NPCD (Nagios-Perfdata-C-Daemon) è stato scritto per fornire una modalità asincrona per gestire i dati delle prestazioni con Nagios. In grandi installazioni di Nagios, la latenza media di controllo può aumentare fino a un alto valore non accettabile. Ciò significa che Nagios dovrebbero fare un controllo al momento x, ma in realtà lo fa y secondi più tardi. Se dici il nucleo nagios che si desidera elaborare i dati delle prestazioni dopo ogni singola verifica questo sta facendo bene per una certa quantità di controlli, ma soprattutto questo limite si incorrere in problemi di latenza. Per ridurre il numero di azioni per ogni controllo è possibile utilizzare la modalità di massa che raccoglie i dati delle prestazioni per un certo tempo e poi lascia il nucleo nagios eseguire la lthostservicegtperfdatafileprocessingcommand o si può dire Nagios per spostare solo i perfdatafiles a una directory di spool. Questa mossa è un'azione molto veloce per il nucleo Nagios e il nucleo sarà fatto con il trattamento dei dati delle prestazioni e può continuare a fare quello che deve fare: eseguire altri controlli, notifiche invio, e così via. Come accennato in precedenza il processo di Nagios ha terminato il suo lavoro con lo spostamento del file di dati sulle prestazioni di una directory di spool, ma questo won039t portare i dati nei file RRD. Per questo compito si può iniziare npcd ad avere uno sguardo alla directory di spool definito e avviare un'azione per ogni file che si trova. Dopo NPCD comincia a correre sarà costruire un elenco di nomi di file si trovano in perfdataspooldir e inizia nuove discussioni per ogni nome di file ed esegue le perfdatafileruncmd con la perfdatafileruncmdarg opzionale come un ulteriore argomento. Dal momento che i file perfdata nella directory di spool sono nello stesso formato come per la modalità 039normal039 massa NPCD dovrebbe eseguire processperfdata. pl in modalità massa. I miglioramenti delle prestazioni per Nagios Poiché il trattamento dei dati delle prestazioni è staccata dal nucleo Nagios ha più tempo per il proprio lavoro. fintanto che scrive Nagios perfdata file di spool Dir dati won039t si perdono se NPCD muore o si è dimenticato di avviarlo dopo un riavvio del sistema. NPCD inizierà con il primo file trovato (essi sono ordinati per la macro TIMET in ordine cronologico) e aggiornare i file RRD. Nessun trattamento in tempo reale dei dati sulle prestazioni poiché non vi è un ritardo nella scrittura dei file di dati di performance di Nagios (serviceperfdatafileprocessinginterval) un altro ritardo esiste all'interno NPCD che attende fino a 10 secondi dopo ogni scansione directory Devi controllare NPCD con il proprio file di configurazione come il file npcd. cfg-campione srotolato. Basta rinominarlo in npcd. cfg per iniziare NPCD in questo modo: per l'esecuzione in modalità demone (sfondo). Suggerimento: Se si decide di non rinominare il file di configurazione, potrebbe essere sovrascritto da un futuro aggiornamento di PNP. Queste sono le direttive di configurazione essenziali per NPCD: Indice Webview Netflow Reporter è uno strumento aziendale focalizzata Netflow reporteranalyzer con grafici cliccabili, categorizzazione potente che va al di là di semplici nomi delle porte TCPUDP, il rilevamento automatico esportatore, e il pieno accesso a tutti gli aspetti del grezzo dati di flusso (nomi di interfaccia, precisione millisecondo, le impostazioni di QoS, flag TCP, ecc). WebView installa su un sistema Linux è accessibile tramite un browser web. In una configurazione tipica, dati NetFlow è costantemente classificato e monitorato su ogni interfaccia routerswitch. L'utente web seleziona una o più interfacce e può visualizzare un grafico di utilizzo medio Oror di picco di traffico per ogni categoria nel corso nell'ultima ora, giorno, settimana, ecc (vedi screenshot di esempio qui sotto). L'utente può anche eseguire report ad hoc oltre qualsiasi periodo di tempo per esplorare tutti gli aspetti del traffico, come ad esempio un alto rapporto di indirizzo IP chiacchieroni o una cronologia flusso grezzo. segnalazione di collegamento. Una connessione è una sessione TCPUDP completo, che può estendersi molti flussi. segnalazione di collegamento identifica chiaramente il cliente (iniziatore) e il server, e riporta anche packetsbytes bidirezionali transmitreceieved, ecc Guardando una connessione mentre attraversa più router, è facile identificare la perdita di pacchetti, instradamento asimmetrico, e altre stranezze. Vedere ad hoc strumento di query per maggiori dettagli. Built-in Symmetric Multiprocessing (SMP). Questo migliora le prestazioni su CPU multi-core quando ci sono molti esportatori. SNMPv3 supporta segnalazione potente sulla salute della collezione flusso. tra cui out-of-order e duplicare i pacchetti esportatore. rrdcached è ora pienamente supportato per una migliore IO disco molto grandi implementazioni su misura categorizzazione del traffico (classificazione). categorizzazione del traffico utilizza un accesso-lista sintassi stile Cisco. WebView è dotato di diverse categorie predefinite che funzionano bene, ma il vero potere di questo strumento è quando si aggiunge categorie personalizzate che corrispondono alla vostra reti modelli di traffico unici - e-mail, ERP, di backup, proxy Internet, ecc All'interno di un ACL, ogni linea può accettazione o di rifiuto sulla base di una combinazione di: numero di porta maschera di indirizzo IP (TCPUDP) flag TCP ICMP di tipo e il codice BGP ASN (se configurato come opzione di esportazione) IP Tipo-of-Service (DSCP, precedenza IP o un numero semplice) accanto - hop IP maschera esportatore IP maschera d'immissione o l'interfaccia di uscita Numero di pacchetti o byte durata del flusso di byte medi per secondo o pacchetti al secondo dimensione media dei pacchetti il successo di un altro ACL nel corso dell'ultimo n secondi di seguito sono riportati alcuni esempi ACL. semplice: complesso: specifica: il routing-tabella derivata: il flusso di derivazione: euristica: ACL-map: categorie sono raggruppate insieme per creare una visione ordinata che viene poi applicato ad uno o più dispositivi esportatori. viste multiple possono essere utilizzati sullo stesso dispositivo (ad esempio, il suo comune avere sintesi e viste dettagliate degli stessi dati). Il numero di categorie è illimitato, anche se la quantità e l'ordine delle categorie fa impatto sulle prestazioni. Per ulteriori informazioni sulla sintassi ACL, il rendering dei dati e altre opzioni di configurazione, si prega di leggere la documentazione in formato PDF. Grafici e report tabella. Webview utilizza grafici farfalla Flowscan stile che mostrano categorie impilati in ordine del loro volume, con ingresso sotto l'asse e l'output sopra. Per esempio. Questo punto di vista farfalla può sembrare confuso in un primo momento, ma è un modo molto pratico per visualizzare molte categorie di traffico in entrambe le direzioni inboundoutbound. Naturalmente, è possibile generare semplici grafici ad asse singolo e, così come esportare i dati del grafico prime per csvExcel per la manipolazione manuale. I dati vengono aggregati alla risoluzione di un minuto, per impostazione predefinita. Per esempio, ecco il grafico precedente ingrandita a 8:00-10:00: risoluzione un minuto è ideale per la maggior parte delle imprese dato che corrisponde da vicino il fattore umano della tolleranza agli utenti finali la pazienza. Per esempio. maggior parte degli utenti non noterà o essere interessati da occasionali brevi periodi di lentezza, ma, se l'impatto è un minuto o più, il suo quasi garantito che theyll essere infelice. L'aggregazione di default può essere abbassato a un secondo e accoppiato con netflows flessibili di un secondo timeout di flusso attivo per produrre grafici incredibilmente precise. Tuttavia, la precisione ha un costo CPUdisk signifcant. Se l'obiettivo è di polizia microburst, Netflow in realtà non è lo strumento giusto per il lavoro. I grafici di cui sopra categorie di esposizione di traffico per l'interfaccia del router. È inoltre possibile capovolgere la situazione. Per esempio. il seguente grafico ha invece la categoria singolo traffico TSM (backup su disco) scoppiata da interfacce denominate MPLScle (Cleveland), MPLSwau (Wausau), ecc Oltre al volume di traffico, Webview riporta anche sui flussi, pacchetti, e IP contemporaneamente attivi. Ad esempio, si potrebbe essere interessati a sapere che cosa la necessità media larghezza di banda è per utente attivo di una determinata applicazione. Il seguente rapporto mostra che ogni utente di InternetHTTP ha bisogno di circa 30 Kbps se misurato più di una settimana di business (08:00-17:00, Lunedi - Venerdì): Il motore grafico è molto flessibile (forse troppo flessibile): grafici cliccabili. La gente sembra andare ga-ga su questa funzionalità a portata di mano, e non sono sicuro perché i pacchetti più commerciali non hanno esso. In sostanza, se siete alla ricerca in un grafico e vedere qualcosa di interessante, è possibile fare clic su di esso per saperne di più. Questo punto di vista va dopo il flusso di dati grezzi, che è generalmente mantenuta per almeno 4-8 settimane (a seconda dello spazio disponibile su disco). Ad hoc strumento di query. Come la relazione precedente mostra, ce n'è una bella interfaccia grafica per l'esplorazione e la segnalazione sui dati di flusso grezzi. La sua chiamata ad hoc Query Tool (aka Webview flusso Reporter), e molti credono la sua la caratteristica più utile di Webview. In realtà, il suo solo un front-end per il flusso di utensili eccellente utility flusso-relazione (e può funzionare autonomo, senza il motore graficamente, se volete). I dati di flusso prima disponibile per la segnalazione va indietro nel tempo per quanto riguarda lo spazio su disco consente. La maggior parte di piccole e medie imprese scoprire che 30 GB è sufficiente per un mese di dati. reti di grandi dimensioni possono utilizzare molti terabyte. Opzioni di filtro: Protocollo: TCP, UDP, ICMP, VPN, Altro ToS DSCP precedenza ECN TCPUDP indirizzo numero di porta IP o subnet definito dall'utente categoria traffico (utilizzando la sintassi Cisco ACL descritto in precedenza) Interfacce (nomi, descrizioni, più interfacce router consentito) filtri a forma libera sul numero di byte, numero di pacchetti, bps, pps, ToSDSCP, nexthop, tcpflags espressioni logiche consentite (OR e AND NOT) opzioni di reportistica: Tipo: raw - una semplice discarica cronologica dei dati di flusso grezzi. Per impostazione predefinita, questo include gli indirizzi IP, porta, protocollo, DSCP, flag TCP, ora di inizio, la durata, e gli sportelli packetbyte. Esportatori e interfacce - aggiunge campi che mostrano l'esportatore e la sua descrizione di interfaccia SNMP Routing - aggiunge campo nexthop e la lunghezza del prefisso di routing ASN - aggiunge campi BGP ASN. Tipo: Collegamento - passa i dati di flusso attraverso un motore di collegamento TCPUDP che cuce i dati di flusso di nuovo in una connessione bidirezionale, con il cliente e gli IP dei server chiaramente identificati. Semplice - la relazione di base visualizza i numeri di client e server di ipport, la durata, client-to-server (C2S) e server-to-client (S2c) contatori byte e dei pacchetti. Multihop - la relazione multihop visualizza ogni connessione, come si è visto da più punti di raccolta NetFlow. Ad esempio, se un flusso TCP passa attraverso un router data center e un router filiale, questo mostrerà il collegamento da entrambe le prospettive. Questo è molto utile quando si cerca di perdita di pacchetti e garantire marcature QoS end-to-end. Questa è una caratteristica molto cool. Vedere un tipo di rapporto Esempio: Flusso - questo è il flusso standard motore di reporting. IP - chiavi fuori di ogni IP (origine o destinazione) Src - chiavi al largo della IP di origine - In questo modo contrastare i peer, che indica il numero di indirizzi IP di destinazione ogni fonte è l'invio di pacchetti a. Dst - chiavi al largo della IP di destinazione - questo consente di contrastare i peer, che indica il numero di indirizzi IP di origine sono l'invio di pacchetti alla destinazione. Port - chiavi fuori il numero di porta sourcedestination. Pari - chiavi off ogni destinazione fonte coppia IP Flussi - chiavi off ogni 5-tupla - Protocollo e sourcedestination wtotals ipport - questa opzione visualizzerà i totali per l'intera gamma, anche se vengono visualizzate solo le prime 100 o giù di lì oggetti. Tipo: Altro - rapporti vari Esportatori - mostra un elenco di tutti gli esportatori e il volume dei dati di flusso ricevuti da ciascuna, dopo l'applicazione uno qualsiasi dei vostri filtri. Questo identifica anche le interfacce a senso unico, che può essere utile per identificare netflow configurato in modo errato. Si noti che riportano gli esportatori dalla WebView home page mostra i dettagli di natura amministratore di sistema, ma non ha alcuna capacità di filtraggio. BGP ASN - genera un rapporto di flusso da numeri di sistema autonomo (ASN), che arent spesso hanno permesso di raccolta NetFlow. Altre opzioni: Uscita: Excel, CSV, ASCII, o HTML tabella di input: file di input flusso RAW uno o più data e ora (s). Più directory di flusso sono ammessi. DNS: veloce e non bloccante (mai ritarda un rapporto di più di 5 secondi). Ordinamento: bytespacketsflowspeersdurationchronology. Peers è un conteggio di un IPS pari di connessione ed è ottimo per scoprire chi è il chattiest - ad esempio il malware tenta di diffondere, i server DNS di essere martellato, ecc Nota: I dati grezzi NetFlow utilità non può essere sopravvalutata Molti pacchetti software Netflow aggregano i dati o rilasciare i campi che dont misura il loro concetto di monitoraggio. Lo strumento di query ad hoc fornisce una potente interfaccia per i dati grezzi, l'utente dispone di opzioni illimitate per indagare questi dati. Netflow esportatore e la scoperta di interfaccia e la normalizzazione. Rete manutenzione strumento di gestione non dovrebbe essere un lavoro di routine. L'aggiunta di un nuovo dispositivo per Webview è semplice come la configurazione di NetFlow esportazione sul dispositivo stesso. Webview lo vedranno e utilizzare SNMP per caricare le interfacce e descrizioni. modifiche SNMP ifIndex non sono un problema, anche se la sua sempre meglio configurare i dispositivi Cisco con SNMP server di ifIndex persistono. Non vi è alcun limite al numero di esportatori, e alcune installazioni WebView avere centinaia. Le interfacce possono essere aggregati e rinominato. Ad esempio, dire hai avuto quattro router: È possibile accedere ai grafici andando a un router e un'interfaccia specifica. Ma, è anche possibile creare alias sulla base di una espressione regolare. Ad esempio, con questi alias:. la GUI Webview visualizzerebbe queste opzioni per la rappresentazione grafica: Alias visualizzata in interfacce grafiche utilizzate nei rapporti RTR2 Gig00 e Gig01 e Rtr3 Fast00 RTR2, Multilink1 e Rtr3, Tunnel1 La bellezza di questo approccio è che l'interfaccia GUI è stabile e facile da navigare , anche se i router di rete sottostanti e le interfacce possono cambiare frequentemente. Inoltre, consente di interfacce multiple essere facilmente aggregati insieme. aggregazione dei dati flessibile. Il modo più semplice e più comune per configurare Webview è quello di definire le categorie di traffico e di tenerne traccia da interfaccia del router. Poi, si inizia l'esportazione Netflow da uno o più router della rete che si desidera visibilità in. Questo approccio funziona bene per la stragrande maggioranza degli utenti di questo prodotto. Tuttavia, per coloro che non in forma questa muffa, Webview ha il pieno supporto per l'elaborazione e la visualizzazione di dati NetFlow: da sottorete raccolte dalla tabella di router di routing esportazione per blocco sottorete CIDR definita a mano per indirizzo sourcedestination IP sourcedestination BGP ASN da IP next-hop secondo un ACL la sottorete rintracciando molto utile quando i dati Netflow non è disponibile per una porzione della rete. Per esempio, forse Netflow viene raccolta solo dai router testa-end di una full-rete MPLS WAN. In questo caso, il monitoraggio Netflow statistiche da sottorete in grado di fornire una vista eccellente dedotto di ogni sito remoto. timestamp Netflow-embedded Questo è un punto sottile ma importante. Molti pacchetti di analisi Netflow presuppongono che i flussi vengono ricevuti in corrispondenza del collettore in tempo reale e che ogni inseriscono all'interno di un singolo intervallo di campionamento (tipicamente 1, 5 o 15 minuti). Webview può farlo, naturalmente. Ma, se la rete è configurato correttamente per Network Time Protocol (NTP), poi Webview può invece usare il timestamp incorporati all'interno di ogni record Netflow. Quindi, ci sono tre metodi distinti per conteggio flussi: Tally il flusso in base a quando è stato ricevuto dal riscontro collettore del flusso sulla base all'inizio, alla fine, o timestamp metà del flusso di distribuire uniformemente il flusso lungo la durata del flusso. Questo gestisce bene i flussi che sono a lungo o si trovano a cavallo di un intervallo di campionamento. Per esempio. un flusso di quattro minuti che inizia alle 07:58:00 e termina alle 08:01:59 Quest'ultimo approccio ha diversi vantaggi: dimensioni del campione può essere più piccolo rispetto alla durata file di cattura. Il passo in WebView è la dimensione di ciascun intervallo di campionamento, e può essere impostato ovunque da 1 secondo fino alla dimensione del file di cattura (normalmente 5 minuti). In pratica, 60 secondi campioni forniscono un ottimo equilibrio tra CPUstorage ed essere in grado di vedere pieno impatto di picchi di traffico. flussi possono essere ritardati. Anche in una semplice rete, un collettore solito riceve un pacchetto Netflow fino alcuni secondi dopo il flusso finito. In una rete complessa con più collettori, potrebbe richiedere minuti o ore per il flusso da raccogliere in un punto centrale per l'elaborazione. flussi possono essere riprodotti. Per esempio. se si modifica la configurazione di rendering, è facile riprodurre il mese scorso dei dati attraverso la nuova configurazione. un aggressivo timeout di flusso attivo non è necessaria (cioè ip flow-cache timeout attivo 1). Infatti, webview può essere configurato per gestire il timeout predefinito di 60 minuti, ei grafici sarà altrettanto buono come con un timeout di 1 minuto. garantisce coerente, segnalazione precisa, anche su macchine virtuali nel tempo in discussione. Alcune macchine virtuali sembrano avere problemi con i loro orologi in tempo reale, che porta a file di flusso di 5 minuti che contengono ovunque da 3 a 8 minuti di dati. Quello non è un problema quando si utilizzano i timestamp. collezione di flusso Webview utilizza una versione modificata di Damien Millers flowd (mindrot. orgprojectsflowd) NetFlow collettore. Molto alte portate (testati per oltre 50.000 flowssecond) Controllo fino a mille esportatori concorrenti Maniglie out-of-order pacchetti NetFlow - qualcosa che nessun prodotto commerciale noto fa Supporta ascolto multicast, che è utile per la ridondanza Compatibile con samplicator. un programma di utilità che può replicare il traffico NetFlow a più collettori. Supporta i dati NetFlow v1579. v9 NetFlow è sostenuto, ma solo tradizionali campi NetFlow V5 vengono memorizzati su disco. Tutti gli altri campi di flusso vengono scartati. Speriamo che questo cambierà la gestione esportatore presto robusto Webviews obiettivo è zero manutenzione, indipendentemente dal numero di esportatori NetFlow. I nuovi esportatori sono auto-scoperto utilizzando un elenco di parametri V1V2V3 SNMP (opzionale delimitata da maschere di rete). l'indirizzo IP del router aggiornamenti cambia Nuove interfacce Nessun problema Webview gestisce con garbo movesaddschanges esportatore. paia ridondanti di router si può lavorare con loro come un unico dispositivo. reporting completo sullo stato di salute di tutti gli esportatori (vedi esempio di un rapporto sullo stato esportatore che mostra 600 esportatori): SNMP versione raggiungibilità esportazione e pacchetti contatori, tra cui perdersi e pacchetti duplicati flusso di esportazione volume di traffico di rete del volume su ogni interfaccia esportatore orologio esportatore salute - out - di-sync, distorta, in tutto o in Fubar. errori di configurazione esportatore: flusso attivo timeout a senso unico interfacce duplicati scorre Soapbox sul motivo per cui la gestione del flusso di raccolta è molto importante Ecco alcuni esempi reali di Netflow dati cattiva gestione: picchi di traffico di rete creano congestione che provoca Netflow pacchetti di esportazione per essere eliminato. Come risultato, l'amministratore di rete vede alcuna evidenza di picchi copie multiple di ogni pacchetto netflow trovano la loro strada al collettore. Questo può accadere quando un router ha esportatori multiuple definiti o quando i collettori intermedi non sono ben configurati (ad esempio utilizzando NetFlow relè, l'inoltro o il concatenamento caratteristiche di pacchetti commerciali). Questi problemi sono difficili da notare, senza una buona vista della salute collezione. La mia esperienza è che i prodotti Netflow commerciali sono deboli in questo senso. Quando somministrato out-of-order o duplicare i pacchetti NetFlow, essi o dont notato qualcosa è sbagliato, o che riportano i risultati errati (miliardi di gocce, per esempio). Flusso di elaborazione nativa SMP (symmetric multiprocessing) per ambienti con più esportatori elaborazione velocità di 5-50k flowssecond per CPU virtuale, a seconda della complessità di configurazione rrdcached compatibile per ottimizzare IO disco sincronizzazione dell'orologio avanzata Webview è stata battaglia-testato in diversi esigenti multi-nazionale e Fortune 100 ambienti open source Non solo è Webview software open-source (licenza GPL2), si avvale anche di diversi componenti open source nel backend: Flow-raccolta è gestita da Damien Millers flowd (mindrot. orgprojectsflowd), con modifiche. Tutte le modifiche sono state presentate di nuovo al progetto flowd e alla fine verranno fuse. Flow-reporting e il filtraggio è gestita da Mark Fullmers flow-tools (splinteredswflow-tools). Anche se un po 'vecchio, il flusso-tools ha ancora alcune cose meglio e più velocemente di qualsiasi altro pacchetto. Un calendario web JavaScript viene da DHTMLX (dhtmlxdocsproductsdhtmlxCalendar). Perl Webview Netflow Reporter è quasi interamente scritto nel linguaggio di scripting Perl. Perl offre una grande flessibilità, un rapido sviluppo, la modifica facile, e ad alte prestazioni. Quality-of-Service (QoS). NetFlow non misura jitter o la voce di qualità, ma la sua eccellente per dimostrare che le reti contrassegni DSCP siano coerenti e che i volumi di traffico corrispondono aspettative. Ad esempio, ecco un grafico che mostra sia il traffico G.729 correttamente e codificati in modo errato: Ignorare le punte verso il basso (queste erano le sonde vocali da NetIQ) e si concentrano sui piccoli 25 Kbps viola e rettangoli rossi tra 19:20-20:20. Queste mostrano che un flusso G.729 veniva marcata in una direzione ma non nell'altra. Un click sulla zona senza tag viola rivela i punti finali difettosi. Un ulteriore rapporto flusso grezzo mostra le DSCPs: In questo caso, un senso della conversazione VoIP è correttamente contrassegnato come DSCP EF, ma nella direzione opposta isnt. rapporti Netflow possono anche far luce sulla misura jitterquality da fonti come Service Level Agreement Ciscos IP (IP SLA, ex SAA o RTR). Ad esempio, in questa analisi convalida QoS. i primi due grafici mostrano il tempo di andata e ritorno (RTT) e jitter per traffico voce e dati su un determinato link WAN come riportato da IP SLA. Il terzo grafico mostra l'utilizzo del traffico NetFlow. I grandi picchi Netflow correlati ad un aumento jitter e RTT sul traffico di dati, ma il traffico VoIP rimane immune. La tabella finale mostra che il traffico causando il picco è correttamente contrassegnata come DSCP CS1, che viene utilizzato per scavenger meno-che-best-effort servizio. Questa analisi ha richiesto circa un'ora per fare e dimostra che il VoIP non è influenzato dal traffico non-VoIP e che i picchi di rete siano correttamente essere contrassegnato come spazzino. Sei sicuro di te thats vero nella rete Nota: la directory wwwipsla di Webview include un demone di monitoraggio IP SLA e giornalista. Se non si dispone di qualsiasi altro prodotto per IP SLA (ad esempio Cactus, NetIQ), allora questo funziona piuttosto bene. forensics sicurezza. Lo strumento di query ad hoc, è un grande strumento di analisi forense. In particolare, i rapporti di flusso prime sono in ordine cronologico preciso e possono avere la precisione millisecondo. E 'come una traccia sniffer, ma la sua sempre in esecuzione e non ci sono mal di testa di creazione di porte di monitoraggio, la creazione di un collezionista, e muoversi i file di acquisizione multi-megabyte. Certo, Netflow non mostra si payload, ma non consentono di eseguire la scansione attraverso milioni di pacchetti in pochi secondi e subito capire circa quello che è successo e quando. Un utente Webview ad un ISP ha scritto l'articolo Mining NetFlow su questo argomento in Information Security, Jan 2006. Ha lo utilizza quotidianamente per sradicare zombie e malware sulle sue macchine dei clienti. Parlare di grande servizio ISP Un altro utente Webview ha avuto un focolaio di SQL worm che eluso i loro sistemi antivirus (il verme era nuovo di zecca, ma il vettore di attacco è stato conosciuto e senza patch). Hanno rilevato solo il verme quando loro rete ha iniziato schiantarsi. A quel punto, sniffer si potrebbe dire solo che è stato attualmente infetto. Per fortuna, forensics Netflow con Webview è stato in grado di dimostrare che l'infezione è iniziata più di 24 ore prima, quando un amministratore di SQL inserito nel suo computer portatile infettati con W32.Toxbot. B, che poi ha ricevuto ordini da una macchina canaglia nel Regno Unito per scatenare il worm su il network. Netflow analisi forense con Webview può anche rivelare molto sul comportamento utilizzo di Internet. Gli ISP hanno utilizzato per rispondere alle domande del domestico (un padre chiedendo solo ciò che è stato scaricato il suo figlio) al felonious (adescamento bambino, sequestro di persona, minaccia e-mail anonime, ecc). NetFlow non è CALEA compatibile, ma è un modo conveniente per gli operatori di rete che si trovano sotto il radar CALEA di affrontare responsabilmente queste domande ifwhen sono venuti fuori. Profiling accelerazione WAN (WAAS, WAFS, ecc). Molte aziende stanno implementando acceleratori WAN per accelerare il loro traffico lungo. La maggior parte WAN acceleratori tunnel tutto il traffico ottimizzato, il che lo rende quasi invisibile per NetFlow sul router WAN. Tuttavia, il traffico pre-ottimizzato è disponibile dal router WAN Netflow se WCCP viene utilizzato per reindirizzare il traffico al l'acceleratore (esempio). Il traffico pre-ottimizzato potrebbe anche essere disponibile come Netflow dall'acceleratore WAN stesso. Cisco e Riverbed moderno ed espandere prodotti in tutto il supporto di accelerazione trasparente che conserva l'header IP di ogni connessione (esempio). In questi casi, Webview è in grado di riferire sia il traffico pre e post-ottimizzazione per categoria. ltsoapboxgt La sua incredibile che molte aziende usano ancora 5 o 15 minuti di intervalli di campionamento e numeri magici come il 60 per gestire la loro capacità WAN. Se amate gli utenti della rete, impostare tutti gli strumenti di monitoraggio della larghezza di banda per l'utilizzo di uno dei campioni minuto stavo lavorando per un grande cliente al dettaglio il cui punto di vendita app sembrava essere in modo casuale in mancanza nei negozi. L'amministratore di rete ha insistito i collegamenti WAN andavano bene. La sua prova è stata un grafico di campioni 5 minuti che ha mostrato un utilizzo medio di meno di 25 anni Abbiamo acceso Netflow e, nel giro di pochi minuti, si becamd chiaro che il volume di traffico reale era 10, ma che un processo di replica di Microsoft ancorato il link a 100 per un paio di minuti ogni quarto d'ora. Doh In azienda ben gestita, la pianificazione della capacità va ben oltre una visione macro-livello di traffico inout un'interfaccia. pianificazione della capacità reale è di circa la comprensione di come le singole applicazioni si comportano di fronte a debilitante congestione, e che richiede una visione a livello micro che prende criteri QoS in considerazione. E 'anche di capire le fonti di difficile controllo di congestione, come il traffico Internet non richiesto, affollamento flash full-maglia MPLS WAN, e ritorno al servizio VoIP dopo interruzioni di corrente. E, cosa più importante, i suoi circa la comprensione della tolleranza umana e il monitoraggio a quel livello (ad esempio per quanto tempo fino a quando l'utente fa clic sul pulsante di aggiornamento, riavvia la sessione di Citrix, o riavvia il PC). ltsoapboxgt Detto questo, Webview fa un lavoro abbastanza OK pianificazione della capacità. Si può tenere traccia lunghi periodi di entrambi larghezza di banda: gli utenti attivi: C'è anche un modulo opzionale chiamato Netusage che estrae i dati entro il giorno lavorativo per ogni elemento e ha una semplificata, un'interfaccia Web Manager-friendly, completo di semplici grafici linepie e di facile lettura rapporti. Memorizza anche i suoi dati in MySQL, rendendo i dati più accessibili da strumenti come Excel e Access. Monitoraggio IT migrazioni. Un uso non evidente di Webview è quello di generare rapporti su progetti di migrazione IT. Ad esempio, il tracciamento degli utenti e trasformano da una versione di Exchange a un altro, o da una serie di switch di rete ad un altro. Webview può aiutare a potenziare a pavoneggiarsi in un incontro lo stato della migrazione con una bracciata di grafici e report basati su dati reali che mostrano percentuale di completamento, sbandati, ecc I responsabili del progetto saranno stupiti e mi chiedo come il ragazzo rete è stata in grado di ottenere tali dati meravigliosi. monitoraggio del percorso. Quando Netflow viene esportato direttamente da un router, è possibile visualizzare informazioni raccolte da sottorete le tabelle di routing. WebView include un programma di utilità opzionale chiamato routemon che mantiene una tabella di MySQL che contiene l'esportatore, l'interfaccia, percorso di destinazione e numero di byte dal giorno precedente. Queste informazioni potrebbero essere tremendamente potente e il suo solo aspettando il giusto problema da risolvere. Ma, purtroppo, il paradigma di gestione della rete predominante è quello di ignorare la tabella di routing e, invece di concentrarsi su elementi di gestione. Finora, questi dati raccolti percorso è stato soprattutto utile per esaminare percorsi duplicati e garantire che siano destinate o meno. Per esempio. nella relazione di seguito, i percorsi duplicati sono diversi percorsi per lo stesso ufficio remoto. Per quei confronto-shopping gli strumenti open source, stato Ill up-front alcune delle limitazioni Reporter Webview Netflow: grafici Non può facilmente generare ad hoc perché Webviews paradigma è quello di predefinire le categorie e continuamente li grafico. Ad esempio, non puoi utilizzare l'interfaccia web per scegliere alcuni criteri di filtro arbitrari e generare un grafico di esso durante la scorsa settimana. Nfsen e FlowViewer entrambi sembrano avere questa capacità. Webview può farlo, naturalmente, ma è attualmente richiede alcuni dietro le quinte lavoro CLI da un amministratore. Supporto limitato per Netflow v9Flexible NetflowIPFIX. Il collettore flowd supporta pacchetti Netflow v9, ma salva solo i campi compatibili con v5. Questo perché il motore di reporting portate solo strumenti in grado di lavorare su quei campi. Così, mentre è possibile utilizzare NetFlow v9 e trarre vantaggio dalla sua migliorare la configurazione, la compatibilità, e un secondo di precisione, non è possibile utilizzare uno qualsiasi dei suoi campi aggiuntivi (IPv6 o MPLS tag). La sua non è abbastanza. Come la qualità di questa pagina web può attestare, l'autore non è un utente web o designer. Vi prego, non essere spento dal tema grigio-on-scura o la mancanza di pelli. Anche se sembra goffo, l'interfaccia è veloce e funzionale. E ogni rapporto può essere un collegamento ipertestuale in modo sei libero di costruire un portale più user-friendly con WebView fornisce il contenuto di back-end. La sua non è in tempo reale. Alcuni pacchetti mostrano viste in tempo reale dei flussi ricevuti. WebView è sempre almeno 5 o 10 minuti dietro. La sua non è progettato per coloro che per lo più interessati a peering (istituzioni o fornitori di servizi). Certamente può essere utilizzato in quegli ambienti, ma Webviews obiettivo principale è l'impresa con il suo potente categorizzazione. Si consiglia di controllare pmacct o FlowScan invece. L'interfaccia web non è probabilmente sicura. Ha controlli di integrità e controlli di validazione forma, ma il codice non è stato scritto pensando alla sicurezza. In particolare, le capacità multi-tenant della interfaccia web potrebbero non essere a prova di proiettile (gli inquilini possono essere in grado di visualizzare i dati al di fuori della loro zona). La sua non è consigliato di esporlo a Internet o soggetti esterni non attendibili meno che non sia anteriore-ended da un portale. La sua non è per Windows. Scusate. È certamente possibile installarlo su una macchina virtuale Linux in esecuzione sotto la libera VMPlayer per Windows. WebView eseguito su un host fisico o virtuale Linux. Se sarà la raccolta netflow su meno di 5 router con un totale di meno di 200 Mbps di traffico, quindi il dimensionamento non dovrebbe essere una preoccupazione. Vai avanti e installare Webview su una macchina virtuale con una CPU virtuale, 512 MB di RAM, e 40-250GB di disco e vedere come va. Se sarà la raccolta molti più dati di flusso, allora è necessario considerare altri fattori: flusso conteggio esportatore - quanti dispositivi sarà l'invio di interfacce esportatore flussi di flusso - quanti interfacce totale sarà rappresentato nel tasso di esportazione del flusso dati di flusso - - Qual è il volume totale di dati di flusso (misurati in flowssecond) di stoccaggio flusso raw - quanti daysweeks dei dati di flusso grezzi devono essere tenuti in linea per la segnalazione del traffico ad hoc categoria conteggio - quanti diversi tipi di categorie di traffico saranno identificati ( tra cui entrambe le categorie generali come video, web, e-mail e gli eventuali categorie più dettagliate, come server) Risoluzione sviluppo senza tag G.711 audio e Freds e la storia dei dati aggregati - quanta storia deve essere conservato a campionamento 1 minuto, 5 minuto di campionamento, il campionamento di 60 minuti, e il campionamento di 24 ore. Ecco alcune linee guida generali: Portata dipende interamente le applicazioni in uso. Qui ci sono alcune linee guida aziendali: router WAN - circa 15 flowssecond per ogni Mbps di larghezza di banda utilizzata (ad esempio, un router con un 10 Mbps circuito WAN che medie 5 Mbps di utilizzo effettivo potrebbe generare 75 flowssecond) Data center switch - circa 3 flowssecond per Mbps. (e. g. a 10 Gbps inter-data center link carrying about 3 Gbps of traffic might generate 9,000 flowssecond. CPU Multi-core processing spreads the processing workload nicely when there are many exporters Higher clock-rates will result in linearly better performance. An AMD Opteron 1.9 GHz or Intel E7-4850 2.0 GHz CPU have been observed processing: default categories - 25,000 flowssecond per core typical custom cagtegories - 10,000 flowssecond per core complex custom categories - 7,000 flowssecond per core Memory 512MB is fine for typical systems handling less than 5,000 flowssecond. For larger systems, allocate 512MB per core plus 4GB if you plan to use rrdcached to optimize the disk IO (see below). Storage. Webview has two very different storage needs: Raw flow warehousing Each raw flow consumes about 18 bytes. E. g. a large network with 50,000 flowssecond will require 74 GB for each day of raw flow history, or 2.5TB for a month of history, The flow data is written just once and read during ad hoc reports run by the web user. The speed of those reports depends on the speed of this disk. Its fine to use cheaperslower SATA drives (tier 2 or tier 3). Aggregate storage (RRD file format) Webviews default aggregation is: one day of 1-minute resolution two weeks of 5-minute resolution 90 days of 60-minute resolution 720 days of 1-day resolution With these defaults, each interface category requires 3MB for aggregate storage. For example, 50 routers with 4 interfaces each and 25 traffic categories would consume about 50 4 25 3MB 15 GB of disk. This aggregate data is stored in RRD files, which: are read and written constantly in the background (the readwrite ratio is 5050) require very high IO Operations Per Second (IOPS) These files should be stored on fast 10K15K RPM SAS drives configured in RAID groups (tier 1 or tier 2). Flash caching would also help rrdcached is an optional utility that reduces the IO burden by using a very large in-memory cache. If needed, ensure that the host has 4-8GB of extra memory. The Webview Netflow package was primarily written by Craig Weinhold (craig. weinhold cdw. com), a Cisco network engineer and CCIE. This software has been developed to address real-world needs in medium and large-size enterprise networks that the author has worked with over the years. This GPLing of this software was supported by the authors employer, CDW. a company that not only moves a lot of boxes through its warehouses, but also provides top-notch IT professional services around Cisco, Microsoft, IBM, NetApp, EMC, and other vendors. Our specialties include unified communications, security, data center, WAN, storage, and systems. Not surprisingly, CDW would be happy to help you with enterprise Netflow design and planning services, including the support of Webview Netflow Reporter. For more information on these commercial services, consult the Contact us page at cdwcontentservicesprofessional-services. aspx. Sourceforge project site last updated: 16-June-2013R. R. Donnelley Sons Company Common Stock Quote Summary Data Real-Time After Hours Pre-Market News Flash Quote Summary Quote Interactive Charts Default Setting Please note that once you make your selection, it will apply to all future visits to NASDAQ. Se, in qualsiasi momento, si è interessato a ritornare alle nostre impostazioni predefinite, selezionare Impostazioni predefinite sopra. Se avete domande o incontrano problemi nel cambiare le impostazioni predefinite, inviare un'e-mail isfeedbacknasdaq. Si prega di confermare la selezione: Hai scelto di modificare l'impostazione predefinita per il preventivo Cerca. Questo sarà ora la tua pagina di destinazione predefinita a meno che non si cambia di nuovo la configurazione, o si eliminano i cookie. Sei sicuro di voler modificare le impostazioni Abbiamo un favore da chiederti Si prega di disattivare il blocco annuncio (o aggiornare le impostazioni per garantire che JavaScript ei cookie sono abilitati), in modo da poter continuare a fornire la notizia mercato di prim'ordine ei dati youve si aspettano da noi.
No comments:
Post a Comment