。

考慮網(wǎng)絡(luò)的規(guī)模和復(fù)雜性。例如，如果大部分包括虛擬設(shè)備，則虛擬設(shè)備可能更合適。如果您的組織仍然主要使用本地物理基礎(chǔ)設(shè)施，那么硬件設(shè)備可能是更好的選擇。避免使用虛擬設(shè)備來(lái)監(jiān)控該網(wǎng)絡(luò)內(nèi)繁忙的虛擬網(wǎng)絡(luò)。

網(wǎng)絡(luò)流量存儲(chǔ)的目標(biāo)設(shè)備決定了您如何分析它。例如，無(wú)法通過(guò) Web UI 查看數(shù)據(jù)的設(shè)備使分析變得更加困難。如果你有一個(gè)軟件組件，你的生活會(huì)更輕松，因?yàn)樗梢詭椭惴治龊褪占瘮?shù)據(jù)。

第 6 步：?jiǎn)⒂贸掷m(xù)監(jiān)控

分析網(wǎng)絡(luò)流量通常不是一次性事件。有時(shí)您需要對(duì)特定問(wèn)題進(jìn)行故障排除，例如意外的安全漏洞或突然的鏈接故障。您可能還需要幫助分析來(lái)自網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)流量，盡管您做了上述所有努力，但仍無(wú)法訪(fǎng)問(wèn)或限制監(jiān)控。在這些情況下，您可能需要收集和分析一次或特定時(shí)期的流量。

但要正確分析網(wǎng)絡(luò)流量，您需要持續(xù)監(jiān)控基礎(chǔ)架構(gòu)并收集數(shù)據(jù)。持續(xù)監(jiān)控對(duì)于實(shí)時(shí)和歷史流量收集至關(guān)重要。因此，請(qǐng)務(wù)必使用您在上一步中選擇作為網(wǎng)絡(luò)流量目標(biāo)的任何解決方案啟用持續(xù)監(jiān)控。

第 7 步：查看和搜索收集的數(shù)據(jù)

分析網(wǎng)絡(luò)流量涉及篩選千兆字節(jié)或更多的數(shù)據(jù)。你必須查看、搜索并理解這一切。也許您是終端向?qū)В梢酝ㄟ^(guò) grep 找到您要查找的內(nèi)容，并且您認(rèn)為存儲(chǔ)在服務(wù)器或該設(shè)備上的文本文件可能沒(méi)問(wèn)題。 但是 流量分析涉及能夠?qū)⒕W(wǎng)絡(luò)數(shù)據(jù)分類(lèi)到應(yīng)用程序、字節(jié)大小、協(xié)議、IP 子網(wǎng)等桶中。通過(guò)命令行來(lái)做到這一點(diǎn)并不容易。

因此，您需要確保有一個(gè)監(jiān)控解決方案來(lái)查看所有收集的數(shù)據(jù)。能夠通過(guò)儀表板和報(bào)告可視化網(wǎng)絡(luò)流量可以大大減少解決應(yīng)用程序問(wèn)題所需的時(shí)間。這將幫助您確定誰(shuí)是您網(wǎng)絡(luò)上的主要談話(huà)者以及他們正在經(jīng)歷什么。它可以幫助您找到最常用的應(yīng)用程序以及它們遇到的問(wèn)題。通過(guò)采取此步驟，您還可以找到可以擺脫的低帶寬網(wǎng)絡(luò)連接以節(jié)省資金。

第 8 步：設(shè)置警報(bào)

最后一步是確保在出現(xiàn)問(wèn)題時(shí)收到通知。您不能整天坐在屏幕前查看儀表板和報(bào)告。因此，您需要配置監(jiān)控解決方案，以便在出現(xiàn)問(wèn)題時(shí)提醒您。警報(bào)通常通過(guò)電子郵件發(fā)送，但您也可以通過(guò)從 Netreo 等監(jiān)控工具獲得的集成來(lái)提醒自己和您的團(tuán)隊(duì)。無(wú)論您使用哪種監(jiān)控工具，它都必須發(fā)送正確的警報(bào)，這樣您才能避免警報(bào)疲勞。

不要忘記還設(shè)置 自定義閾值。正確的監(jiān)控工具應(yīng)該能夠幫助您 檢測(cè)異常，但您最了解您的網(wǎng)絡(luò)。如果您知道某些端口不允許通過(guò)防火墻，則應(yīng)為此創(chuàng)建警報(bào)閾值。即使該工具是新部署的，它仍然可以幫助您了解何時(shí)出現(xiàn)問(wèn)題，并且您可以開(kāi)始深入挖掘。

遵守這些規(guī)則

如果您按照上述步驟操作，那么應(yīng)該對(duì)您的整個(gè)團(tuán)隊(duì)表示足夠的祝賀。因?yàn)闅w根結(jié)底，分析網(wǎng)絡(luò)流量是一項(xiàng)團(tuán)隊(duì)游戲。因此，請(qǐng)實(shí)施這些步驟并幫助您的IT 團(tuán)隊(duì)成員也這樣做。這樣，您的整個(gè)團(tuán)隊(duì)都可以從了解如何分析網(wǎng)絡(luò)流量中受益。