Posted by Представляем обновленную версию подсистемы «NetFlowMAN» G4.1, развиваемую в продуктовой экосистеме программного комплекса мониторинга и управления цифровыми инфраструктурами «Центральный Пульт» для сбора, интеллектуального анализа и продвинутой визуализации данных сетевой телеметрии, собираемых по протоколам семейства NetFlow.
Анализ сетевых потоков NetFlow при генерируемых маршрутизаторами объемах в крупных сетях в сотни тысяч и миллионы записей в традиционном варианте опирается на табличные представления и ручной способ фильтрации. Такой подход функционально достаточен для ретроспективных выборок, однако осложняет оперативную идентификацию аномалий и структурных изменений в трафике в режиме, близком к реальному времени.
В четвертом поколении программного решения NetFlowMAN G4.1 реализован новый механизм визуализации – «Квадранты», построенный на методе Treemap и ориентированный на сокращение времени перехода от агрегированного обзора к детальному анализу.
Новое представление дополняет развитый функционал подсистемы, позволяющей визуально отображать наиболее активные узлы сети, рейтинг сетевых протоколов и приложений, активность по типам трафика и на маршрутизаторах, визуализировать индикацию активности узлов сети, ключевых партнеров узла по обмену трафиком, отображать на экране живой поток сетевой статистики с устройства, формировать отчеты, применять интеллектуальные машинные методы анализа данных.
Среди наглядных визуальных представлений обмена трафиком между парами узлов ранее были доступны диаграмма Sankey («Трубы») и хордовая («Колесо») диаграмма.
Архитектура представления
Визуализация «Квадранты» использует те же агрегированные данные о сетевых потоках и механизм кэширования, что и прочие представления подсистемы, обеспечивая консистентность метрик при переключении между разными вариантами визуализации.
Экран визуального представления «Квадранты» разделяется на две функционально связанные области. Левый квадрант отображает распределение активных узлов сети по объему трафика. Размер прямоугольника пропорционален вкладу узла в общий обмен. Поддерживаются три режима агрегации – входящий трафик, исходящий трафик и суммарный трафик (значение по умолчанию).
Правый квадрант представляет структуру обмена трафиком по портам и приложениям. Для портов со стандартным назначением используется устоявшееся наименование, заимствуемое из справочника; для нестандартных портов выполняется анализ peer socket потока с попыткой автоматической идентификации приложения.
Ключевым элементом взаимодействия является контекстная перестройка правого квадранта при выборе узла в левом: распределение приложений вычисляется только для выбранного хоста, что позволяет локализовать анализ без формирования дополнительных запросов.
Как и в других представлениях доступны действия по переходу к детальному анализу трафика, исключению узла из визуализации, фильтрации данных непосредственно из графического представления.
Механизмы детализации и фильтрации
В правом квадранте предусмотрена возможность исключения отдельных портов и приложений из текущего анализа, что позволяет последовательно устранять «шумовые» компоненты (служебный трафик, фоновые обновления) и концентрироваться на релевантных потоках.
Переход от агрегированного представления к детальным записям потока (drill-down) учитывает текущий режим агрегации, исключая необходимость ручной корректировки фильтра.
Логика формирования запроса предусматривает выбор режима (входящий, исходящий или суммарные) и задание фильтра запроса, например:
port: 33000 and src_addr: 77.88.8.8
port: 33000 and dst_addr: 77.88.8.8
port: 33000 and (src_addr: 77.88.8.8 or dst_addr: 77.88.8.8)
В ходе работы доступна кнопка «Сбросить фильтры визуализации», при нажатии на которую выполняется очистка локального хранилища (localStorage), восстановление скрытых узлов и портов, сброс направлений трафика и возврат режима отображения к значению «Суммарный».
Сохранение состояния и синхронизация между представлениями
В процессе изучения инцидентов инженер может переключаться между несколькими типами визуализации («Колесо», «Трубы», «Квадранты») и табличным представлением. Для повышения удобства анализа в NetFlowMAN G4.1 реализовано сохранение состояния через localStorage, включая скрытые узлы и порты, выбранное направление трафика и состояние визуализаций.
Настройки фильтрации являются общими для всех визуализаций – узел, исключенный в «Квадрантах», автоматически скрывается в «Колесе» и «Трубах», что обеспечивает непрерывность анализа при смене ракурса рассмотрения.
Области применения
Подсистема NetFlowMAN G4.1 демонстрирует свою функциональность и эффективность в типовых задачах сетевого мониторинга, в том числе:
- локализация аномалий – пропорциональное отображение объемов позволяет визуально выделить узлы и приложения, генерирующие нетипичную нагрузку
- расследование инцидентов (RCA) – многоуровневая детализация (сеть → узел → приложение → поток) сокращает путь от первичного наблюдения к идентификации первопричины
- аудит использования ресурсов – структурированное представление по приложениям облегчает анализ соответствия фактического использования инфраструктуры утвержденным профилям
- выявление нештатного трафика – автоматическая идентификация приложений по peer socket упрощает обнаружение несанкционированного программного обеспечения и теневого использования сервисов
Резюме
Реализация визуализации типа Treemap в подсистеме NetFlowMAN G4.1 расширяет инструментарий анализа сетевого трафика, дополняя табличные и графические представления методом, ориентированным на быструю структурную оценку.
Вместо многочасового изучения таблиц и поиска нужных записей среди миллионов сетевых потоков подсистема предоставляет наглядный визуальный путь к данным. От общего обзора сети до конкретного узла, приложения или соединения можно перейти буквально за несколько кликов мышью.
Интерактивные визуализации помогают быстрее выявлять перегрузки, аномалии, нежелательный трафик и причины деградации сервисов. Инженеры тратят меньше времени на поиск первопричин проблем, а бизнес быстрее получает ответы на вопросы о производительности и эффективности использования сетевой инфраструктуры.
Мы превращаем сложные технические данные, поступающие от сетевого оборудования, в понятную картину происходящего в сети, помогая экономить время, снижать операционные затраты, быстрее и обоснованнее принимать правильные решения.
Приглашаем связаться с командой «РОССИННО» для получения более полной информации и запроса детальной демонстрации.