全流量分析,能为我做什么?
在生活中遇到问题,我们的第一反应可能是拿出手机拍照记录,方便后续处理。这些问题是临时的、突发的。
流量分析,就是网络中的“手机”,针对突发的网络故障和安全事件,把这个时间段的数据包“拍照”保存,再进一步分析定位。
全流量分析,则是网络中的“摄像头”,它的“全”在于7*24小时不间断“录制”数据报文。实现全流量采集与存储、全流量回溯、全行为分析,敏锐感知异常行为,让数据检测无死角。
监测全链路业务,提供三大价值
全链路业务是指从用户发起请求到服务器响应的整个过程,包括网络传输、服务器处理、数据库查询等各个环节。通过对全链路业务的监测,可以实现:
价值1:业务故障问题界面判定
重要业务无法访问或访问延迟高,如何判断是网络故障、应用故障还是安全攻击?
某市烟草公司需要对机房环境进行7*24小时监控,并定期将监控数据同步至省公司的动环监控系统。
每天早上9-10点,某市烟草公司的动环应用都会与省公司断开连接并告警,而网络厂商、安全厂商、动环系统厂商、运营商均反馈正常,无法找到断连原因。
全流量分析产品,在某市烟草公司的出口设备和内网核心设备上镜像三路流量,进行全流量存储与分析。通过多次流量回溯和验证,得出如下结论:
1、告警期间,网络流量没有波动,验证网络本身没有问题。
2、内网应用的流量占用均正常,验证告警不是其他应用造成的。
3、动环应用的连接稳定性明显变差,推断告警产生的机制,并给出动环应用配置优化建议。
“全流量”的核心价值是,帮助用户解决日常运维中的业务故障和网络问题,而不仅仅是厘清责任。
- 全流量存储让回溯具有可行性,无需各方技术人员蹲点现场,等待故障复现。
- 涵盖所有业务应用产生的流量,为复杂分析提供全面信息,降低对供应商的依赖风险。
- 基于实时流量的分析结果客观真实,协助厘清责任。
价值2:网络问题分析“四步走”
网络间歇卡顿或异常断线,如何快速定位故障点?
国投某港口现网有1500路IPC(网络摄像机),每个2M码流,每天共生成原始视频数据30T左右。
办公网PC在访问监控中心调取视频的过程中,经常出现断开连接、列表加载卡顿、无法连接平台等问题。多次召集各厂商联查,未找到问题原因。
“四步走”分析法
第一步:异常指标流量分析。
第二步:多维异常指标排名。
第三步:多级下钻关联原始会话。
第四步:在线分析与回溯取证。
全流量分析产品,通过流量回溯和对比,分析网络线路的传输质量,并对监控客户端与服务器进行针对性回溯分析。还原监控平台和客户端之间的保活机制,判定为应用自身问题导致。
“全流量”可以帮助运维人员,提高故障定位效率、清晰界定责任、充分留存证据,同时解决链路黑管问题。
- 视频卡顿或业务故障问题,均可通过相关性能指标分析,给出问题分析方向。
- 能够看见办公网流量组成,看清网络中跑着哪些应用流量,将流量可视化呈现。
- 全流量回溯提供问题原始数据,作为判断依据,让变更优化有据可依。
价值3:安全事件取证与溯源分析
上级单位通报,自身网络向境外传输大量不明流量,可以如何处置?
针对这样的等保合规场景,某省电力公司实现:
1、流量调度系统采集本部流量和日志,根据不同业务场景需求,进行流量调度管理。
2、网络运行监测系统对本部、分公司的网络设备进行数据采集,采用SNMP、Syslog等通用协议或SSH方式,采集网络设备的配置、策略和日志,对各单位网络设备进行监控分析。
3、全流量探针监测管理中心,对全流量存储分析溯源探针进行集中配置、下发和管理。
4、流量调度系统将流量调度至网络运行监测系统,实现设备运行监测、性能监测、链路传输运行监测、自动生成拓扑及巡检等功能。
5、网络故障或业务系统响应慢时,回溯原始流量,联动网络运行监测系统,快速分析、溯源并处置问题,实现问题原因发现、问题数据留存、责任界限明确。
6、采集分公司的全流量存储分析溯源探针的数据,对探针的历史流量进行统一检索和分析取证,为网络运营提供支撑。
全流量分析产品,在等保合规场景中,还可以实现:
- 网络行为审计:结合流量分析进行溯源取证,实现网络行为和数据报文的关联。
- 文件还原:支持从HTTP、FTP、邮件等不同协议的流量中进行文件还原,当发生文件外发的泄密事件时,能够快速溯源审计,对数据流转进行动态监测,助力实现数据安全。
