Get best of the week

Verwenden von Flowmon-Netzwerken zur Überwachung der Leistung verteilter Anwendungen und Datenbanken



Artikel vorbereitet von Dmitriy Andrichenko | Vertriebsleiter, Russland & GUS | Flowmon Networks

Willkommen auf der Seite unseres neuen Artikels zur Lösung der Probleme bei der Überwachung der Leistung verteilter Netzwerkanwendungen und Datenbanken. Dieser Artikel ist eine Fortsetzung einer Reihe von Veröffentlichungen zu Flowmon Networks- Lösungen und insbesondere eine Fortsetzung der Überprüfung „ Netzwerküberwachung und Erkennung abnormaler Netzwerkaktivitäten “ unter Verwendung signaturloser Technologien.
Fangen wir also an, aber am Anfang werden wir ein paar Worte über Flowmon Networks und das Problem sagen.

Für diejenigen, die zu faul zum Lesen sind, wird in Kürze ein Webinar zu Flowmon Networks-Lösungen stattfinden .

Flowmon Networks, as


Flowmon Networks ist ein europäischer IT-Hersteller, der in den Quadraten und Berichten von Gartner hervorgehoben wird und sich auf die Entwicklung innovativer Lösungen für Netzwerküberwachung, Informationssicherheit, DDoS-Schutz sowie das Thema unseres heutigen Artikels - Überwachung der Leistung von Netzwerkanwendungen und Datenbanken - spezialisiert hat.

Das Unternehmen hat seinen Hauptsitz in Brno, Tschechische Republik. Für den Endkunden hat dies einen entscheidenden Vorteil - die Möglichkeit, mit Unternehmen auf der Sanktionsliste zusammenzuarbeiten. Lesen Sie hier oder hier mehr über Flowmon Networks .

Aber was ist innovativ an Flowmon-Lösungen? Schließlich ist keiner der oben genannten Bereiche neu auf dem Markt. Firewalls oder Intrusion Detection-Systeme existieren seit langem und erfolgreich, und das Überwachungsthema ist an sich nicht neu. Alles ist wahr, aber wie immer "steckt der Teufel im Detail".

Betrachten Sie beispielsweise das Thema Netzwerkinformationssicherheit. Was fällt mir zuerst ein? Firewall oder vielleicht IDS / IPS? Vielleicht sogar NG Firewall. Das ist richtig, dies ist ein bewährter Klassiker, der jedoch zwei wesentliche Nachteile hat:

  • eingeschränkter Signaturansatz zur Identifizierung von Sicherheitsproblemen,
  • Punktschutz nur auf der Grenzebene von Netzwerksegmenten.

Wir sprechen über die Anwendung heuristischer Analysetechnologie und maschinelles Lernen. Mit anderen Worten: Künstliche Intelligenz. Die Vorteile liegen auf der Hand: Es gibt keine festen Signaturen, die nur dann vor Zero-Day-Angriffen schützen, wenn sie aktualisiert und relevant sind.
Mit einer signaturlosen Analyse können Sie atypische Angriffe auf Anwendungsebene, Abweichungen des Protokollformats vom RFC und viele andere Probleme aufzeichnen, die Administratoren täglich große Kopfschmerzen bereiten.

Darüber hinaus ist der zweite Hauptvorteil nicht nur die Punkt-für-Punkt-Verkehrssteuerung an der „Kreuzung“ von Segmenten oder Perimetern, die durch Standardschutzmittel gelöst wird, sondern die vollständige Kontrolle und „Transparenz“ jeder Netzwerkverbindung im Netzwerk.

Wir schlagen nicht vor, bestehende Abwehrmechanismen zu ersetzen. Wir sagen, dass in einer modernen Welt mit sich ständig weiterentwickelnden Technologien und potenziellen Bedrohungen ein Standard-Verteidigungssatz nicht mehr ausreicht. Wir haben früher hier geschrieben, genau hier.

Eine ähnliche Situation besteht bei der Überwachung der Funktion und Leistung von Netzwerkanwendungen sowie von Datenbanken. Ich glaube, dass jeder mit einer Situation vertraut ist, in der sich Benutzer über die Funktionsweise einer Geschäftsanwendung beschweren, das Problem jedoch nicht gelöst ist. Netzwerkadministratoren behaupten, dass mit dem LAN alles in Ordnung ist, und verweisen auf Probleme in der Anwendung selbst. Anwendungsadministratoren überprüfen den Server, die Ereignisprotokolle und das DBMS, und es stellt sich heraus, dass auch für sie alles funktioniert. Infolgedessen wird das Problem nicht diagnostiziert, auf allen Ebenen „ist alles in Ordnung“, Administratoren „nicken“ einander zu und nichts funktioniert für den Endbenutzer. Was zu tun ist, ist nicht klar. Es passierte? Darüber werden wir heute sprechen.

Lösungsarchitektur


Um die Ansätze und Technologien von Flowmon Networks zur Lösung der Probleme bei der Überwachung der Leistung verteilter Anwendungen und Datenbanken richtig zu verstehen, sollte beachtet werden, dass die gesamte Analyse auf Informationen über den Netzwerkverkehr basiert, der an das System gesendet wird. Einer der Vorteile dieses Ansatzes ist das Fehlen von Agentensoftware auf Workstations und Servern . Natürlich können Sie die Leistung des Solitaire Solitaire nicht messen, aber es ist durchaus möglich, die SQL-Abfrage zu identifizieren, die die Datenbank "aufgehängt" hat, oder die Schaltfläche, nach der die Anwendung hängt.

Im letzten ArtikelWir haben das Produktportfolio von Flowmon Networks und den Installationsprozess des Systems in der virtuellen VMware EXSi-Umgebung bereits untersucht, sodass wir es nicht wiederholen. Der einzige Unterschied in unserem Fall ist die Art des Datenverkehrs. Da keines der Flow-Protokolle Informationen über den Inhalt von Paketen überträgt, die zur Analyse der Funktionsweise von Level 7-Protokollen mithilfe des ISO OSI-Modells erforderlich sind, verwenden wir den gespiegelten SPAN-Port (Switched Port Analyzer) auf dem Switch, um Daten zu erfassen.

In diesem Fall sieht die Lösungsarchitektur ungefähr so ​​aus:



Die Switches spiegeln den erforderlichen Datenverkehr zu einem dedizierten Server (Flowmon Probe), der für die Verarbeitung und Konvertierung in das IPFIX-reiche Format verantwortlich ist. Dieser wird dann zur Speicherung, Korrelation und Analyse an den zentralen Knoten (Flowmon Collector) übertragen. Anstelle des SPAN-Ports können Sie übrigens einen TAP-Verkehrsteiler verwenden:



Die Vorteile dieser Bereitstellungsoption sind:

  • Unabhängigkeit vom Modell und Hersteller von Netzwerkgeräten (Cisco, Juniper, any),
  • Mangel an zusätzlicher Belastung bestehender Netzwerkgeräte,
  • Beibehaltung der vorhandenen logischen Architektur des Unternehmensnetzwerks.

Tatsächlich kann jede Komponente des Systems entweder ein dedizierter Hardwareserver oder eine virtuelle Maschine sein. Im zweiten Fall enthält der Flowmon Collector eine integrierte Flowmon-Sonde, die Leistung ist jedoch natürlich geringer.

Der zentrale Knoten (Flowmon Collector) basiert auf dem Prinzip der modularen Architektur und wird individuell für die Aufgaben jedes Kunden konfiguriert:



Flowmon Collector besteht aus einem Kernsystem (Network Visibility Troubleshooting), das alle Funktionen enthält, die Netzwerkadministratoren zur Überwachung des Datenverkehrs im LAN mit Details für jeden einzelnen benötigen Netzwerkverbindung sowie eine Reihe zusätzlicher und separat lizenzierter Module:

  • ADS-Modul (Anomaly Detection Security) - Erkennung abnormaler Netzwerkaktivitäten, einschließlich Zero-Day-Angriffen, basierend auf heuristischer Verkehrsanalyse und einem typischen Netzwerkprofil;
  • APM-Modul (Application Performance Monitoring) - Überwachung der Leistung von Netzwerkanwendungen ohne Installation von „Agenten“ und Auswirkungen auf Zielsysteme;
  • Traffic Recorder-Modul (TR) - Aufzeichnen von Fragmenten des Netzwerkverkehrs durch eine Reihe vordefinierter Regeln oder durch einen Auslöser des ADS-Moduls zur weiteren Fehlerbehebung und / oder Untersuchung von Informationssicherheitsvorfällen;
  • DDoS Protection (DDoS) -Modul - Schutz des Netzwerkumfangs vor volumetrischen DoS / DDoS-Denial-of-Service-Angriffen.

In diesem Artikel sehen wir uns am Beispiel von zwei Modulen an, wie alles live funktioniert - Fehlerbehebung bei der Netzwerksichtbarkeit und Überwachung der Anwendungsleistung.

Lösung Installation


Wir bereits schrieben über das Thema eine virtuelle Maschine bereitstellen , alles ganz schnell erledigt ist und einfach aus der OVF - Vorlage. Wir werden uns nicht wiederholen, wir erinnern uns nur an die Anforderungen an Systemressourcen:



Auf der Flowmon Collector-Seite besteht der Hauptunterschied zwischen der Überwachung des SPAN-Verkehrs von der NetFlow-Überwachung in der Methode zum Empfangen von Daten. Wenn wir zuvor die Verwaltungsschnittstelle für NetFlow mit unserer IP-Konfiguration verwendet haben, benötigen wir zum Empfangen von SPAN-Datenverkehr die Überwachungsschnittstelle, eine L2-Schnittstelle, die dem dedizierten Hypervisor mit einem dedizierten physischen Port am Servergehäuse zugeordnet ist.



Mit anderen Worten, die Überwachungsschnittstelle ist die in den Flowmon-Kollektor integrierte Flowmon-Sonde.

Der nächste Schritt besteht darin, zu überprüfen, ob der dedizierte Port korrekt konfiguriert und für den Empfang von Datenverkehr auf dem Flowmon Collector bereit ist.



In unserem Fall ist der UDP / 2055-Port unter IPFIX / NetFlow von der Netzwerkausrüstung belegt, sodass wir für den Datenverkehr mit Flowmon Probe den UDP / 3000-Port verwenden. Das Trennen des Datenverkehrs nach Port von verschiedenen Quellen ist nicht erforderlich, aber in Bezug auf Überwachung und Fehlerbehebung bequemer und einfacher.

Als Nächstes konfigurieren wir den Export von Datenverkehr von Flowmon Probe zu Flowmon Collector. Überprüfen Sie dazu im Abschnitt Configuration Center -> Monitoring Ports die aktuellen Einstellungen. Hauptsächlich müssen Sie sicherstellen, dass die Überwachung der erforderlichen Anwendungen von ISO OSI der Stufe 7 aktiviert ist, da sie standardmäßig deaktiviert ist.



Schließen Sie im Idealfall nur die Protokolle ein, die Sie steuern möchten, aber Sie können einfach alles aktivieren.

Wir speichern die Einstellungen und gehen erneut zum Hauptbildschirm des Konfigurationscenters. Sie müssen sicherstellen, dass der Datenverkehr von Flowmon Probe korrekt an den Flowmon Collector gesendet wird.



Überprüfen Sie auch im Abschnitt Flowmon Monitoring Center -> Quellen.



Wir sehen, dass der Verkehr zu fließen begann, das System funktioniert. Sie können direkt mit der Konfiguration des APM-Moduls (Application Performance Monitoring) fortfahren.

Application Performance Monitoring Module (APM)


Wir werden uns damit befassen, was genau und genau wie wir kontrollieren werden. Welche Parameter steuert Flowmon APM?

  • Analyse problematischer HTTP- und SQL-Abfragen, Fehlercodes für Anwendungsserver und Datenbankantworten,
  • Verzögerungen und Paketverluste, die während der Client-Server-Interaktion sowie bei der Interaktion von Anwendungsservern untereinander und mit Datenbankservern auftreten,
  • Informationen zu jeder Transaktion (Nummer, Größe, Zeit, IP-Adresse, Sitzungs-ID, Benutzername ...) sowie eine Liste problematischer Transaktionen mit SLA-Verstößen,
  • Reaktionszeit der Anwendung (max, min, Durchschnitt, Prozentsatz ...) und Übertragungszeit auf Transportebene,
  • Anzahl gleichzeitiger Benutzersitzungen, ...



Welche Protokolle unterstützt Flowmon APM?

  • HTTP 1.1, HTTP 2.0, SSL und TLS,
  • SQL (einschließlich MSSQL, Oracle, PostgreSQL, MySQL, MariaDB),
  • E-Mail (einschließlich SMTP, IMAP, POP3),
  • VoIP SIP,
  • DHCP, DNS, SMB (einschließlich v1, v2, v3), AS, NBAR2,
  • SCADA / IoT (einschließlich IEC 60870-5-104).

Infolgedessen berechnet das System für jede überwachte Anwendung oder Datenbank den Wert der APM-Indexmetrik, der von 0 bis 100 variiert und vom aktuellen Status des Dienstes abhängt. Je höher der metrische Wert, desto besser.



Eine anpassbare Oberfläche basierend auf Widgets und Dashboards ermöglicht es dem Administrator, das System individuell für sich selbst anzupassen und genau die APM-Indexmetriken zu steuern, die er benötigt. Im folgenden Beispiel steuert das System das Internetportal (WebEshop) und seine Datenbank (MySQL_DB).



In diesem Beispiel ist die Leistungsanalyse in drei Blöcke unterteilt:

1. Die Gesamtleistung der Anwendung und der Datenbank am letzten Tag.



Der Vollständigkeit halber wird der Anwendungsleistungsindex zusammen mit dem Datenbankleistungsindex angezeigt. Dies ist praktisch genug, um Fehler zu beheben und zu verstehen, in welchem ​​Bereich das Problem auftritt.

In unserem Fall ist der Datenbankleistungsindex beispielsweise in Ordnung, er beträgt 96,839 von 100. Es gibt jedoch offensichtliche Probleme mit der WebEshop-Anwendung. Der Index beträgt nur 63,761 von 100.

Sie können sofort den Grund für diese Bewertung erkennen - eine hohe Antwortzeit auf Benutzeranfragen. Die durchschnittliche Zeit beträgt 21,148 Sekunden und das Maximum beträgt 151,797 Sekunden. Wenn Sie der Administrator einer Online-Anwendung sind, werden Sie verstehen, dass nur wenige Benutzer warten, bis die Seite 2,5 Minuten geladen ist ... Nun, wenn dies einmal vorkommt und der Benutzer 2-3-4 ... Seiten aufrufen muss? Das ist schon ein Problem.

2. APM-Index für den letzten Tag.

In diesem Abschnitt ist alles ganz einfach und klar. Es zeigt das Verhältnis der Anzahl der Abfragen zum gesamten APM-Index der Anwendung oder Datenbank an.



Jedes Element des Dashboards ist interaktiv und anklickbar. Alles folgt dem Drilldown-Prinzip. Wenn Sie einen interessanten Bereich in der Tabelle auswählen, können Sie eine Ebene darunter „scheitern“, um detailliertere Informationen zu erhalten.



Wenn Sie das Zeitintervall auswählen, in dem das Problem behoben wurde, findet der Administrator schnell Antworten auf die folgenden Fragen:

  • Welche SQL-Abfragen wurden zu diesem Zeitpunkt ausgeführt?
  • Welche und wie viele Benutzer haben mit dem System gearbeitet?
  • Wie hat das System auf Benutzeranfragen reagiert?
  • Was war die Reaktionszeit und die Systemverzögerung?
  • Wie korrelieren Anwendungsprobleme mit der Datenbankinteraktion?
  • Wie funktioniert das System mit einem bestimmten SLA?
  • und vieles mehr…

3. Die fünf langsamsten Abfragen am letzten Tag.

Ein modernes HTTP-Portal oder eine WEB-Anwendung ist ein komplexes und komplexes Programm. Wie jede andere Anwendung besteht sie aus verschiedenen Seiten und Modulen, die nicht immer von einem Programmierer geschrieben wurden. Sehr oft ist eine moderne Site eine CMS-Engine, auf der Dutzende von Modulen von Drittanbietern installiert sind, die die Grundfunktionalität erweitern. Manchmal funktionieren diese Module gut und manchmal nicht sehr gut. Es ist nicht immer möglich, schnell zu verstehen, wo das Problem auftritt, und die Fehlerbehebung dauert mehr als eine Stunde oder einen Tag.

Mit Flowmon APM wird alles transparent.



Wenn Sie an weiteren Details interessiert sind, klicken Sie auf das Symbol "Lupe" und erhalten Sie die Details. Zum Beispiel für eine HTTP-Anwendung:



Oder für eine Datenbank:



Natürlich wird alles in CSV exportiert, Felder und Spalten können angepasst werden, Filter können gespeichert werden.

Die beschriebenen Widgets sind ein Beispiel für Standardeinstellungen. Bei Bedarf kann das System für einzelne Aufgaben angepasst werden - erstellen Sie Ihre eigenen Dashboards und zeigen Sie diese auf dem Hauptbildschirm an. Beispiel: Datenbankantwortfehlercodes:



Oder HTTP-Fehlercodes:



Außerdem möchten wir Sie auf einen wichtigen Punkt aufmerksam machen - die proaktive Überwachungsfunktion. Das System „hört“ und analysiert nicht nur den Verkehr im passiven Modus, sondern emuliert auch unabhängig die Interaktion eines „virtuellen“ Benutzers mit dem System. Dieser Ansatz wird als synthetische Benutzer bezeichnet und ermöglicht es Ihnen, den Status der Anwendung automatisch zu überprüfen und ein Problem zu dem Zeitpunkt zu erkennen, zu dem es gerade erst auftritt, und nicht nach den ersten Beschwerden von Benutzern. Zu diesem Zweck werden beispielsweise geplante Skripts konfiguriert, um die Verfügbarkeit, Funktionalität und Antwortzeit von Anwendungen zu überprüfen.

Was ist das Ergebnis?


Dieses Beispiel ist eine klare Demonstration der Funktionen des Systems und insbesondere des APM-Moduls (Application Performance Monitoring). Ich kann nicht sagen, dass die Arbeit mit Flowmon APM die Fehlerbehebung zum Vergnügen macht, aber es ist sicher, dass dieser Prozess vereinfacht und viel schneller ist.

Haben Sie Fragen oder möchten Sie das System testen? Wir helfen Ihnen, kontaktieren Sie uns .

Wir fassen zusammen, welche Schlussfolgerungen wir unter dem Strich über Flowmon ziehen können:

  • Flowmon - Premium-Lösung für Firmenkunden;
  • Aufgrund seiner Vielseitigkeit und Kompatibilität ist die Datenerfassung von jeder Quelle verfügbar: Netzwerkgeräte (Cisco, Juniper, HPE, Huawei ...) oder proprietäre Sonden (Flowmon Probe);
  • , ;
  • ;
  • «» – ;
  • Flowmon – , 100 /;
  • Flowmon – ;
  • / .

Wir möchten Sie auch zu unserem Webinar einladen, das sich mit den Lösungen des Anbieters von Flowmon Networks befasst . Zur Vorregistrierung registrieren Sie sich bitte hier.

Das ist alles für jetzt, danke für dein Interesse!

More articles:


All Articles