Get best of the week

Menggunakan Flowmon Networks untuk Memantau Kinerja Aplikasi dan Basis Data Terdistribusi



Artikel disiapkan oleh Dmitriy Andrichenko | Eksekutif Penjualan, Rusia & CIS | Flowmon Networks

Selamat datang di halaman artikel baru kami tentang pemecahan masalah pemantauan kinerja aplikasi jaringan dan basis data. Artikel ini adalah kelanjutan dari serangkaian publikasi yang ditujukan untuk solusi Flowmon Networks dan, khususnya, kelanjutan dari tinjauan " Pemantauan Jaringan dan Deteksi Aktivitas Jaringan Abnormal " menggunakan teknologi tanpa tanda tangan.
Jadi, mari kita mulai, tetapi pada awalnya kami akan mengatakan beberapa kata tentang Flowmon Networks dan masalahnya.

Bagi mereka yang terlalu malas untuk membaca, webinar tentang solusi Flowmon Networks akan segera diadakan .

Flowmon Networks, sebagai


Flowmon Networks adalah produsen TI Eropa yang disorot dalam kuadrat dan laporan Gartner, yang berspesialisasi dalam pengembangan solusi inovatif untuk pemantauan jaringan, keamanan informasi, perlindungan DDoS, serta topik artikel kami hari ini - memantau kinerja aplikasi jaringan dan basis data.

Perusahaan ini berkantor pusat di Brno, Republik Ceko. Untuk pelanggan akhir, ini memiliki satu keuntungan utama - kemampuan untuk bekerja dengan perusahaan dalam daftar sanksi. Baca lebih lanjut tentang Flowmon Networks di sini atau di sini .

Tapi apa yang inovatif tentang solusi Flowmon, Anda bertanya? Bagaimanapun, tidak satu pun dari area di atas yang baru di pasar. Firewall atau sistem deteksi intrusi telah lama dan berhasil ada, dan topik pemantauan itu sendiri bukanlah hal baru. Segalanya benar, tetapi, seperti biasa, "iblis ada dalam perinciannya."

Pertimbangkan, misalnya, topik keamanan informasi jaringan. Apa yang terlintas dalam pikiran pertama? Firewall atau mungkin IDS / IPS? Mungkin bahkan NG Firewall. Benar, ini klasik yang terbukti bagus, tetapi memiliki dua kelemahan signifikan:

  • pendekatan tanda tangan terbatas untuk mengidentifikasi masalah keamanan,
  • perlindungan titik hanya pada tingkat batas segmen jaringan.

Kita berbicara tentang penerapan teknologi analisis heuristik dan pembelajaran mesin. Kecerdasan Buatan, dengan kata lain. Keuntungannya jelas - tidak ada tanda tangan tetap yang melindungi terhadap serangan zero-day hanya jika diperbarui dan relevan.
Analisis tanpa tanda tangan memungkinkan Anda merekam serangan tingkat aplikasi yang tidak lazim, penyimpangan format protokol dari RFC, dan banyak masalah lain yang menyebabkan banyak sakit kepala bagi administrator setiap hari.

Selain itu, keuntungan utama kedua bukan hanya titik kontrol lalu lintas di "persimpangan" segmen atau perimeter, yang diselesaikan dengan cara perlindungan standar, tetapi kontrol total dan "transparansi" dari setiap koneksi jaringan dalam jaringan.

Kami tidak mengusulkan untuk mengganti pertahanan yang ada, kami mengatakan bahwa di dunia modern dengan teknologi yang terus berkembang dan ancaman potensial, satu set pertahanan standar tidak lagi cukup. Kami menulis tentang ini sebelumnya, di sini.

Situasi serupa adalah dengan tugas-tugas pemantauan fungsi dan kinerja aplikasi jaringan, serta basis data. Saya percaya bahwa setiap orang akrab dengan situasi di mana pengguna mengeluh tentang fungsi aplikasi bisnis, tetapi masalahnya tidak terpecahkan. Administrator jaringan mengklaim bahwa semuanya sesuai dengan LAN dan merujuk ke masalah dalam aplikasi itu sendiri. Administrator aplikasi memeriksa server, log peristiwa, DBMS, dan ternyata semuanya berfungsi juga untuk mereka. Akibatnya, masalahnya tidak didiagnosis, di semua tingkatan "semuanya beres", administrator "mengangguk" satu sama lain, dan tidak ada yang berfungsi untuk pengguna akhir. Apa yang harus dilakukan tidak jelas. Itu terjadi? Itulah yang akan kita bicarakan hari ini.

Arsitektur Solusi


Untuk memahami dengan benar pendekatan dan teknologi yang digunakan oleh Flowmon Networks untuk memecahkan masalah pemantauan kinerja aplikasi dan database terdistribusi, harus dicatat bahwa seluruh analisis didasarkan pada informasi tentang lalu lintas jaringan yang dikirim ke sistem. Salah satu keuntungan dari pendekatan ini adalah kurangnya perangkat lunak agen pada workstation dan server . Tentu saja, Anda tidak akan dapat mengukur kinerja Solitaire Solitaire, tetapi sangat mungkin untuk mengidentifikasi kueri SQL yang "menggantung" basis data, atau tombol yang digunakan aplikasi untuk menggantung.

Di artikel terakhirKami telah memeriksa portofolio produk Flowmon Networks dan proses pemasangan sistem di lingkungan virtual VMware EXSi, jadi kami tidak akan mengulanginya. Satu-satunya perbedaan dalam kasus kami adalah metode menerima lalu lintas. Karena tidak ada satupun protokol Flow yang mentransmisikan informasi tentang isi paket yang perlu kita analisis fungsi protokol level 7 menggunakan model ISO OSI, kita akan menggunakan port mirrored SPAN (Switched Port Analyzer) pada switch untuk mengumpulkan data.

Dalam hal ini, arsitektur solusi akan terlihat seperti ini:



Switch tersebut mencerminkan lalu lintas yang diperlukan ke server khusus (Flowmon Probe), yang bertanggung jawab untuk memprosesnya dan mengubahnya menjadi format yang kaya IPFIX, yang kemudian ditransmisikan ke node pusat (Flowmon Collector) untuk penyimpanan, korelasi dan analisis. Alih-alih port SPAN, omong-omong, Anda dapat menggunakan pembagi lalu lintas TAP:



Keuntungan dari opsi penempatan ini adalah:

  • bebas dari model dan produsen peralatan jaringan (Cisco, Juniper, apa saja),
  • kurangnya beban tambahan pada peralatan jaringan yang ada,
  • pelestarian arsitektur logis yang ada dari jaringan perusahaan.

Faktanya, setiap komponen sistem dapat berupa server perangkat keras khusus atau mesin virtual. Dalam kasus kedua, Flowmon Collector akan menyertakan Flowmon Probe terintegrasi, tetapi kinerjanya secara alami akan lebih rendah.

Node pusat (Flowmon Collector) dibangun berdasarkan prinsip arsitektur modular dan dikonfigurasikan secara terpisah untuk setiap tugas Pelanggan:



Flowmon Collector terdiri dari inti sistem (Pemecahan Masalah Visibilitas Jaringan), yang mencakup semua fungsi yang diperlukan oleh administrator jaringan untuk memantau lalu lintas di LAN dengan detail untuk setiap spesifik koneksi jaringan, serta sejumlah modul tambahan dan berlisensi terpisah:

  • Modul Anomaly Detection Security (ADS) - deteksi aktivitas jaringan abnormal, termasuk serangan zero-day, berdasarkan analisis heuristik dari lalu lintas dan profil jaringan yang khas;
  • Modul Pemantauan Kinerja Aplikasi (APM) - memantau kinerja aplikasi jaringan tanpa memasang "agen" dan memengaruhi sistem target;
  • Modul Traffic Recorder (TR) - merekam fragmen lalu lintas jaringan dengan seperangkat aturan yang telah ditentukan atau oleh pemicu dari modul ADS, untuk pemecahan masalah lebih lanjut dan / atau investigasi insiden keamanan informasi;
  • Modul Perlindungan DDoS (DDoS) - perlindungan batas jaringan dari serangan DoS / DDoS volumetrik dari serangan layanan.

Pada artikel ini, kita akan melihat bagaimana semuanya berjalan hidup menggunakan contoh 2 modul - Pemecahan Masalah Visibilitas Jaringan dan Pemantauan Kinerja Aplikasi.

Instalasi Solusi


Kami sudah menulis tentang topik penempatan mesin virtual , semuanya dilakukan dengan cukup cepat dan sederhana dari template OVF. Kami tidak akan mengulangi sendiri, kami hanya mengingat persyaratan untuk sumber daya sistem:



Di sisi Flowmon Collector, perbedaan utama antara pemantauan lalu lintas SPAN dari pemantauan NetFlow adalah metode penerimaan data. Jika sebelumnya kami menggunakan antarmuka Manajemen untuk NetFlow dengan konfigurasi IP kami, maka untuk menerima lalu lintas SPAN, kami membutuhkan Antarmuka Pemantauan, yang sebenarnya merupakan antarmuka L2 yang terkait dengan hypervisor khusus dengan port fisik khusus pada sasis server.



Dengan kata lain, Interface Monitoring adalah Flowmon Probe yang dibangun ke dalam Flowmon Collector.

Langkah selanjutnya adalah memverifikasi bahwa port khusus dikonfigurasikan dengan benar dan siap menerima lalu lintas di Flowmon Collector.



Dalam kasus kami, port UDP / 2055 ditempati di bawah IPFIX / NetFlow dari peralatan jaringan, jadi untuk lalu lintas dengan Flowmon Probe kami akan mengambil port UDP / 3000. Memisahkan lalu lintas berdasarkan pelabuhan dari sumber yang berbeda tidak perlu, tetapi lebih mudah dan sederhana dalam hal pemantauan dan Pemecahan masalah.

Selanjutnya, kami mengkonfigurasi ekspor lalu lintas dari Flowmon Probe ke Flowmon Collector. Untuk melakukan ini, di bagian Configuration Center -> Monitoring Ports, periksa pengaturan saat ini. Terutama Anda perlu memastikan bahwa pemantauan aplikasi yang diperlukan pada level 7 ISO OSI dihidupkan, karena secara default dimatikan.



Idealnya, sertakan hanya protokol yang ingin Anda kontrol, tetapi Anda dapat dengan mudah mengaktifkan semuanya.

Kami menyimpan pengaturan dan kembali ke layar utama dari Pusat Konfigurasi, Anda perlu memastikan bahwa lalu lintas dari Flowmon Probe dikirim dengan benar ke Flowmon Collector.



Juga periksa di bagian Flowmon Monitoring Center -> Sumber.



Kami melihat bahwa lalu lintas mulai mengalir, sistem bekerja. Anda dapat langsung mengkonfigurasi modul Application Performance Monitoring (APM).

Modul Pemantauan Kinerja Aplikasi (APM)


Kita akan berurusan dengan apa tepatnya dan bagaimana tepatnya kita akan mengendalikan. Parameter apa yang dikontrol Flowmon APM?

  • analisis query HTTP dan SQL yang bermasalah, server aplikasi dan kode kesalahan respons basis data,
  • keterlambatan dan kehilangan paket yang terjadi selama interaksi client-server, serta dalam interaksi server aplikasi satu sama lain dan dengan server database,
  • informasi tentang setiap transaksi (nomor, ukuran, waktu, alamat IP, ID sesi, nama pengguna ...), serta daftar transaksi bermasalah dengan pelanggaran SLA,
  • waktu respons aplikasi (maks, mnt, rata-rata, persentase ...) dan waktu transmisi di tingkat transportasi,
  • jumlah sesi pengguna simultan, ...



Protokol apa yang didukung Flowmon APM?

  • HTTP 1.1, HTTP 2.0, SSL dan TLS,
  • SQL (termasuk MSSQL, Oracle, PostgreSQL, MySQL, MariaDB),
  • Email (termasuk SMTP, IMAP, POP3),
  • VoIP SIP,
  • DHCP, DNS, SMB (termasuk v1, v2, v3), AS, NBAR2,
  • SCADA / IoT (termasuk IEC 60870-5-104).

Akibatnya, untuk setiap aplikasi atau basis data yang dipantau, sistem menghitung nilai metrik Indeks APM, yang bervariasi dari 0 hingga 100 dan tergantung pada kondisi layanan saat ini. Semakin tinggi nilai metrik, semakin baik.



Antarmuka yang dapat disesuaikan berdasarkan widget dan dasbor memungkinkan administrator untuk menyesuaikan sistem secara individual untuk dirinya sendiri dan mengontrol dengan tepat metrik Indeks APM yang ia butuhkan. Pada contoh di bawah ini, sistem mengontrol portal Internet (WebEshop) dan databasenya (MySQL_DB).



Dalam contoh ini, analisis kinerja dibagi menjadi tiga blok:

1. Kinerja keseluruhan aplikasi dan basis data selama hari terakhir.



Untuk kelengkapan, indeks kinerja aplikasi ditampilkan bersama dengan indeks kinerja database. Ini cukup nyaman untuk pemecahan masalah dan pemahaman di area spesifik mana masalah muncul.

Sebagai contoh, dalam kasus kami, indeks kinerja database baik-baik saja, itu adalah 96,839 dari 100. Tetapi ada masalah yang jelas dengan aplikasi WebEshop, indeksnya hanya 63,761 dari 100.

Anda dapat segera melihat alasan peringkat ini - waktu respons yang tinggi untuk permintaan pengguna. Waktu rata-rata adalah 21.148 detik dan maksimum adalah 151.797 detik. Jika Anda adalah administrator aplikasi online, maka Anda mengerti bahwa beberapa pengguna akan menunggu hingga halaman memuat 2,5 menit ... Nah, jika ini terjadi sekali, dan jika pengguna perlu 2-3-4 ... halaman? Ini sudah menjadi masalah.

2. Indeks APM untuk hari terakhir.

Dengan bagian ini, semuanya cukup sederhana dan jelas. Ini menampilkan rasio jumlah kueri dari total indeks APM aplikasi atau database.



Setiap elemen dasbor bersifat interaktif dan dapat diklik. Semuanya mematuhi prinsip drill-down, ketika memilih situs yang menarik pada bagan, Anda bisa "gagal" satu tingkat di bawah ini untuk mendapatkan informasi lebih rinci.



Memilih interval waktu ketika masalah telah diperbaiki, administrator akan dengan cepat menemukan jawaban atas pertanyaan:

  • Pertanyaan SQL apa yang dieksekusi saat ini?
  • Apa dan berapa banyak pengguna yang bekerja dengan sistem?
  • Bagaimana sistem menanggapi permintaan pengguna?
  • Apa waktu reaksi dan penundaan sistem?
  • Bagaimana masalah aplikasi berkorelasi dengan interaksi database?
  • Bagaimana sistem bekerja dengan SLA yang diberikan?
  • dan banyak lagi…

3. Lima permintaan paling lambat di hari terakhir.

Portal HTTP modern atau aplikasi WEB adalah program yang kompleks dan kompleks. Seperti aplikasi lain, itu terdiri dari halaman dan modul yang berbeda yang tidak selalu ditulis oleh satu programmer. Sangat sering, situs modern adalah mesin CMS di mana puluhan modul pihak ketiga diinstal yang memperluas fungsionalitas dasar. Terkadang modul-modul ini bekerja dengan baik, dan terkadang tidak terlalu baik. Tidak selalu mungkin untuk dengan cepat memahami di mana masalah terjadi dan butuh lebih dari satu jam atau sehari untuk memecahkan masalah.

Dengan Flowmon APM, semuanya menjadi transparan.



Jika Anda tertarik pada detail lebih lanjut - klik ikon "kaca pembesar" dan dapatkan detailnya. Misalnya, untuk aplikasi HTTP:



Atau untuk database:



Tentu saja, semuanya diekspor ke CSV, bidang dan kolom dapat disesuaikan, filter dapat disimpan.

Widget yang dibahas adalah contoh pengaturan standar standar. Jika perlu, sistem dapat disesuaikan untuk tugas individu - buat dasbor Anda sendiri dan tampilkan di layar utama. Sebagai contoh, kode kesalahan respons basis data:



Atau kode kesalahan HTTP:



Selain itu, kami ingin menarik perhatian Anda ke poin penting - fungsi pemantauan proaktif. Sistem tidak hanya "mendengarkan" dan menganalisis lalu lintas dalam mode pasif, tetapi juga secara independen mengemulasi interaksi pengguna "virtual" dengan sistem. Pendekatan ini disebut Pengguna Sintetis dan memungkinkan Anda untuk secara otomatis memeriksa status aplikasi dan mendeteksi masalah pada saat itu baru mulai terjadi, dan bukan setelah keluhan pertama pengguna. Untuk ini, misalnya, skrip terjadwal dikonfigurasikan untuk memeriksa ketersediaan aplikasi, fungsionalitas, dan waktu respons.

Apa hasilnya?


Contoh ini adalah demonstrasi yang jelas dari kemampuan sistem dan modul Pemantauan Kinerja Aplikasi (APM), khususnya. Saya tidak bisa mengatakan bahwa bekerja dengan Flowmon APM membuat proses pemotretan yang menyenangkan menjadi menyenangkan, tetapi sudah pasti bahwa proses ini disederhanakan dan lebih cepat.

Ada pertanyaan atau ingin menguji sistem? Kami akan membantu, hubungi kami .

Kami merangkum kesimpulan apa yang bisa kami ambil tentang Flowmon di baris bawah:

  • Flowmon - solusi tingkat premium untuk Pelanggan korporat;
  • karena fleksibilitas dan kompatibilitasnya, pengumpulan data tersedia dari sumber apa pun: peralatan jaringan (Cisco, Juniper, HPE, Huawei ...) atau probe kepemilikan (Flowmon Probe);
  • , ;
  • ;
  • «» – ;
  • Flowmon – , 100 /;
  • Flowmon – ;
  • / .

Kami juga ingin mengundang Anda ke webinar kami yang didedikasikan untuk solusi vendor Flowmon Networks . Untuk pra-pendaftaran, silakan daftar di sini.

Itu saja untuk saat ini, terima kasih atas minat Anda!

More articles:


All Articles