Deep Packet Monitoring

  • "deep dive"  in den Inhalt von Tausenden von PCAP-Trace-Dateien in einem einzigen Dashboard
  • Verwenden der Shark-Syntax zum Aktivieren von mehr als 100.000 Protokollfeldern
  • Massen von Daten einfach organisieren,  aggregieren, analysieren und  priorisieren.
  • Gruppiert Metriken in 3 Hauptkategorien - Anwendung - Verbindung oder Netzwerk
  • ermöglicht eine schnelle Zuordnung von Fehlern und Vorfällen
  • Daten werden in SQL Datenbank gespeichert - lange Daten-Historie

Warum Sharkmon?

IT Data sind Netzwerkdaten – Netzwerkpakete durchlaufen die gesamte IT-Lieferkette – und transportieren Informationen über Status und Performance zwischen Endpunkten: DNS- und LDAP-Codes und -Zeiten, Netzwerk- und Anwendungsperformance, Server Responsetimes & Return Codes, Frontend / Backend Performance – oder jeder Inhalt eines lesbaren Pakets.

Wenn die Anwendung langsam oder nicht erreichbar ist, können die Ursachen oft in diesen Paketen gefunden werden.

 

Sharkmon auf einen Blick

  •  Langzeit Daten-importieren Sie große pcap Daten für Stunden, Tage und Wochen – ermöglicht durch verschiedenste Trace tools, wie Tcpdump, Tshark oder einem Fanggerät
  • Automatische Analyse – analysiere Tausende sequentielle Daten durch Verwendung von anpassbaren Experten Profilen
  • Profiles beinhalten Protokolle, Filter, Metriken , Auswertungs-Logik und Schwellwerte 
  • Incidents – Erstellen von Incidents basierend auf variablen Schwellenwerten pro Objekt
  • Langzeit Perspektive – visualisierte Incidents und rohe Daten in smart Dashboards, über Stunden, Tage Wochen und Monate
  • Incident correlations – Exportieren von Incidents in Service Managment, dadurch wird es ein Teil des Correlation Framework
  • Automatisierung – der Analyse Schritt für Schritt

 

 

Langzeit Monitoring - or single tracefile Analysis

Tracefiles werden idR. manuell  analysiert – jedes einzeln. selbst die Auswertung eines kurzen Zeitraumes von wenigen Minuten braucht viel Zeit und Wissen. 

Um Stunden oder Tage zu analysieren,  müssen viele Trace-Dateien generiert und ausgewertet werden. Dies kann nicht mehr manuell geschehen.

Mit SharkMon kann der Nutzer eine große Anzahl von Tracefiles erzeugen oder die Dateien von Servern, Cloud-Instanzen oder Capture-Devices importieren. 

Intelligente Dashboards

Durch Auswertung der Daten  kann der Nutzer erkennen:

  •  Gibt es kritische Vorkommnisse
  • Kategorie der Vorkommnisse - Application or Network ? 
  • Welche Metrik hat das Problem verursacht
  • Welcher Schwellwert wurde überschritten
  • Direkter Zugang zu den Trace Files
  • Drilldowns und spezifische Kategorien

Deep Analysis

SharkMon verwendet Wireshark Display Filter.

Wireshark bietet für jedes Protokoll entsprechende Filter ud Metriken, die in Sharkmon definiert werde können - das was normal ist, und welcher Parameter oder Counter als kritisch gilt. Jede dieser Werte kann als Kriterium für Sharkmon Analyse definiert werden. Auch Abweichungen vom Normal werden erkannt.

 

Analyse Profile

Ein Profil ist eine Konfiguration aus definierten Protokollen, Metriken und Filtern.  Diesen Merkmalen können Symptom-Trigger hinterlegt werden - bei Auftreten einer definierten Kondition - kann ein Symptom als warning/critical hinterlegt werden.  

Wenn zB.  TLSim Netz verwendet wird, kann TLS1.2/3  als Bedingung definiert werden. Das Vorkommen von anderen SSL Versionen als Symptom festgestellt werden.

 Ob das Überschreiten einer definierten Zeit, wie zB. DNS Response, oder eines Counter in einem Protokoll-Feld -praktisch kann jedes Protokoll-Feld in Wireshark als Monitoring-Metrik verwendet werden. 

Szenarios

Sharkmon Szenarios organisieren die verschiedenen Analyse- Informationen in einem Prozess:  

  • Objekt – Was wird analysiert
  • Bedingungen – Filter, Bedingungen, Zeit
  • Daten Quellen – PCAP Daten, Dateien Ordner, Up-Stream oder Capture Appliances
  • Intelligenz – Welches Analyse Profil sollte verwendet werden

.

 

Korrelationen

Paket-Daten widerspiegeln eine sehr wichtige Perspektive, die Service-Qualität aus der Sicht der Protokolle.

Diese Sicht kann und muss oft angereichert werden mit Daten aus dem Netzwerk- oder System Management.  

So ist die Shark-Informationen über viele Retransmissions eine wichtige Information und erklärt die schlechte Antwortzeit. Dass jedoch der Router auf der Netzwerk-Strecke eine hohe Discard-rate ausweist, macht das Bild erst vollständig.

Die Informationen aus Sharkmon können in SLIC - der  Plattform für technologie-übergreifende Korrelation - mit anderen Datenquellen  korreliert werden, um Ursache und Wirkung aufzuzeigen.