Monitoraggio del traffico di networking

Qual è lo strumento migliore per monitorare / analizzare il traffico di networking su un'intera networking (diverse sottoreti)?

Sto cercando qualcosa che mi aiuterà a eliminare problemi di width di banda quando, ad esempio, gli utenti iniziano a lamentarsi che la "networking è lenta"

  • Monitorare la width di banda di Internet
  • Ricerca del software di monitoraggio della salute del disco rigido
  • Alternativa a mod_throttle
  • Limitare il tasso di traffico in entrata
  • Test di velocità della row di command
  • AWS, width di banda e consegna dei contenuti
  • 10 Solutions collect form web for “Monitoraggio del traffico di networking”

    Suppongo che tu abbia un router commerciale / switch, molto probabilmente ha SNMP che puoi combinare con MRTG per un bel grafico di traffico.

    Penso che la tua scommessa migliore sarà una miscela di Cacti e Ntop .

    ntop ti fornirà informazioni sul traffico sulla networking, come gli host che consumano di più … che traffico sta causando rallenti, ecc …

    Cacti sta andando a dare tendenze a lungo termine circa il tuo consumo di width di banda in modo da poter dire come il traffico di reti è cambiato nel tempo.

    Quando si dispone di utenti che riferiscono "problemi di networking", il problema potrebbe riguardare una moltitudine di problemi (routing, switching, configuration host, unicast, multicast, criterio di protezione, errore hardware). È molto improbabile che troverai un pezzo di software per monitorare tutti i tuoi problemi potenziali.

    Invece, concentrarsi su due cose:

    • Strumentazione : elaborare una strategia di monitoraggio che consente di monitorare in modo proattivo quegli errori che si verificano regolarmente. Vedere questa risposta precedente per ulteriori dettagli.

    • Risoluzione dei problemi : elaborare una serie di test rapidi e standard che è ansible eseguire per tentare immediatamente di isolare where il problema potrebbe essere e pubblicarlo agli utenti.

    Alcuni test di esempio:

    • ping il gateway predefinito
    • ping un altro host sulla stessa substring
    • ping un host subnet sottratto
    • che tipo di perdita di pacchetti stai ricevendo?
    • i risultati variano con la dimensione del pacchetto?
    • è ansible eseguire correttamente telnet dalla row di command all'indirizzo IP / port di destinazione?

    Questi tipi di diagnosi semplici possono spesso puntare rapidamente nella giusta direzione. Infine, se ansible, otteni sempre un IP di origine, un IP di destinazione e una port di destinazione. Provare ed educare i tuoi utenti; le denunce ambigue come 'la networking è lenta' non può essere facilmente diagnosticata.

    Prova MRTG e / o ntop .

    Sto usando smoothwall a casa con grande successo, fa un ottimo lavoro di monitoraggio del traffico e una tonnellata di più.

    Viene anche in una edizione aziendale che fa qualcosa di più fantasioso.

    Stavo cercando di capire perché ho continuato a correre fuori dalla width di banda (in Australia abbiamo limiti) si scopre che era colpa mia 🙂

    Sto lavorando ad un'organizzazione che ha una networking di piccole e medie size (~ 500 utenti) e circa una dozzina / 24 sottoreti (e una manciata di più piccoli dietro NAT). Usiamo un software di monitoraggio di varietà che ci permette di tenere le tabs in parti remote della networking e rispondere ai problemi in modo proattivo.

    • SNMP – Questo costituisce la base del nostro sistema di monitoraggio. Tutte le infrastrutture di networking necessitano al minimo di supportre SNMP e la logging di un server centrale tramite syslog.
    • OpenNMS – Utilizzato principalmente per il monitoraggio degli events, anche se lo stiamo usando per il monitoraggio degli asset e delle performance. Continuo a monitorare OpenNMS. Se c'è un problema con la networking, voglio sapere prima che qualcuno mi chiami.
    • SFlow / Netflow – Questo è veramente utile per determinare il traffico che scorre attraverso quale parte della networking e quale host genera quel traffico (ad esempio, i lettori principali / ascoltatori principali).
    • Smoking – Questo è utilizzato principalmente per il monitoraggio della latenza e della connettività, in particolare per ponti wireless o altri collegamenti fastidiosi.
    • MRTG – Il monitoraggio del traffico sui dispositivi infrastrutturali che non supportno SFlow / Netflow viene eseguito con MRTG.
    • "Probes" della networking Linux – Alcune parti della nostra networking non sono raggiungibili dal design e hanno collegamenti fisicamente discreti separati. Una vecchia workstation con un'installazione Linux che ha un punto di presenza in entrambi i segmenti di networking ci permette di tenere d'occhio questi segmenti utilizzando strumenti come il summenzionato Smoking e MRTG, ma anche tutti gli utili strumenti di row di command come ntop, tcpdump, tcptraceroute, httping e il venerabile ping.
    • TippingPoint IPS System – È fondamentalmente Snort in una scatola nera . Mentre è completamente dipendente dal riconoscimento del pattern, il sistema TippingPoint si trova sul bordo della networking e ci permette di cercare interessanti events Layer-7 (malware, scansione, stranezza di TCP / IP, ecc.).
    • BlueCoat Packeteer – Questo è per lo più un dispositivo di filtraggio QoS e web, ma offre una bella visuale ad alto livello di ciò che scompare il traffico di ingresso e output di Layer-7. Ad esempio: non sorprende che l'80% del traffico di ingresso sia HTTP, ma quanto di questo è Facebook, Pandora, YouTube, ecc? Fornisce inoltre un elenco di top talkers / top listeners su base applicativa, che ancora una volta è informazioni interessanti.
    • Wavemon e un computer porttile con una scheda wireless decente vengono utilizzati per il monitoraggio e la risoluzione dei problemi wireless 802.11 come sostituzione sostanzialmente less costosa di un Fluke AirCheck . La Fluke support 5Ghz (che utilizza alcuni dei nostri ponti wireless) e può raccogliere traffico non 801,11 ed è un attrezzo RF completo, ma ho difficoltà a consigliarlo a causa del costo.

    Controllare i prodotti da VSS Monitoring . Essi dispongono di diversi prodotti in linea di sicurezza a freddo per monitorare in remoto il traffico di networking. Una volta che li hai esaminati nella tua networking (e) e sulla spina dorsale, è altrettanto bello.

    Se si dispone di un router in grado di segnalare flussi di networking, esaminare in un gestore netflow. Dove MRTG fornirà l'utilizzo del collegamento, i netflows riportno l'utilizzo di protocolli IP e protocollo che scorrono attraverso il router. Quindi, invece di "Suzy in contabilità usando un sacco di traffico" o "La port con cui il WAP è attivo ha un alto utilizzo", si potrebbe vedere "Suzy in contabilità è il traffico LAN 10%, il 40% di streaming media e il 50% di internet Traffico HTTP.

    Purtroppo non ho una raccomandazione per un aggregatore di flussi gratuiti. Dopo che una società di monitoraggio netta ha cercato di vendere la mia azienda una soluzione e ho stabilito che il loro integer prodotto era basato su netflow, ho fatto una nota per ricercarli. Prima di arrivare ad esso abbiamo acquistato un'altra soluzione NOC che includeva anche un aggregatore di stream.

    Ho usato Wireshark per anni. Lo adoro.

    Prima di tutto, gli utenti si lamentano della tua networking locale?

    Il file server è lento!

    o si lamentano di siti web remoti?

    Facebook è lento! Non posso fare il mio lavoro!

    Se è la prima, allora vorrei iniziare con il file server in questione e lavorare all'indietro. Prima di tutto controllare il file server, è l'utilizzo fuori dall'ordinario? Controllare l'interface che scorre il traffico degli utenti. È fissato? È abilitata la negoziazione automatica? È abilitato su entrambe le estremità …

    Se tutto sembra ok e il server non è sotto alcun carico indebito, provare i router e gli switch nel path tra l'utente e il server. Sono sovraccarichi? auto abilitato negazione? controllare i contatori dell'interface per errori.

    Se sembra che non sia niente di male, il problema può essere locale alla stazione di lavoro degli utenti. È sotto carico indebito? Ci sono degli errori hardware (errori di disco che causano il block durante il tentativo del firmware)? La loro macchina è bassa nella memory reale (firefox paging hard)?

    Questo solito risolve il 99% dei problemi.

    A seconda della frequenza di cui si devono affrontare queste richieste, è preferibile invertire l'ordine di questi passaggi.

    In alternativa, se si tratta di un problema con un sito remoto, dopo aver eseguito il debug della networking e la workstation degli utenti prova gli strumenti come mtr per rilevare la perdita di pacchetti tra te e il sito remoto. Se il problema non è locale alla networking, le opzioni sono probabilmente limitate alla logging di un caso con il tuo provider o in attesa che il sito remoto abbia accesso a qualsiasi tipo di tizzy.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.