R Gang Durchschnitt

NPCD (Nagios-Perfdata-C-Daemon) wurde geschrieben, um einen asynchronen Modus zur Verfügung zu stellen, um Leistungsdaten mit nagios zu behandeln. In großen Nagios-Installationen kann Ihre durchschnittliche Check-Latenz auf einen nicht akzeptablen hohen Wert ansteigen. Dies bedeutet, dass nagios sollte einen Scheck zur Zeit x tun, aber tatsächlich tut es y Sekunden später. Wenn du dem Nagios-Kern sagst, dass du die Performance-Daten nach jedem einzelnen Check verarbeiten willst, geht das gut für eine gewisse Anzahl von Schecks, aber oberhalb dieses Limits wirst du in Latenzprobleme laufen. Um die Anzahl der Aktionen für jede Prüfung zu reduzieren, kannst du den Bulk-Modus verwenden, der die Leistungsdaten für einige Zeit sammelt und dann den nagios-Kern den Befehl lthostservicegtperfdatafileprocessing ausführt oder man kann nagios nur die perfdatafiles in ein Spool-Verzeichnis verschieben. Dieser Schritt ist eine sehr schnelle Aktion für den Nagios-Kern und der Kern wird mit der Verarbeitung von Performance-Daten durchgeführt und kann auch weiterhin tun, was es tun soll: Ausführen von anderen Schecks, Senden von Benachrichtigungen und so weiter. Wie oben erwähnt, hat der Nagios-Prozess seine Arbeit mit dem Verschieben der Performance-Datendatei in ein Spool-Verzeichnis beendet, aber diese holt die Daten in die RRD-Dateien. Für diese Aufgabe kannst du npcd starten, um das definierte Spool-Verzeichnis zu betrachten und eine Aktion für jede gefundene Datei zu starten. Nachdem NPCD gestartet wird, baut es eine Liste von Dateinamen, die in perfdataspooldir gefunden werden, und startet neue Threads für jeden Dateinamen und führt die perfdatafileruncmd mit dem optionalen perfdatafileruncmdarg als zusätzliches Argument aus. Da die perfdata-Dateien im Spool-Verzeichnis im selben Format sind wie für den 039normal039-Bulk-Modus NPCD sollte processperfdata. pl im Bulk-Modus ausführen. Leistungsverbesserungen für nagios Weil die Performance-Datenverarbeitung vom Nagios-Kern abgelöst ist, hat sie mehr Zeit für ihre eigene Arbeit. Solange nagios schreibt perfdata dateien auf die spool dir Ihre Daten gewonnen039t verloren, wenn NPCD stirbt oder du hast vergessen, es nach einem Systemneustart zu starten. NPCD startet mit der ersten Datei (sie werden nach dem TIMET-Makro in chronologischer Reihenfolge sortiert) und aktualisieren Sie Ihre RRD-Dateien. Keine Echtzeit-Verarbeitung von Performance-Daten, da es eine Verzögerung beim Schreiben der Performance-Datendateien von nagios (serviceperfdatafileVerarbeitungsintervall) gibt, gibt es noch eine Verzögerung innerhalb von NPCD, die bis zu 10 Sekunden nach jedem Verzeichnis scannt. Sie müssen NPCD mit einer eigenen Konfigurationsdatei wie zB steuern Die gerollte npcd. cfg-Beispieldatei. Umbenennen Sie es einfach auf npcd. cfg, um NPCD so zu starten: im Daemon-Modus (Hintergrund) zu laufen. Hinweis: Wenn Sie sich entscheiden, die Konfigurationsdatei nicht umzubenennen, könnte sie durch eine zukünftige Aktualisierung von PNP überschrieben werden. Dies sind die grundlegenden Konfigurationsrichtlinien für NPCD: Inhaltsverzeichnis Webview Netflow Reporter ist ein unternehmensorientiertes Netflow Reporteranalyzer-Tool mit anklickbaren Graphen, leistungsstarke Kategorisierung, die über einfache TCPUDP-Portnamen hinausgeht, automatische Exporter-Entdeckung und vollständigen Zugriff auf alle Aspekte des Rohmaterials Strömungsdaten (Schnittstellennamen, Millisekundengenauigkeit, QoS-Einstellungen, TCP-Flags usw.). Webview-Installationen auf einem Linux wird über einen Webbrowser aufgerufen. In einem typischen Setup werden die Netflow-Daten ständig auf jeder Router-Switch-Schnittstelle kategorisiert und verfolgt. Der Web-Benutzer wählt eine oder mehrere Schnittstellen aus und kann in der letzten Stunde, Tag, Woche usw. einen Graphen der durchschnittlichen oror-Peak-Traffic-Nutzung für jede Kategorie anzeigen (siehe Beispiel-Screenshots unten). Der Benutzer kann auch Ad-hoc-Berichte über einen beliebigen Zeitraum ausführen, um alle Aspekte des Verkehrs zu erkunden, z. B. einen Top-Talker-IP-Adressbericht oder eine Rohfluss-Chronologie. Verbindungsberichterstattung Eine Verbindung ist eine komplette TCPUDP-Sitzung, die viele Ströme überspannen kann. Die Verbindungsberichterstattung identifiziert den Client (Initiator) und den Server eindeutig und berichtet auch über bidirektionale Paketbytes, die übertragen werden, etc. Durch das Betrachten einer Verbindung, wie es mehrere Router kreuzt, ist es einfach, Paketverlust, asymmetrisches Routing und andere Kuriositäten zu identifizieren. Weitere Informationen finden Sie unter Ad-hoc-Abfrage-Tool. Eingebautes symmetrisches Multiprocessing (SMP). Dies verbessert die Leistung bei Multi-Core-CPUs, wenn es viele Exporteure gibt. SNMPv3 unterstützt leistungsstarke Berichterstattung über die Gesundheit der Strömungssammlung. Einschließlich Out-of-order und doppelte Exporteur-Pakete. Rrdcached ist nun voll unterstützt für verbesserte Festplatte IO auf sehr große Bereitstellungen Custom Traffic Kategorisierung (Klassifizierung). Traffic-Kategorisierung verwendet eine Cisco Access-List-Stil-Syntax. Webview kommt mit mehreren vordefinierten Kategorien, die gut funktionieren, aber die wirkliche Leistung dieses Tools ist, wenn Sie benutzerdefinierte Kategorien, die Ihren Netzwerken einzigartige Verkehrsmuster passen - E-Mail, ERP, Backup, Internet-Proxies, etc. In einer ACL, jede Zeile kann (TCPUDP) TCP-Flags ICMP-Typ und Code BGP ASN (falls als Exportoption konfiguriert) IP-Service-Typ (DSCP, IP-Priorität oder eine einfache Nummer) als nächstes - Shop IP-Masken-Exporteur IP-Maskeneingabe - oder - ausgabeschnittstelle Anzahl der Pakete oder Bytes Dauer des Durchflusses Durchschnittliche Bytes pro Sekunde oder Pakete pro Sekunde Durchschnittliche Paketgröße Der Erfolg einer anderen ACL innerhalb der letzten n Sekunden Im Folgenden finden Sie einige ACL-Beispiele. Einfach: komplex: spezifisch: Routing-Tabelle abgeleitet: flow-derived: heuristisch: acl-map: Kategorien werden zusammen gruppiert, um eine geordnete Ansicht zu erstellen, die dann auf ein oder mehrere exportierende Geräte angewendet wird. Mehrere Ansichten können auf demselben Gerät verwendet werden (z. B. ist es üblich, zusammenfassend und detaillierte Ansichten der gleichen Daten zu haben). Die Anzahl der Kategorien ist unbegrenzt, obwohl die Menge und Reihenfolge der Kategorien die Leistung beeinflusst. Für weitere Informationen über die ACL-Syntax, Daten-Rendering und andere Konfigurationsoptionen lesen Sie bitte die PDF-Dokumentation. Diagramme und Tabellenberichte. Webview verwendet Flowscan-Stil Schmetterling Graphen mit Kategorien gestapelt in der Reihenfolge ihres Volumens, mit Eingabe unterhalb der Achse und Ausgabe oben. Z. B. Diese Schmetterlingsansicht mag anfangs verwirrend erscheinen, aber es ist eine sehr praktische Möglichkeit, viele Verkehrskategorien in beiden Inboundoutbound-Richtungen anzuzeigen. Natürlich können Sie auch einfache einachsige Graphen generieren und die Rohgraphendaten für manuelle Manipulationen in csvExcel exportieren. Die Daten werden standardmäßig in einer Minute-Auflösung aggregiert. Zum Beispiel, hier ist die vorherige grafische gezoomt bis 8:00 - 10:00 Uhr: Eine Minute Auflösung ist ideal für die meisten Unternehmen, da es eng mit dem menschlichen Faktor der Endbenutzer Toleranz Geduld. Z. B. Die meisten Benutzer bemerken nicht oder werden von gelegentlichen kurzen Perioden der Langsamkeit betroffen sein, aber wenn die Auswirkung eine Minute oder mehr ist, ist es fast garantiert, dass sie unglücklich sind. Die Standardaggregation kann auf eine Sekunde abgesenkt und mit flexiblen Netflows mit einer Sekunde aktivem Ablaufzeitlimit gekoppelt werden, um erstaunlich präzise Graphen zu erzeugen. Allerdings kommt die Präzision zu einem signifcanten CPUdisk Kosten. Wenn Ihr Ziel ist Microburst Polizei, Netflow ist wirklich nicht das richtige Werkzeug für den Job. Die obigen Graphen zeigen Traffic-Kategorien für eine Router-Schnittstelle. Du kannst das auch umdrehen. Z. B. Die folgende Grafik enthält stattdessen die einzelne Verkehrskategorie TSM (Festplatten-Backup), die durch Schnittstellen mit dem Namen MPLScle (Cleveland), MPLSwau (Wausau) usw. ausgelöst wird. Neben dem Verkehrsaufkommen berichtet Webview auch über Flüsse, Pakete und gleichzeitig aktive IPs. Zum Beispiel könnten Sie interessiert sein zu wissen, was die durchschnittliche Bandbreite benötigt wird, um aktive Benutzer einer bestimmten Anwendung. Der folgende Bericht zeigt, dass jeder Benutzer von InternetHTTP etwa 30 Kbps benötigt, wenn er über eine Geschäftswoche (08.00 - 17.00 Uhr, Montag bis Freitag) gemessen wird: Der Graphikmotor ist sehr flexibel (möglicherweise zu flexibel): Klickbare Graphen. Die Leute scheinen ga-ga über diese handliche Eigenschaft zu gehen, und ich bin nicht sicher, warum mehr kommerzielle Pakete es nicht haben. Grundsätzlich, wenn Sie einen Graphen betrachten und etwas Interessantes sehen, können Sie darauf klicken, um mehr zu erfahren. Diese Sichtweise erfolgt nach den Rohdaten, die in der Regel für mindestens 4-8 Wochen (je nach verfügbarem Festplattenspeicher) gehalten werden. Ad-hoc-Abfrage-Tool. Wie der vorherige Bericht zeigt, gibt es eine nette GUI für die Erkundung und Berichterstattung über die Rohdaten. Es nannte das Ad-Hoc-Abfrage-Tool (aka Webview Flow Reporter), und viele glauben, dass es die nützlichste Eigenschaft von Webview ist. In Wirklichkeit ist es nur ein Front-End für Flow-Tools hervorragende Flow-Report-Dienstprogramm (und kann Standalone ohne die Grafik-Engine laufen, wenn Sie möchten). Die für die Berichterstattung zur Verfügung stehenden Rohflussdaten gehen in der Zeit zurück, soweit der Festplattenspeicher erlaubt ist. Die meisten kleinen bis mittleren Unternehmen finden, dass 30 GB für einen Monat Daten ausreichend ist. Größere Netzwerke können viele Terabyte verwenden. Filter-Optionen: Protokoll: TCP, UDP, ICMP, VPN, Andere ToS DSCP Vorrang ECN TCPUDP Portnummer IP Adresse oder Subnetz Benutzerdefinierte Traffic Kategorie (mit der zuvor beschriebenen Cisco ACL Syntax) Schnittstellen (Namen, Beschreibungen, mehrere Router Schnittstellen erlaubt) Freiform-Filter auf Bytezählung, Paketzähler, bps, pps, ToSDSCP, nexthop, tcpflags Logische Ausdrücke erlaubt (OR und AND NOT) Reporting-Optionen: Typ: Raw - ein einfacher chronologischer Dump von Rohdaten. Standardmäßig sind hierzu IP-Adressen, Port-, Protokoll-, DSCP-, TCP-Flags, Startzeit, Dauer und die Packetbyte-Zähler enthalten. Exporteure und Schnittstellen - fügt Felder hinzu, die den Exporter und seine SNMP-Schnittstellenbeschreibungen anzeigen Routing - fügt Nexthop-Feld und Routing Präfix Länge ASN - fügt BGP ASN Felder. Typ: Verbindung - übergibt die Durchflussdaten über eine TCPUDP-Verbindungsmaschine, die die Flussdaten wieder in eine bidirektionale Verbindung stift, wobei die Client - und Server-IPs eindeutig identifiziert wurden. Einfach - der Basisbericht zeigt die Client - und Server-IPport-Nummern, Dauer, Client-to-Server (c2s) und Server-to-Client (s2c) Byte und Paketzähler an. Multihop - der Multihop-Report zeigt jede Verbindung an, wie sie von mehreren Netflow-Sammelstellen gesehen wird. Zum Beispiel, wenn ein TCP-Flow über einen Rechenzentrums-Router und einen Zweig-Office-Router geht, zeigt dies die Verbindung aus beiden Perspektiven. Dies ist sehr praktisch bei der Suche nach Paketverlust und Sicherstellung von End-to-End-QoS-Markierungen. Das ist ein sehr cooles Feature. Siehe Beispielbericht Typ: Flow - das ist die Standard-Flow Reporting Engine. IP-Tasten aus jeder IP (Quelle oder Ziel) Src - Tasten aus der Quell-IP - das ermöglicht den Peers-Zähler, der anzeigt, wie viele Ziel-IPs jeder Quelle Pakete sendet. Dst - Tasten aus der Ziel-IP - das ermöglicht den Peers-Zähler, der anzeigt, wie viele Quell-IPs Pakete an das Ziel senden. Port - Schlüssel aus der Nummer der Sourcedestination. Peers - Tasten aus jedem Quellziel IP-Paar Flows - Tasten aus jedem 5-Tupel-Protokoll und Sourcedestination IPport wtotals - dieses Kontrollkästchen zeigt Summen für den gesamten Bereich, auch wenn nur die Top 100 oder so Elemente angezeigt werden. Typ: Sonstige - sonstige Berichte Exporteure - zeigt eine Liste aller Exporteure und das Volumen der Daten, die von jedem erhalten werden, nach dem Anwendung eines Ihrer Filter. Dies identifiziert auch Einweg-Schnittstellen, die nützlich sein können, um falsch konfigurierten Netflow zu identifizieren. Beachten Sie, dass die Exporteure berichten von der Webview-Homepage zeigt mehr Details einer Sysadmin-Natur, hat aber keine Filterfähigkeit. BGP ASN - erzeugt einen Durchflussbericht durch autonome Systemnummern (ASN), die häufig in der Netflow-Erfassung aktiviert sind. Weitere Optionen: Ausgabe: Excel, CSV, ASCII oder HTML-Tabelle Eingabe: eine oder mehrere zeitgestempelte Rohfluss-Eingabedatei (n). Mehrere Flussverzeichnisse sind erlaubt. DNS: schnell und nicht blockierend (verzögert niemals mehr als 5 Sekunden). Sortierung: bytespacketsflowspeersdurationchronology. Peers ist eine Anzahl von IPs Verbindung Peers und ist großartig für herauszufinden, wer ist die chattiest - z. B. Malware versucht zu verbreiten, DNS-Server werden gehämmert, etc. Hinweis: Die Nützlichkeit Roh-Netflow-Daten können nicht übertrieben werden Viele Netflow-Software-Pakete aggregieren die Daten oder fallen Felder, die nicht passen ihre Vorstellung der Überwachung. Das Ad-hoc-Abfrage-Tool bietet eine leistungsstarke Schnittstelle zu den Rohdaten, der Benutzer hat unbegrenzte Möglichkeiten, diese Daten zu untersuchen. Netflow Exporteur und Schnittstelle Entdeckung und Normalisierung. Netzwerk-Management-Tool Wartung sollte nicht eine Aufgabe sein. Das Hinzufügen eines neuen Geräts zu Webview ist so einfach wie das Konfigurieren von Netflow-Export auf dem Gerät selbst. Webview wird es sehen und SNMP verwenden, um die Schnittstellen und Beschreibungen zu laden. SNMP ifIndex-Änderungen sind kein Problem, obwohl es immer am besten ist, Cisco-Geräte mit snmp-Server zu konfigurieren, falls Index bestehen bleibt. Es gibt keine Begrenzung für die Anzahl der Exporteure, und einige Webview-Installationen haben Hunderte. Schnittstellen können auch aggregiert und umbenannt werden. Zum Beispiel, sagen Sie, Sie hatten vier Router: Sie konnten auf die Graphen zugreifen, indem sie zu einem bestimmten Router und Schnittstelle. Sie können aber auch Aliase erstellen, die auf einem regulären Ausdruck basieren. Zum Beispiel mit diesen Aliasen:. Die Webview-GUI würde diese Optionen für die Grafik anzeigen: Alias ​​in der GUI angezeigt Interfaces in Berichten verwendet Rtr2 Gig00 und Gig01 und Rtr3 Fast00 Rtr2, Multilink1 und Rtr3, Tunnel1 Die Schönheit dieses Ansatzes ist, dass GUI-Schnittstelle stabil und einfach zu navigieren ist , Obwohl sich die zugrundeliegenden Netzwerkrouter und Schnittstellen häufig ändern können. Es lässt sich auch mehrere Schnittstellen leicht zusammen aggregieren. Flexible Datenaggregation. Die einfachste und gängigste Art, Webview zu konfigurieren, besteht darin, Traffic-Kategorien zu definieren und sie per Router-Schnittstelle zu verfolgen. Dann fängst du an, Netflow von einem oder mehreren Routern in deinem Netzwerk zu exportieren, in das du sichtbar werden möchtest. Dieser Ansatz funktioniert gut für die überwiegende Mehrheit der Nutzer dieses Produkts. Für diejenigen, die diese Form nicht pflegen, hat Webview volle Unterstützung für die Verarbeitung und Visualisierung von Netflow-Daten: durch Subnetz, das von der exportierenden Router-Routingtabelle nach Subnetz CIDR-Block abgeleitet wurde, der von der Hand definiert wurde, durch die Beschaffungs-IP-Adresse durch Sourcedestination BGP ASN by IP next-hop Nach einer ACL Die Subnet-Tracking ist sehr nützlich, wenn Netflow-Daten für einen Teil des Netzwerks nicht verfügbar sind. Zum Beispiel wird Netflow nur von den Head-End-Routern eines Full-Mesh MPLS WAN gesammelt. In diesem Fall kann die Verfolgung von Netflow-Statistiken durch Subnetz eine ausgezeichnete Sicht auf jeden entfernten Standort bieten. Netflow-eingebettete Zeitstempel Dies ist ein subtiler, aber wichtiger Punkt. Viele Netflow-Analysepakete gehen davon aus, dass Ströme am Kollektor in Echtzeit empfangen werden und dass sie jeweils innerhalb eines einzigen Probenintervalls (typischerweise 1, 5 oder 15 Minuten) passen. Webview kann das natürlich tun. Aber wenn das Netzwerk für Network Time Protocol (NTP) richtig konfiguriert ist, kann Webview stattdessen die in jedem Netflow-Datensatz eingebetteten Zeitstempel verwenden. So gibt es drei getrennte Methoden zum Tallying Flows: Tally die Strömung auf der Grundlage, wenn es durch den Kollektor gemessen wurde die Flamme auf der Grundlage der Start-, End-oder mittleren Zeitstempel der Strömung verteilen die Strömung gleichmäßig über die Dauer der Strömung. Dies verarbeitet schön Ströme, die lang sind oder ein Stichprobenintervall überspannen. Z. B. Ein vierminütiger Fluss, der um 07:58:00 Uhr beginnt und um 08:01:59 endet. Dieser letzte Ansatz hat mehrere Vorteile: Beispielgrößen können kleiner sein als die Aufnahmedatei Dauer. Der Schritt in Webview ist die Größe jedes Sample-Intervalls, und es kann überall von 1 Sekunde bis zur Capture-Dateigröße (normalerweise 5 Minuten) eingestellt werden. In der Praxis bieten 60-Sekunden-Samples eine ausgezeichnete Balance zwischen CPU-Stage und in der Lage, volle Auswirkungen von Verkehrsspitzen zu sehen. Ströme können verzögert werden. Auch in einem einfachen Netzwerk erhält ein Kollektor kein Netflow-Paket bis einige Sekunden nach dem Fließen. In einem komplexen Netzwerk mit mehreren Sammlern kann es Minuten oder Stunden dauern, bis der Fluss an einem zentralen Punkt für die Verarbeitung gesammelt wird. Ströme können wiedergegeben werden. Z. B. Wenn Sie die Rendering-Konfiguration ändern, ist es einfach, den letzten Monat der Daten durch die neue Konfiguration wiederzugeben. Ist ein aggressives aktives Ablaufzeitlimit unnötig (d. h. ip-Flow-Cache-Timeout aktiv 1). In der Tat kann Webview konfiguriert werden, um die Standard-Timeout von 60 Minuten zu behandeln, und die Graphen werden genauso gut aussehen wie bei einem 1-Minuten-Timeout. Es garantiert eine konsistente, genaue Berichterstattung auch auf zeitgesteuerten virtuellen Maschinen. Einige VMs scheinen Probleme mit ihren Echtzeit-Uhren zu haben, was zu 5-Minuten-Flow-Dateien führt, die überall von 3 bis 8 Minuten Daten enthalten. Das ist kein Problem, wenn die Zeitstempel verwendet werden. Flow Collection Webview verwendet eine modifizierte Version von Damien Millers flowd (mindrot. orgprojectsflowd) netflow collector. Sehr hohe Durchflussraten (getestet auf über 50.000 Flows Sekunden) Getestet bis zu tausend gleichzeitigen Exporteuren Griffe Out-of-order Netflow-Pakete - etwas, das kein bekanntes kommerzielles Produkt unterstützt Unterstützt Multicast-Hören, was für Redundanz nützlich ist Kompatibel mit Samplicator. Ein Dienstprogramm, das den Netflow-Datenverkehr zu mehreren Sammlern replizieren kann. Unterstützt v1579 netflow Daten. V9 netflow wird unterstützt, aber nur traditionelle v5 netflow Felder werden auf Festplatte gespeichert. Alle anderen Strömungsfelder werden verworfen. Hoffentlich wird sich das bald ändern. Robustes Exporteur-Management-Webviews-Ziel ist die ZERO-Wartung unabhängig von der Anzahl der Netflow-Exporteure. Neue Exporteure werden automatisch mit einer Liste von SNMP v1v2v3 Parametern (optional durch Netzmasken begrenzt) entdeckt. Router aktualisiert IP-Adressen-Änderungen Neue Schnittstellen Kein Problem Webview anmutig behandelt Exporteur bewegt sich. Redundante Routerpaare Du kannst mit ihnen als einzelnes Gerät arbeiten. Umfassende Berichterstattung über die Gesundheit aller Exporteure (siehe Stichprobe eines Exporteurstatusberichts mit 600 Exporteuren): SNMP Erreichbarkeit Exportversion und Paketzähler, einschließlich verlorener und doppelter Pakete fließen Exportvolumen Netzwerkverkehrsvolumen auf jedem Exporter Interface Exporteur Uhr Gesundheit - out - of-sync, schief oder völlig fubar. Exporteur-Misconfigurationen: aktive Fluss-Timeouts Einweg-Schnittstellen doppelte Flüsse Soapbox auf, warum die Verwaltung Ihrer Flow-Sammlung ist wirklich wichtig Hier sind einige echte Beispiele für Netflow-Daten-Mismanagement: Netzwerk-Verkehrsspitzen schaffen Staus, die Netflow-Export-Pakete fallen lassen. Infolgedessen sieht das Netzwerk admin keine Hinweise auf die Spikes. Mehrere Kopien jedes Netflow-Pakets finden ihren Weg zum Sammler. Dies kann passieren, wenn ein Router mehrfache Exporteure definiert hat oder wenn Zwischensammler falsch konfiguriert sind (z. B. unter Verwendung von Netflow-Relais-, Weiterleitungs - oder Verkettungsmerkmalen von kommerziellen Paketen). Diese Probleme sind schwer zu bemerken, ohne eine gute Sicht der Sammlung Gesundheit. Meine Erfahrung ist, dass kommerzielle Netflow Produkte in dieser Hinsicht schwach sind. Wenn sie Out-of-Order oder Duplikat Netflow-Pakete, sie entweder nicht bemerken, dass etwas falsch ist, oder sie melden fehlerhafte Erkenntnisse (Milliarden von Tropfen, zum Beispiel). Flow Processing Native SMP (symmetrisches Multiprocessing) für Umgebungen mit mehreren Exporteuren Verarbeitungsgeschwindigkeiten von 5-50k Flows Sekunden pro vCPU, je nach Konfigurationskomplexität rrdcached - kompatibel zur Optimierung der Festplatte IO erweiterte Taktsynchronisation Webview wurde in mehreren anspruchsvollen multinationalen und kampffetrieben getestet Fortune-100-Umgebungen Open Source ist nicht nur Webview Open-Source-Software (GPL2-Lizenz), sondern nutzt auch mehrere Open-Source-Komponenten im Backend: Die Flow-Collection wird von Damien Millers abgewickelt (mindrot. orgprojectsflowd) mit Änderungen. Alle Änderungen wurden dem fließenden Projekt zurückgesandt und werden schließlich zusammengeführt. Durchfluss-Reporting und Filterung wird von Mark Fullmers Flow-Tools (Splitter-Swing-Tools) abgewickelt. Obwohl ein bisschen alt, Flow-Tools noch einige Dinge besser und schneller als jedes andere Paket. Ein Javascript-Webkalender kommt von DHTMLX (dhtmlxdocsproductsdhtmlxCalendar). Perl Webview Netflow Reporter ist fast vollständig in der Perl-Skriptsprache geschrieben. Perl bietet große Flexibilität, schnelle Entwicklung, einfache Modifikation und hohe Leistung. Quality-of-Service (QoS). Netflow misst nicht Jitter - oder Sprachqualität, aber es ist hervorragend dafür, dass Ihre Netzwerk-DSCP-Markierungen konsistent sind und dass die Verkehrsmengen den Erwartungen entsprechen. Zum Beispiel ist hier ein Diagramm, das sowohl ordnungsgemäße als auch falsch markierte G.729-Verkehr zeigt: Ignorieren Sie die Abwärtsspitzen (diese waren Stimmsonden von NetIQ) und konzentrieren Sie sich auf die kleinen 25 Kbps lila und roten Rechtecke zwischen 19:20 bis 20:20. Diese zeigen, dass ein G.729-Fluß in einer Richtung markiert wurde, aber nicht der andere. Ein Klick auf den lila unmarkierten Bereich zeigt die fehlerhaften Endpunkte. Ein weiterer Rohflussbericht zeigt die DSCPs: In diesem Fall ist eine Richtung der VoIP-Konversation als DSCP EF richtig markiert, aber die andere Richtung ist nicht. Netflow-Berichte können auch ein Licht auf Jitterquality-Messung aus Quellen wie Ciscos IP Service Level Agreement (IP SLA, früher SAA oder RTR) leuchten. Zum Beispiel in dieser QoS-Validierungsanalyse. Die ersten beiden Graphen zeigen Rundlaufzeit (RTT) und Jitter für Sprach - und Datenverkehr auf einer gegebenen WAN-Verbindung, wie von IP SLA gemeldet. Die dritte Grafik zeigt die Netflow-Verkehrsauslastung. Die großen Netflow-Spikes korrelieren zu erhöhtem Jitter und RTTs auf dem Datenverkehr, aber der VoIP-Verkehr bleibt immun. Die endgültige Tabelle zeigt, dass der Verkehr, der die Spike verursacht, korrekt als DSCP CS1 markiert wird, der für Scavenger weniger als-best-effort Service verwendet wird. Diese Analyse dauerte etwa eine Stunde zu tun und es beweist, dass VoIP nicht von Nicht-VoIP-Verkehr betroffen ist und dass Netzwerkspitzen richtig als Scavenger markiert werden. Sind Sie sicher, dass das in Ihrem Netzwerk zutreffend ist Anmerkung: Das wwwipsla Verzeichnis von Webview schließt einen IP SLA Überwachungdämon und Reporter ein. Wenn Sie kein anderes Produkt für IP SLA (z. B. Cacti, NetIQ) haben, dann funktioniert das gut. Sicherheitsforensik Das Ad-hoc-Abfrage-Tool ist ein großes forensisches Analyse-Tool. Insbesondere sind die Rohflussberichte chronologisch genau und können millisekundengenauigkeit aufweisen. Es ist wie eine Sniffer-Trace, aber es läuft immer und es gibt keine Kopfschmerzen der Einrichtung von Monitor-Ports, die Einrichtung eines Sammlers, und Umzug um Multi-Megabyte Capture-Dateien. Zugegeben, Netflow zeigt Ihnen keine Nutzlast, aber es lässt Sie scannen durch Millionen von Paketen in Sekunden und schnell herausfinden, was passiert und wann. Ein Webview-Benutzer an einem ISP schrieb den Artikel Mining Netflow zu diesem Thema in Information Security, Jan 2006. Er nutzt es täglich, um Zombies und Malware auf seinen Kunden Maschinen zu verwurzeln. Sprechen Sie über den großen ISP-Service Ein weiterer Webview-User hatte einen SQL-Wurmausbruch, der seinen Antivirus-Systemen entging (der Wurm war nagelneu, aber der Angriffsvektor war bekannt und ungepuffert). Sie haben nur den Wurm erkannt, als ihr Netzwerk gestartet wurde. An diesem Punkt konnten Schnüffler nur sagen, wer gerade infiziert war. Zum Glück konnte Netflow Forensik mit Webview zeigen, dass die Infektion über 24 Stunden früher begann, als ein SQL-Administrator in seinem Laptop mit W32.Toxbot. B infiziert war, der dann Aufträge von einer Schurkenmaschine in Großbritannien erhielt, um den Wurm zu entfesseln das Netzwerk. Netflow forensische Analyse mit Webview kann auch viel über Internetverwendungsverhalten zeigen. ISPs haben es benutzt, um Fragen aus dem Inland zu beantworten (ein Vater, der sich fragt, was der Sohn beim Herunterladen heruntergeladen hat) an die Verbrechenden (Kindentwöhnung, Entführung, Bedrohung anonymer E-Mails usw.). Netflow ist nicht CALEA-konform, aber es ist eine kostengünstige Möglichkeit für Netzbetreiber, die unter dem CALEA-Radar sind, um diese Fragen verantwortungsvoll zu behandeln, wenn sie kommen. Profiling WAN Beschleunigung (WAAS, WAFS, etc.). Viele Unternehmen setzen WAN-Beschleuniger ein, um ihren Verkehr zu beschleunigen. Die meisten WAN-Beschleuniger tunneln alle optimierten Verkehr, was es fast unsichtbar für Netflow auf dem WAN-Router macht. Allerdings ist der voroptimierte Traffic vom WAN Router Netflow verfügbar, wenn WCCP zur Umleitung von Traffic zum Beschleuniger (Beispiel) verwendet wird. Der voroptimierte Traffic steht auch als Netflow vom WAN-Beschleuniger selbst zur Verfügung. Cisco und moderne Riverbed - und Expand-Produkte unterstützen alle transparente Beschleunigung, die den IP-Header jeder Verbindung (Beispiel) bewahrt. In diesen Fällen kann Webview sowohl den Vor - als auch den Nachoptimierungsverkehr pro Kategorie melden. Ltsoapboxgt Es ist erstaunlich, dass viele Unternehmen immer noch 5 oder 15 Minuten Stichprobenintervalle und magische Zahlen wie 60 verwenden, um ihre WAN-Kapazität zu verwalten. Wenn Sie Ihre Netzwerkbenutzer lieben, stellen Sie bitte alle Ihre Bandbreitenüberwachungstools ein, um eine Minute Proben zu verwenden, die ich für einen großen Einzelhandelskunden arbeitete, dessen Point-of-Sale-App zufällig in den Geschäften scheiterte. Das Netzwerk admin bestand darauf, dass die WAN-Links gut waren. Sein Beweis war ein Diagramm von 5-Minuten-Proben, die eine durchschnittliche Auslastung von unter 25 gezeigt haben. Wir haben Netflow eingeschaltet und innerhalb von wenigen Minuten wurde es klar, dass das tatsächliche Verkehrsvolumen 10 war, aber dass ein Microsoft-Replikationsjob die Verbindung hielt Zu 100 für ein paar Minuten jede Viertelstunde. Doh Im gut geführten Unternehmen geht die Kapazitätsplanung weit über eine Makro-Level-Sicht auf den Verkehr in einer Schnittstelle hinaus. Echte Kapazitätsplanung geht es darum, zu verstehen, wie sich einzelne Anwendungen verhalten, wenn sie mit schwächenden Staus konfrontiert sind, und das erfordert eine Mikro-Ebene, die QoS-Richtlinien berücksichtigt. Es geht auch um das Verständnis von schwer zu kontrollierenden Quellen von Staus, wie unerwünschten Internet-Verkehr, Flash-Crowding auf Full-Mesh-MPLS-WANs und VoIP-Return-to-Service nach Stromausfällen. Und vor allem geht es darum, menschliche Toleranz und Überwachung auf dieser Ebene zu verstehen (z. B. wie lange bis der Benutzer auf die Schaltfläche "Aktualisieren" klickt, die Citrix-Sitzung neu startet oder den PC neu startet). Ltsoapboxgt Das heißt, Webview macht einen ziemlich OK Job bei der Kapazitätsplanung. Es kann auch lange Perioden beider Bandbreite verfolgen: und aktive Benutzer: Es gibt auch ein optionales Modul namens Netusage, das für jedes Element Business-Day-Daten extrahiert und eine vereinfachte, managerfreundliche Web-Oberfläche mit einfachen Linepie-Graphen und einfach zu lesen hat Berichtet Es speichert auch seine Daten in MySQL, so dass die Daten mehr zugänglich durch Werkzeuge wie Excel und Access. IT-Migrationen verfolgen Eine nicht offensichtliche Verwendung von Webview ist es, Berichte über IT-Migrationsprojekte zu generieren. Zum Beispiel, die Verfolgung von Benutzern, wie sie von einer Version von Exchange zu einem anderen oder von einem Satz von Netzwerk-Switches zu einem anderen konvertieren. Webview kann dazu beitragen, dass Sie sich in ein Migrationsstatus-Treffen mit einem Arm von Graphen und Berichten auf der Grundlage von realen Daten, die Prozentsatz komplett, Nachzügler, etc. zeigen. Die Projektmanager werden begeistert sein und frage mich, wie der Netzwerk-Kerl in der Lage war zu bekommen So wunderbare daten Routenüberwachung Wenn Netflow direkt von einem Router exportiert wird, enthält es Subnetzinformationen, die aus den Routingtabellen abgelesen wurden. Webview enthält ein optionales Dienstprogramm namens routeMon, das eine MySQL-Tabelle mit dem Exporter, der Schnittstelle, der Zielroute und der Bytezählung ab dem vorherigen Tag verwaltet. Diese Information könnte enorm leistungsfähig sein und ihr wartet nur auf das richtige Problem zu lösen. Aber leider ist das vorherrschende Netzwerkmanagement-Paradigma, die Routingtabelle zu ignorieren und statt auf die Verwaltung von Elementen zu konzentrieren. Bisher war diese gesammelte Streckendaten vor allem für die Prüfung doppelter Strecken und die Gewährleistung, dass sie beabsichtigt sind oder nicht. Z. B. Im folgenden Bericht sind die doppelten Routen unterschiedliche Pfade zu demselben entfernten Büro. Für die Vergleichs-Shopping der Open-Source-Tools, Ill state up-front einige der Webview Netflow Reporter Einschränkungen: Es kann nicht leicht zu generieren Ad-hoc-Grafiken, weil Webviews Paradigma ist es, Kategorien vordefinieren und kontinuierlich grafisch. Zum Beispiel können Sie das Web-Interface nicht verwenden, um beliebige Filterkriterien auszuwählen und in der vergangenen Woche einen Graphen zu erzeugen. NFSen und FlowViewer scheinen diese Fähigkeit zu haben. Webview kann es natürlich tun, aber es braucht derzeit einige Hinter-den-Szenen CLI Arbeit von einem Admin. Begrenzte Unterstützung für Netflow v9Flexible NetflowIPFIX. Der fließende Kollektor unterstützt Netflow v9 Pakete, aber es spart nur v5-kompatible Felder. Dies ist, weil die flow-tools Reporting Engine nur auf diesen Feldern arbeiten kann. So, während Sie Netflow v9 verwenden können und nutzen Sie die Verbesserung der Konfiguration, Kompatibilität und 1 Sekunde Präzision, können Sie nicht verwenden, eine seiner zusätzlichen Felder (IPv6 oder MPLS-Tags). Es ist nicht schön. Wie die Qualität dieser Webseite bezeugen kann, ist der Autor kein Web - oder UI-Designer. Bitte nicht ausgeschaltet werden durch die grau-auf-dunkler grau Thema oder der Mangel an Skins. Obwohl es klobig aussieht, ist die Schnittstelle schnell und funktional. Und jeder Bericht kann Hyperlinks sein, so dass Sie frei sind, ein benutzerfreundlicheres Portal mit Webview zu erstellen, das den Back-End-Inhalt bereitstellt. Es ist nicht in Echtzeit. Einige Pakete zeigen Echtzeit-Ansichten des Flusses, der empfangen wird. Webview ist immer mindestens 5 oder 10 Minuten hinter sich. Es ist nicht für diejenigen, die am meisten interessiert in Peering (Institutionen oder Dienstleister). Es kann sicherlich in diesen Umgebungen verwendet werden, aber Webviews Schwerpunkt ist das Unternehmen mit seiner starken Kategorisierung. Vielleicht möchten Sie stattdessen pmacct oder FlowScan auschecken. Das Web-Interface ist wohl nicht sicher. Es hat Sanitätsprüfungen und Formular Validierung Kontrollen, aber der Code wurde nicht mit Sicherheit im Auge geschrieben. Insbesondere können die Multitenant-Fähigkeiten des Web-Interface nicht kugelsicher sein (Mieter können Daten außerhalb ihrer Zone anzeigen). Es ist nicht ratsam, es dem Internet oder nicht vertrauenswürdigen externen Parteien auszusetzen, es sei denn, es wird von einem Portal vorangestellt. Es ist nicht für Windows. Es tut uns leid. Sie können es sicher auf einer Linux VM unter dem kostenlosen VMPlayer für Windows installieren. Webview läuft auf einem physischen oder virtuellen Linux-Host. Wenn Sie sammeln Netflow auf weniger als 5 Router mit insgesamt weniger als 200 Mbps Verkehr, dann Sizing sollte nicht ein Anliegen sein. Gehen Sie voran und installieren Sie Webview auf einer virtuellen Maschine mit einem vCPU, 512MB RAM und 40-250GB Festplatte und sehen, wie es geht. Wenn Sie viel mehr Strömungsdaten sammeln, dann müssen Sie andere Faktoren berücksichtigen: Flow Exporter zählen - wie viele Geräte senden Flows Flow Exporter Schnittstellen - wie viele komplette Schnittstellen werden in den Durchflussdaten dargestellt Flow Export Rate - - Wie hoch ist das Gesamtvolumen der Durchflussdaten (gemessen in Flows Sekunden) Raw Flow Storage - wie viele Tagewochen von Rohdaten werden online für Ad-hoc-Meldungen gehalten Traffic Kategorie zählen - wie viele verschiedene Arten von Traffic-Kategorien identifiziert werden ( Einschließlich sowohl allgemeine Kategorien wie Video, Web und E-Mail und weitere detaillierte Kategorien wie ungetagte g.711 Audio-und Freds-Entwicklung Server) Auflösung und Geschichte der aggregierten Daten - wie viel Geschichte wird in 1-Minuten-Sampling gespeichert werden, 5- Minute-Probenahme, 60-minütige Probenahme und 24-Stunden-Probenahme. Hier sind einige allgemeine Richtlinien: Die Durchflussrate hängt ganz von den verwendeten Anwendungen ab. Hier sind einige Unternehmensrichtlinien: WAN-Router - etwa 15 Flows Sekunden für jede Mbps der verwendeten Bandbreite (z. B. ein Router mit einer 10 Mbps WAN-Schaltung, die durchschnittlich 5 Mbps der tatsächlichen Nutzung generieren kann 75 Flows Sekunden) Rechenzentrum Schalter - etwa 3 Flows Sekunden pro Mbps. (e. g. a 10 Gbps inter-data center link carrying about 3 Gbps of traffic might generate 9,000 flowssecond. CPU Multi-core processing spreads the processing workload nicely when there are many exporters Higher clock-rates will result in linearly better performance. An AMD Opteron 1.9 GHz or Intel E7-4850 2.0 GHz CPU have been observed processing: default categories - 25,000 flowssecond per core typical custom cagtegories - 10,000 flowssecond per core complex custom categories - 7,000 flowssecond per core Memory 512MB is fine for typical systems handling less than 5,000 flowssecond. For larger systems, allocate 512MB per core plus 4GB if you plan to use rrdcached to optimize the disk IO (see below). Storage. Webview has two very different storage needs: Raw flow warehousing Each raw flow consumes about 18 bytes. E. g. a large network with 50,000 flowssecond will require 74 GB for each day of raw flow history, or 2.5TB for a month of history, The flow data is written just once and read during ad hoc reports run by the web user. The speed of those reports depends on the speed of this disk. Its fine to use cheaperslower SATA drives (tier 2 or tier 3). Aggregate storage (RRD file format) Webviews default aggregation is: one day of 1-minute resolution two weeks of 5-minute resolution 90 days of 60-minute resolution 720 days of 1-day resolution With these defaults, each interface category requires 3MB for aggregate storage. For example, 50 routers with 4 interfaces each and 25 traffic categories would consume about 50 4 25 3MB 15 GB of disk. This aggregate data is stored in RRD files, which: are read and written constantly in the background (the readwrite ratio is 5050) require very high IO Operations Per Second (IOPS) These files should be stored on fast 10K15K RPM SAS drives configured in RAID groups (tier 1 or tier 2). Flash caching would also help rrdcached is an optional utility that reduces the IO burden by using a very large in-memory cache. If needed, ensure that the host has 4-8GB of extra memory. The Webview Netflow package was primarily written by Craig Weinhold (craig. weinhold cdw. com), a Cisco network engineer and CCIE. This software has been developed to address real-world needs in medium and large-size enterprise networks that the author has worked with over the years. This GPLing of this software was supported by the authors employer, CDW. a company that not only moves a lot of boxes through its warehouses, but also provides top-notch IT professional services around Cisco, Microsoft, IBM, NetApp, EMC, and other vendors. Our specialties include unified communications, security, data center, WAN, storage, and systems. Not surprisingly, CDW would be happy to help you with enterprise Netflow design and planning services, including the support of Webview Netflow Reporter. For more information on these commercial services, consult the Contact us page at cdwcontentservicesprofessional-services. aspx. Sourceforge project site last updated: 16-June-2013R. R. Donnelley Sons Company Common Stock Quote Summary Data Real-Time After Hours Pre-Market News Flash Quote Summary Quote Interactive Charts Default Setting Please note that once you make your selection, it will apply to all future visits to NASDAQ. Wenn Sie zu irgendeinem Zeitpunkt daran interessiert sind, auf unsere Standardeinstellungen zurückzukehren, wählen Sie bitte Standardeinstellung oben. Wenn Sie irgendwelche Fragen haben oder irgendwelche Probleme beim Ändern Ihrer Standardeinstellungen begegnen, bitte email isfeedbacknasdaq. Bitte bestätigen Sie Ihre Auswahl: Sie haben gewählt, um Ihre Standardeinstellung für die Zählersuche zu ändern. Dies ist nun Ihre Standard-Zielseite, es sei denn, Sie ändern Ihre Konfiguration erneut, oder Sie löschen Ihre Cookies. Sind Sie sicher, dass Sie Ihre Einstellungen ändern möchten Wir haben einen Gefallen zu bitten Bitte deaktivieren Sie Ihren Anzeigenblocker (oder aktualisieren Sie Ihre Einstellungen, um sicherzustellen, dass Javascript und Cookies aktiviert sind), damit wir Ihnen weiterhin die erstklassigen Marktnachrichten liefern können Und Daten, die du von uns erwarten wirst.