Jak sbírat síťové statistiky: SA Journal 10.2006

Zvažme všechny tyto úrovně v pořadí. Nemáme velký zájem o práci na fyzické úrovni, protože je možné určit, jak dobře kanál funguje, pouze pomocí speciálního vybavení, jako je tester. Výjimkou může být zařízení DSL (modemy, DSLAM atd.), pomocí jeho vestavěných funkcí můžete přijímat informace o stavu rozhraní, statistiky kolizí a další informace. Jak získat tyto informace pro konkrétní zařízení, můžete zjistit v dokumentaci k příslušnému modelu.

Na rozdíl od fyzické vrstvy je kanálová vrstva (v anglické literatuře nazývaná Data Link) mnohem informativnější. Podrobněji se na to podíváme o něco později.

Sběr statistik o síťové a transportní vrstvě je hlavním tématem dneška a většina příkladů se bude týkat právě těchto vrstev.

Zbývající tři úrovně nebudou brány v úvahu. Důvodů je několik: zaprvé rozmanitost různých protokolů pracujících na vyšší úrovni modelu OSI, zadruhé složitost spojená s touto rozmanitostí při shromažďování příslušných statistik, zejména nedostatek prostředků pro záznam paketů odeslaných konkrétním protokolem vysoké úrovně; Obecně existují speciální nástroje vytvořené vývojáři této aplikace pro shromažďování statistik pro určité protokoly na vysoké úrovni.

Když už jsme se rozhodli, jaká statistická data a pro jaké protokoly je třeba shromažďovat, pojďme se nyní rozhodnout pro jaká zařízení, co je třeba sbírat. Jak bylo uvedeno výše, lokální síť obsahuje celou řadu různých zařízení, jako jsou servery, routery, přepínače, firewally atd. Ale každá skupina zařízení funguje na určité úrovni modelu: routery na úrovni sítě, přepínače na úrovni kanálu, servery na úrovni aplikace. Budu se dívat na shromažďování statistik na konkrétních zařízeních pro konkrétní protokoly.

Statistika síťových zařízení

V současné době můžete na trhu najít síťová zařízení od různých výrobců, která mají podobnou funkcionalitu pro svou třídu zařízení. V tomto ohledu se při zvažování příkladů nebudu vázat pouze na jednoho výrobce, ale použiji standardy a technologie společné pro všechny výrobce. Než tedy začneme popisovat konkrétní příklady, podívejme se na prostředky sběru statistik.

Zprávy Syslog jsou prostředky, kterými zařízení hlásí stav běžících procesů, služeb a rozhraní. Ve skutečnosti se systémové zprávy generované zařízením (také nazývané protokoly, protokoly událostí) odesílají hostiteli, na kterém běží služba Syslog (obecně to může být stroj s Linuxem), ze kterého lze za určité období shromažďovat statistiky. Tyto zprávy mohou být buď informační nebo chybové, v závislosti na nastavení protokolování na konkrétním zařízení. Jaké statistiky lze shromažďovat pomocí Syslog?

Například pokud je port deaktivován a zařízení ztratí připojení k určité síti. Dalším příkladem použití Syslogu je protokolování Access Lists. Přístupové seznamy definují, kteří hostitelé a podsítě mohou přistupovat ke konkrétním zdrojům prostřednictvím specifikovaných protokolů na příslušných portech. Dobrým pravidlem při vytváření ACL je „vše, co není povoleno, je zakázáno“. Na základě toho by váš přístupový seznam měl obsahovat pravidlo, které zakáže veškerý provoz, který nebyl povolen (na některých zařízeních je priorita pravidel určena jejich pořadím v seznamu, na jiných – přiřazenou hodnotou priority). Vrátíme-li se k úkolu shromažďovat statistiky, odesíláme informace o všech zakázaných paketech službě syslog na hostiteli speciálně určeném pro tento účel. Navíc je možné logovat informace o paketech jdoucích z internetu do vnitřní sítě a naopak. V prvním případě pomůžeme shromáždit informace o pokusech o neoprávněný vstup do sítě. Ve druhém případě může velký počet paketů přicházejících z vnitřní sítě na uzavřené porty naznačovat, že na některých počítačích uživatelů je nainstalován software, který není v souladu s firemní bezpečnostní politikou, a může mít smysl mluvit s některými uživateli nebo správci.

Kromě shromažďování statistik o zakázaných paketech má však někdy smysl sbírat i informace o povolených. Dovolte mi uvést příklad. Řekněme, že když se pokusíte odeslat dopis z vaší sítě externímu uživateli, váš poštovní server obdrží chybovou zprávu 550 (služba není k dispozici) nebo 450 (služba dočasně nedostupná), ale server příjemce může být normálně testován. To může znamenat, že vaše externí IP adresa byla na černé listině sítí, které odesílají nevyžádané e-maily (spam). V dnešní době je spam často rozesílán bez vědomí majitele počítače pomocí trojských koní, které po infikování stroje z něj udělají malý SMTP server, ze kterého začnou automaticky odesílat spamy do externí sítě. Chcete-li identifikovat infikovanou pracovní stanici, jednoduše se podívejte do souboru protokolu Syslog a zjistěte, ze kterého uzlu byly zprávy SMTP odeslány na blokovaný server. Obecně je nejlepší zakázat připojení na portu 25 pro všechny uzly kromě podnikového poštovního serveru, ale bohužel se to obvykle nedělá, ačkoli by mělo.

Tato služba využívá protokol UDP a je také implementována na téměř všech modelech moderních síťových zařízení.

Dalším nástrojem je služba SNMP, která umožňuje informace o zařízení nejen přijímat, ale i spravovat. S jeho pomocí můžete získat informace o počtu přijatých a ztracených paketů na rozhraní, stavu různých dynamických směrovacích protokolů. Ale pro pohodlnější vizuální znázornění můžete použít speciální aplikace pro sběr statistik pomocí SNMP. Pro vizualizaci statistik je nejlepší použít programy MRTG [1] pro Linux/FreeBSD (viz obr. 1), v případě Windows pak PRTG [2].

Obrázek 1. Statistika vytvořená pomocí MRTG

Tyto programy se snadno používají, k jejich ovládání stačí zadat IP adresu zařízení a komunity.

Začněme tedy přepínači. Jaké statistické informace lze z těchto zařízení získat? Za prvé, SNMP a MRTG lze použít ke sběru a vizualizaci dat o stavu rozhraní. Na základě těchto informací můžeme vyvodit závěry o stupni zahlcení kanálu a rozdílu mezi objemem odeslaných a přijatých paketů. Předpokládám, že se čtenáři zeptají, jak mohou být tyto informace užitečné? Můžete si například udělat představu o běžném zatížení sítě a v případě neočekávaného nárůstu začít hledat zdroj provozu dříve, než bude síť zcela nefunkční.

Další skupinou zařízení, o kterých bych chtěl mluvit, jsou routery. Podobně jako u přepínačů můžete sbírat statistiky z routerů pomocí MRTG. Tato zařízení však také provádějí řadu funkcí na úrovni sítě, které mohou být zajímavé pro sběr statistik. Například již zmíněné dynamické směrovací protokoly: RIP, OSPF, BGP. Všechny tyto protokoly fungují na síťové vrstvě (L3) a jsou zpracovávány směrovači. Statistické informace o stavu paketů pro konkrétní směrovací protokol získáte pomocí nástrojů SNMP přístupem do příslušné pobočky a pomocí databáze MIB daného výrobce zařízení.

Pomocí výše uvedených nástrojů tedy můžete shromažďovat statistiky o síťovém vybavení, které pak mohou být užitečné při odhalování různých problémů, které v místní síti vznikají.

Výše jsme se podívali na příklady shromažďování statistik o směrovačích a přepínačích, zařízeních pracujících na nižších úrovních referenčního modelu OSI. Servery a pracovní stanice se zaměřují na vyšší vrstvy, především na aplikační vrstvu, které se tento článek nevěnuje. Mohou však nastat situace, kdy jsou vyžadovány síťové statistiky pro protokoly nižší úrovně. Pokud například server funguje jako router, propojující několik sítí připojených k různým rozhraním. Existuje také několik způsobů, jak sbírat statistiky.

Za prvé, pro sběr statistik na síťovém rozhraní serveru můžete použít standardní nástroj Windows – čítače výkonu (viz obr. 2).

Obrázek 2. Výstup čítače výkonu

Tyto čítače můžete spustit z konzoly Ovládací panely, poté Správa a výkon. Tato konzola poskytuje několik nástrojů pro monitorování stavu systému: System Monitor, Counter Logs, Trace Logs a Alerts.

“System Monitor” prezentuje data o stavu různých zařízení a aplikací ve formě grafu sestaveného v reálném čase.

“Counter Logs” je nástroj podobný “System Monitor”, pouze s tím rozdílem, že zde se výsledky sledování nezobrazují na obrazovce jako graf, ale ukládají se do souboru.

„Výstrahy“ jsou prostředky, kterými může systém reagovat na určité události. Pokud například počet paketů přijatých na síťovém rozhraní během aktuální relace překročí určitou prahovou hodnotu, můžete provést záznam do protokolu událostí, odeslat zprávu přes síť, spustit protokol výkonu nebo spustit aplikaci. Tento nástroj může být užitečný, pokud je na rozhraní přijato velké množství špatných nebo nerozpoznaných paketů, pokud je překročena prahová hodnota, například 10000 XNUMX, lze na obrazovku odeslat zprávu s časem a datem a lze provést záznam do protokolu událostí. Tyto výstrahy lze použít k upozornění správce systému, aby mohl předejít problémům dříve, než nastanou.

Dalším nástrojem, který lze použít pro sběr síťových statistik, je skript Windows Script Host, který bude shromažďovat informace o počtu přijatých a přenesených paketů a také paketů obsahujících chyby.

Mechanismus působení takového scénáře je vcelku jednoduchý, původní verzi lze nalézt ve zdroji [5]. Navrhuji jej ale trochu upravit, aby byl vhodný pro praktické použití. Abych zautomatizoval proces sběru dat, shromáždím data do excelovského dokumentu, kde první stránka je věnována statistikám TCP, druhá statistikám UDP a třetí statistikám IP. V tomto případě obdržíme následující údaje.

Pro TCP:

• Connection Failures – počítadlo neúspěšných spojení;
• Connection Active Connection Established – počet aktivních spojení;
• Connection Passive – počet pasivních spojení;
• Connection Reset Segments Per Second – segmenty vynechané za sekundu;
• Segments Received Per Second – segmenty přijaté za sekundu;
• Segments Retransmitted Per Second – segmenty znovu přenesené za sekundu;
• Segmenty odeslané za sekundu – segmenty odeslané za sekundu.

Pro UDP:

• Datagrams No Port Per Second – datagramy přijaté na neplatný port za sekundu;
• Datagrams Per Second – datagramy odeslané za sekundu;
• Datagrams Received Errors – přijaté s chybami;
• Datagrams Received Per Second – datagramy přijaté za sekundu.

Pro IP:

• Datagrams Forwarded Per Second – datagramy přenášené za sekundu;
• Datagramy vyřazeny – zamítnuty;
• Datagrams Received Header Errors – přijaté s chybami v hlavičce;
• Datagrams Received Per Second – datagramy přijaté za sekundu;
• Datagrams Received Neznámý port – přijato na neznámém portu;
• Datagrams Sent Per Second – datagramy odeslané za sekundu;
• Fragmenty za sekundu – celkový počet fragmentů (částí datagramů) za sekundu;
• Fragmenty Failures – fragmenty s chybami;
• Fragmenty datagramů za sekundu – fragmenty datagramů za sekundu;
• Fragments Reassembly Failures – neúspěšné pokusy o opětovné složení fragmentů;
• Fragments Created Per Second – fragmenty vytvořené za sekundu;
• Fragments Reassembly Per Second – fragmenty znovu sestavené za sekundu;
• Fragmenty přijaté za sekundu – fragmenty přijaté za sekundu.

Tato statistika vyžaduje určité vysvětlení. Pro protokol TCP jsou měrnou jednotkou segmenty a jsou zde zahrnuta i spojení, protože tento protokol využívá navazování spojení za provozu. Pro UDP v kontextu tohoto scénáře je jednotkou měření datagram. A u protokolu IP se kromě datagramů zohledňují i ​​jejich fragmenty, což umožňuje zohlednit i statistiky zpracování částí dat přenášených tímto protokolem.

Nutno podotknout, že zdroj [5] obsahuje i příklady skriptů pro sběr statistik o protokolech IPSec a IP telefonie. V případě potřeby je tedy lze zahrnout i do následujícího scénáře.

Níže je uveden příklad skriptu, který provádí všechny tyto akce s nezbytnými komentáři.

Výpis 1. Skript shromažďující statistiky protokolů

strComputer = “.” // je použit místní počítač

Set objWMIService = GetObject(“winmgmts:” & “!” & strComputer & “rootcimv2”)

set objRefresher = CreateObject(«WbemScripting.SWbemRefresher»)

// objekty potřebné ke spuštění skriptu

Set colItems = objRefresher.AddEnum _

// objekt, který sbírá data přes TCP

Nastavit colItems1 = objRefresher.AddEnum _

// objekt, který shromažďuje data přes UDP

Nastavit colItems2 = objRefresher.AddEnum _

// objekt, který shromažďuje data IP

objRefresher.Refresh // aktualizuje čítače

Const xlDiagonalDown = 5

Const xlDiagonalUp = 6

Const xlNone = -4142

Const xlContinuous = 1

Const xlThin = 4

Const xlThick = 4

Const xlEdgeLeft = 7

Const xlEdgeTop = 8

Const xlEdgeBottom = 9

Const xlEdgeRight = 10

Const xlInsideVertical = 11

Const xlInsideHorizontal = 12

Const xlAutomatic = -4105

Const xlCenter = -4108

Const ForReading = 1

Const ForWriting = 5

// sada konstant potřebná k vytvoření dokumentu aplikace Excel

Set oE = CreateObject(“Excel.Application”)

// vytvoření nového dokumentu aplikace Excel

// definuje počet stránek

Sada s = oE.Sheets(1)

s.Name = “TCP Statistics”

// název první stránky

Nastavit s1 = oE.Sheets(2)

s1.Name = “UDP Statistics”

// název pro druhou stránku

Nastavit s2 = oE.Sheets(3)

s2.Name = “Statistika IP”

// název pro třetí stránku

// dále jsou uvedeny názvy sloupců

s.Rows(1).RowHeight = 2 * s.StandardHeight

s.Cells(1,1) = “Statistika protokolu TCP”

s.Cells(2,2) = “Selhání připojení”

s.Cells(2,3) = “Připojení aktivní”

s.Cells(2,4) = “Připojení navázáno”

s.Cells(2,5) = “Pasivní připojení”

s.Cells(2,6) = “Reset připojení”

s.Cells(2,7) = “Segmenty za sekundu”

s.Cells(2,8) = “Segmenty přijaté za sekundu”

s.Cells(2,9) = “Segmenty znovu přeneseny za sekundu”

s.Cells(2,10) = “Segmenty odeslané za sekundu”

s1.Rows(1).RowHeight = 2 * s1.StandardHeight

s1.Cells(1,1) = “Statistika protokolu UDP”

s1.Cells(2,2) = “Datagramy bez portu za sekundu”

s1.Cells(2,3) = “Datagramy za sekundu”

s1.Cells(2,4) = “Chyby přijaté datagramy”

s1.Cells(2,5) = “Datagramy přijaté za sekundu”

s2.Rows(1).RowHeight = 2 * s2.StandardHeight

s2.Cells(1,1) = “Statistika protokolu IP”

s2.Cells(2,2) = “Datagramy předávané za sekundu”

s2.Cells(2,3) = “Datagramy byly zahozeny”

s2.Cells(2,4) = “Chyby záhlaví přijatých datagramů”

s2.Cells(2,5) = “Datagramy přijaté za sekundu”

s2.Cells(2,6) = “Neznámý port přijatých datagramů”

s2.Cells(2,7) = “Datagramy odeslané za sekundu”

s2.Cells(2,8) = “Fragmenty za sekundu”

s2.Cells(2,9) = “Selhání fragmentů”

s2.Cells(2,10) = “Fragmenty datagramů za sekundu”

s2.Cells(2,11) = “Selhání opětovného sestavení fragmentů”

s2.Cells(2,12) = “Fragmenty vytvořené za sekundu”

s2.Cells(2,13) ​​​​= “Znovu sestavení fragmentů za sekundu”

s2.Cells(2,14) = “Fragmenty přijaté za sekundu”

// v tomto cyklu se shromažďují statistická data

f=3 // vyplňování začíná od třetího řádku

// v tomto příkladu je pět iterací, ve skutečném scénáři je potřeba mnohem více

// každý prvek pro statistiku TCP

Pro každý objekt objItem v colItems

// datum a čas zadání

// každý prvek pro statistiku UDP

Pro každý objekt objItem v colItems1

// každý prvek pro statistiku IP

Pro každý objekt objItem v colItems2

WScript.Sleep 60000 // pauza na 60 sekund

// uložení excelového dokumentu

oE.Quit // zavřete Excel

Doporučený způsob nasazení tohoto scénáře je jeho spuštění po dlouhou dobu (asi jeden den), během které se shromažďují statistické informace o protokolech na rozhraní.

Jaká data lze s jeho pomocí získat? Například počet IP paketů přicházejících na nesprávný port, příliš vysoký poměr k legitimním paketům, může znamenat, že některá aplikace posílá své pakety na špatnou adresu. To znamená, že lze předpokládat, že se nějaká aplikace pokouší o přístup k internetu, což je v rozporu s firemní bezpečnostní politikou. Může to být trojský kůň. Velké množství paketů s chybami indikuje přítomnost zdroje rušení v síti (například výkonné elektrické zařízení v blízkosti síťového kabelu). Velké množství pasivních TCP spojení také není příliš dobré pro propustnost sítě.

Poskytnutý skript WSH tedy může pomoci při hledání problémů na zadaném hostiteli.

1. http://www.mrtg.org – описание и дистрибутив MRTG.
2. http://www.securitylab.ru/software/download/?page=267148⪙=2596383&file=http://download2.paessler.com/download/prtg.zip – дистрибутив PRTG.
3. K. Balíček. Vytváření sítí Cisco Remote Access Networks. Cisco Press.
4. D. Hucaby Budování Cisco Multi Switching Networks. Cisco Press.
5. http://www.microsoft.com/technet/scriptcenter/scripts/default.mspx?mfr=true – коллекция WSH-сценариев для мониторинга состояния сети.

Ahoj! Jmenuji se Ksenia a jsem produktový manažer ve společnosti SM Lab. Rád bych se podělil o naše zkušenosti se změnou pracovního postupu práce s podniky – to zahrnuje doladění řady procesů, zlepšení koordinace mezi odděleními, dolaďování reportů a obecně spoustu užitečných věcí.

To nám pomohlo výrazně zlepšit interakci marketingu a obchodu při spouštění a realizaci reklamních kampaní. Možná to bude užitečné pro vaše potřeby.

Jak to všechno začalo

Běžecká sezóna byla v plném proudu a marketing potřeboval spustit odpovídající kampaně. To by se ale nemělo dělat jen tak, ale v souladu s marketingovým kalendářem a pomocí strategických segmentů. K vytvoření a výpočtu právě těchto segmentů byla nezbytná mezifunkční interakce mezi týmy. Bohužel v té době se samotný proces jen stěží dal nazvat transparentním pro všechny účastníky a stalo se, co se stalo – strategické segmenty na výstupu byly nevhodné pro spouštění kampaní. A zase je sedět a přepočítávat, včetně přepisování vitrín od nuly, je dost značná mzda.

STATICKÝ

Hlavní věcí v takových situacích je shromáždit normální zpětnou vazbu od účastníků procesu, aby bylo možné identifikovat úzká místa. Shromáždili jsme zpětnou vazbu od marketérů, prodiskutovali to v rámci týmu a uvědomili jsme si, že musíme podrobně popsat všechny detaily procesu. Podrobné a přehledné.

A náš metodik navrhl popsat pracovní postup podle STATIK (System Thinking Approach for Introducing Kanban).

STATIK pomáhá zvažovat téměř všechny aspekty života týmu nebo jednotky, a to jak interně, tak externě. Existuje hlavní přístup, který vám může pomoci problém vyřešit – vzít a popsat zpětně již vyřešený, úspěšně dokončený úkol. Chcete-li to provést, musíte nakreslit vývojový diagram od „Hotovo“ po „Spustit“.

Co to dává

Marketérům umožňuje rychlé spuštění řetězců marketingových kampaní a zvyšuje míru personalizace mailingů.

To pomáhá identifikovat kritéria spokojenosti – v našem případě se ukázalo, že nyní každý účastník procesu doslova rozumí tomu, jaké segmenty chce na konci získat. A velikosti takových segmentů nyní odpovídají kvalitě.

Zde je návod, jak jsme modelovali nový pracovní postup pomocí STATIK

Začali jsme si sami popisovat proces vytváření výkladních skříní strategických segmentů od konce do začátku. To pomáhá identifikovat známé problémové oblasti.

Od všech účastníků workflow jsme sbírali informace o interakci mezi týmy, díky čemuž jsme objevili řadu zajímavých a ne vždy samozřejmých detailů.

Je to jednoduché: čím více otázek položíte, tím více slepých míst můžete objevit.

Nový pracovní postup nám pomohl:

• Popište celý proces krok za krokem
• Identifikujte fáze s mezifunkční interakcí
• Identifikujte osoby odpovědné za každou fázi
• Identifikujte rizika v každé fázi.

• Uspořádali jsme valnou hromadu se všemi účastníky procesu, abychom ověřili implementaci nových segmentací popsaných ve workflow – to pomáhá zvýšit efektivitu celého procesu a snížit náklady týmů na implementaci.
• Vznesli jsme řadu otázek pro všechny účastníky procesu, což nám umožnilo prodiskutovat všechny jemné detaily a učinit proces transparentním pro všechny.
• Zjistili jsme, v jakých fázích je nutné implementovat další schvalování a projednávání, aby všichni stejně pochopili, jaké segmenty budou na výstupu a jak je lze využít k vedení marketingových kampaní.

Konečný přínos

Samozřejmostí je konečný blahodárný efekt od STATICKÝ bude velmi záležet na tom, pro jaký úkol jej používáte.

Pokud budeme mluvit konkrétně o našem případu, byli jsme schopni:

• Ve fázi projednávání segmentů identifikujte potřebu veškeré komunikace v přímé i digitální podobě, zapojte do diskuse kolegy z marketingu.
• Tým strojového učení – k demonstraci obchodní logiky tvorby segmentů pro obchodníky.
• Marketingové kampaně s využitím nových segmentů spouštějte až poté, co byly odsouhlaseny a obhájeny před vedením.

Použili jste STATIK k řešení marketingových nebo rozvojových úkolů? Co se vám (ne)líbí na metodice?