如果您想知道如何分析網(wǎng)絡(luò)流量,那么您來對地方了。

分析網(wǎng)絡(luò)流量可能會令人生畏。

它涉及收集、存儲和監(jiān)控遍歷您的本地、混合或多云基礎(chǔ)架構(gòu)的所有數(shù)據(jù)。

您需要可視化和搜索這些數(shù)據(jù)以進行網(wǎng)絡(luò)規(guī)劃和設(shè)計。

當(dāng)出現(xiàn)問題時,您還需要通知以有效地進行故障排除。

所以可能需要處理很多事情。

為了幫助您對整個事情感覺更好,讓我們分解您需要采取的步驟。

第 1 步：確定您的數(shù)據(jù)源。

第一步是找出網(wǎng)絡(luò)上的內(nèi)容。

如果你不知道它存在,你就無法分析和監(jiān)控它。

這一步有兩個部分。

確定數(shù)據(jù)源類型。

您需要識別和分類可以從中收集數(shù)據(jù)的來源類型。

有應(yīng)用程序、桌面、服務(wù)器、路由器、交換機、防火墻等等。

這些中的每一個都可以提供 您可以收集用于分析的各種指標(biāo)。

確定識別方法。

接下來,您需要確定可用于識別數(shù)據(jù)源的最佳方法。

您可以使用手動或自動方法。

手動方法涉及篩選拓?fù)鋱D和其他文檔,但它們很快就會過時。

所以考慮使用 應(yīng)用程序和網(wǎng)絡(luò)發(fā)現(xiàn)的自動化方法。

常見的自動發(fā)現(xiàn)方法包括使用 SNMP、Windows Management Instrumentation (WMI)、基于流的協(xié)議和事務(wù)跟蹤。

現(xiàn)在執(zhí)行此操作將在以后幫助您找到應(yīng)用程序和網(wǎng)絡(luò)依賴項并最大限度地提高基礎(chǔ)架構(gòu)的可見性。

第 2 步：確定從數(shù)據(jù)源收集數(shù)據(jù)的最佳方式。

下一步是找出從數(shù)據(jù)源收集所需數(shù)據(jù)的最佳方法。

收集網(wǎng)絡(luò)流量數(shù)據(jù)的方法大致有兩種：使用代理和不使用代理。

基于代理的集合。

使用代理收集數(shù)據(jù)涉及在數(shù)據(jù)源上部署軟件。

代理可以收集有關(guān)正在運行的軟件進程、系統(tǒng)資源性能和入站/出站網(wǎng)絡(luò)通信的信息。

雖然基于代理的收集可以提供非常精細(xì)的數(shù)據(jù),但它也會產(chǎn)生處理和存儲問題。

無代理收集。

在沒有代理的情況下收集數(shù)據(jù)涉及使用數(shù)據(jù)源已支持的流程、協(xié)議或API 。

無代理收集包括網(wǎng)絡(luò)設(shè)備上的 SNMP 和 Windows 服務(wù)器上的 WMI 等方法。

防火墻上啟用的 Syslog 有助于識別安全事件,基于流的協(xié)議有助于識別流量。

無代理收集并不總是產(chǎn)生像代理收集那樣細(xì)化的數(shù)據(jù),但它可以很好地為您提供正確分析網(wǎng)絡(luò)流量所需的用戶和系統(tǒng)數(shù)據(jù)。

第 3 步：確定任何收集限制。

一旦您了解了您的數(shù)據(jù)源以及從中提取網(wǎng)絡(luò)流量數(shù)據(jù)的最佳方式,就很容易開始行動。

但是您的組織可能對管理基礎(chǔ)設(shè)施的內(nèi)容和方式有規(guī)則和限制。

不事先確定任何這些要求將對您分析網(wǎng)絡(luò)流量的能力產(chǎn)生不利影響。

因此,請務(wù)必確定是否有任何端口需要打開以供收集,例如。

還要確保在開始數(shù)據(jù)收集之前確定是否需要部門批準(zhǔn)。

這可以幫助您通過從網(wǎng)絡(luò)的其他部分收集數(shù)據(jù)來打破孤島。

想想您的組織所在的行業(yè)。

醫(yī)療保健 或 金融等高度監(jiān)管的行業(yè)可能不允許您收集某些類型的數(shù)據(jù),或者可能要求您將數(shù)據(jù)存儲更長時間。

擁有更多的歷史數(shù)據(jù)有助于網(wǎng)絡(luò)流量分析,但這會占用存儲空間。

因此,請注意任何限制或管理數(shù)據(jù)收集的規(guī)則。

第 4 步：開始小而多樣的數(shù)據(jù)收集。

下一步是啟用您的數(shù)據(jù)源進行收集。

這里的關(guān)鍵是從一組不同的數(shù)據(jù)源開始,尤其是在您運行大型網(wǎng)絡(luò)的情況下。

這將有助于在您擴大網(wǎng)絡(luò)覆蓋范圍之前識別任何系統(tǒng)的問題。

例如,您最不想做的就是從所有 Windows 服務(wù)器收集數(shù)據(jù),然后發(fā)現(xiàn)某些服務(wù)器組不斷崩潰。

因此,從多元化的團隊開始,然后從那里擴展。

第 5 步：確定數(shù)據(jù)收集目標(biāo)。

您需要確定要收集的所有數(shù)據(jù)的目的地。

可以使用專用硬件或虛擬設(shè)備來存儲網(wǎng)絡(luò)流量。

在您的物理或虛擬設(shè)備上安裝監(jiān)控軟件也是一種選擇。

考慮網(wǎng)絡(luò)的規(guī)模和復(fù)雜性。

例如,如果大部分包括虛擬設(shè)備,則虛擬設(shè)備可能更合適。

如果您的組織仍然主要使用本地物理基礎(chǔ)設(shè)施,那么硬件設(shè)備可能是更好的選擇。

避免使用虛擬設(shè)備來監(jiān)控該網(wǎng)絡(luò)內(nèi)繁忙的虛擬網(wǎng)絡(luò)。

網(wǎng)絡(luò)流量存儲的目標(biāo)設(shè)備決定了您如何分析它。

例如,無法通過 Web UI 查看數(shù)據(jù)的設(shè)備使分析變得更加困難。

如果你有一個軟件組件,你的生活會更輕松,因為它可以幫助你分析和收集數(shù)據(jù)。

第 6 步：啟用持續(xù)監(jiān)控。

分析網(wǎng)絡(luò)流量通常不是一次性事件。

有時您需要對特定問題進行故障排除,例如意外的安全漏洞或突然的鏈接故障。

您可能還需要幫助分析來自網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)流量,盡管您做了上述所有努力,但仍無法訪問或限制監(jiān)控。

在這些情況下,您可能需要收集和分析一次或特定時期的流量。

但要正確分析網(wǎng)絡(luò)流量,您需要持續(xù)監(jiān)控基礎(chǔ)架構(gòu)并收集數(shù)據(jù)。

持續(xù)監(jiān)控對于實時和歷史流量收集至關(guān)重要。

因此,請務(wù)必使用您在上一步中選擇作為網(wǎng)絡(luò)流量目標(biāo)的任何解決方案啟用持續(xù)監(jiān)控。

第 7 步：查看和搜索收集的數(shù)據(jù)。

分析網(wǎng)絡(luò)流量涉及篩選千兆字節(jié)或更多的數(shù)據(jù)。

你必須查看、搜索并理解這一切。

也許您是終端向?qū)?可以通過 grep 找到您要查找的內(nèi)容,并且您認(rèn)為存儲在服務(wù)器或該設(shè)備上的文本文件可能沒問題。

但是 流量分析涉及能夠?qū)⒕W(wǎng)絡(luò)數(shù)據(jù)分類到應(yīng)用程序、字節(jié)大小、協(xié)議、IP 子網(wǎng)等桶中。

通過命令行來做到這一點并不容易。

因此,您需要確保有一個監(jiān)控解決方案來查看所有收集的數(shù)據(jù)。

能夠通過儀表板和報告可視化網(wǎng)絡(luò)流量可以大大減少解決應(yīng)用程序問題所需的時間。

這將幫助您確定誰是您網(wǎng)絡(luò)上的主要談話者以及他們正在經(jīng)歷什么。

它可以幫助您找到最常用的應(yīng)用程序以及它們遇到的問題。

通過采取此步驟,您還可以找到可以擺脫的低帶寬網(wǎng)絡(luò)連接以節(jié)省資金。

第 8 步：設(shè)置警報。

最后一步是確保在出現(xiàn)問題時收到通知。

您不能整天坐在屏幕前查看儀表板和報告。

因此,您需要配置監(jiān)控解決方案,以便在出現(xiàn)問題時提醒您。

警報通常通過電子郵件發(fā)送,但您也可以通過從 Netreo 等監(jiān)控工具獲得的集成來提醒自己和您的團隊。

無論您使用哪種監(jiān)控工具,它都必須發(fā)送正確的警報,這樣您才能避免警報疲勞。

不要忘記還設(shè)置 自定義閾值。

正確的監(jiān)控工具應(yīng)該能夠幫助您 檢測異常,但您最了解您的網(wǎng)絡(luò)。

如果您知道某些端口不允許通過防火墻,則應(yīng)為此創(chuàng)建警報閾值。

即使該工具是新部署的,它仍然可以幫助您了解何時出現(xiàn)問題,并且您可以開始深入挖掘。

遵守這些規(guī)則。

如果您按照上述步驟操作,那么應(yīng)該對您的整個團隊表示足夠的祝賀。

因為歸根結(jié)底,分析網(wǎng)絡(luò)流量是一項團隊游戲。

因此,請實施這些步驟并幫助您的IT 團隊成員也這樣做。

這樣,您的整個團隊都可以從了解如何分析網(wǎng)絡(luò)流量中受益。