Вы здесь

Пять уникальных особенностей Netflow Auditor

1. Отслеживание пороговых значений (baselines)

  • Оперативный и исторический сравнительный анализ любого элемента.

Например, интерфейс/IP/Расположение/Приложение или их комбинации за определенный период сравнить с предыдущим периодом:

- эту минуту сравнить с предыдущими 20 минутами;

- этот час сравнить с предыдущими 6 часами;

- этот день месяца сравнить с другими днями месяца или этим же днем других месяцев;

- этот будний день сравнить с другим будним днем или с любым будним днем за последние 12 месяцев;

- эту неделю сравнить с предыдущими 4 неделями;

- этот месяц сравнить с предыдущими 12 месяцами;

- этот квартал сравнить с предыдущими 4 кварталами;

- этот год  сравнить с прошлым годом;

- каково было использование фермы серверов в этом квартале по сравнению с прошлым кварталом?

  • Сравнительный анализ каждого элемента по временной шкале. Дает возможность определить, какой элемент и когда именно вызвал изменения.

2. Мощный и гибкий анализ

Netflow Auditor может провести анализ любой комбинации полей данных одновременно (например, пакеты, потоки, утилизация и т.д.) и отсортировать данные по любому полю. Меню и ярлыки упрощают быстрый анализ.

  • Анализ размера пакета – возможность использования этих данных для создания отчетов по DSCP и приложениям и для определения аномалий.
  • Полный анализ потоков (не только на уровне утилизации или передачи данных) позволяет сетевому специалисту обнаружить "шум".
  • Возможность считать записи частью результата для быстрого выявления изменений в сети.  Например, подсчет всех внутренних IP-адресов с одним  IP или номером порта позволит быстро обнаружить пользователей P2P или DDoSатаки.
  • Анализ по стандартным отклонением с целью получения информации о том, какой фактор больше всего повлиял на изменения в определённый период, позволяет предугадать возникновение проблем, идентифицировать появление Worms/увеличение потоков/floods.
  • Двунаправленный анализ – возможность сравнить передачу данных в направлениях Inи Outдля быстрого определения источника трафика/потоков.
  • Графики – показывают пересечение различных данных. Например, можно определить для  серверов только известные порты (службы/приложения), которые на них используются. График показывает каждый IP, «уровень» приложения и число приложений, используемых на каждом сервере. Обратное также возможно – посмотреть сервера, к которым пытаются подключиться неизвестные приложения.
  • Анализ бизнес-группы: IP-адреса могут быть сформированы в группы и весь их трафик будет помечаться как соответствующий этой группе. Эта функция особенно полезна при биллинге, когда есть необходимость разделения трафика.

3. Автоматический (активный) анализ, оповещения и формирование отчетов

  • Отчёты - возможность создать любую комбинацию аналитических данных и автоматически выводить их через указанные периоды (например, раз в час,  сутки, неделю, месяц, квартал, и т.д.).  Отчёты могут быть записаны и сохранены и/или отправлены по электронной почте одному или нескольким адресатам. Отчет может обновляться постоянно или в указанное время. Отчеты можно сохранить в формате CSV для более удобного экспорта в другие системы.
  • Оповещения - возможность создать любую комбинацию аналитических данных и автоматически выводить их в качестве предупреждения при соблюдении определенных условий, (например, если утилизация полосы пропускания превышает определенный порог). Оповещения можно настраивать для уменьшения вероятности ложных срабатываний.
  • Шаблоны - создание и настройка любой комбинации аналитических данных и использование её в качестве шаблона в выпадающих меню.

4. Настройка сбора данных

  • Netflow Auditor может быть настроен для сбора только необходимых данных.  Например,  хранить трафик с гранулярностью в одну минуту только для определённого сегмента сети, для которого подробная информация может использоваться в разборе инцидентов, а для всех остальных сегментов сохранять данные с часовой гранулярностью.
  • Автоматические правила позволяют определять уровни гранулярности, чтобы уберечь коллектор от большого потока NetFlowв случае появления в сети worms.

5. Масштабируемость, отказоустойчивость и самовосстановление

  • Netflow Auditor масштабируется до возможности обрабатывать поток со скоростью 1 миллион flow/sec.
  • Высокая отказоустойчивость и функции самовосстановления: состояние каждого процесса и функции системы постоянно контролируется, и в случае необходимости, Netflow Auditor восстанавливает себя сам.