网络出故障了怎么办?
查告警、看链路、找会话、抓包分析……对于运维来说,很多时候,我们还会去看一眼流量趋势图。
常见的流量趋势图
股市变化看K线,网络变化看趋势,流量的波动本身就能反映很多东西。
比如原本平滑的曲线,突然冲上去一个尖峰;或者某段时间流量明显掉下去,形成一个低谷。
上行流量“尖峰”示例
这些波峰和波谷,从经验上看往往就是问题发生的信号,网络攻击、链路异常,几乎都会在流量趋势图上留下痕迹。
所谓的流量趋势图,本质上是把一段时间里的数据先做统计,再绘制出来的结果。
我们看到的趋势图,其实并不一定是流量最原始的样子,它是一个“无限接近的真实”。
这里就涉及一个概念——颗粒度。
简单来说,颗粒度就是统计得有多细。 比如一个小时统计一次,就是小时级颗粒度;一分钟统计一次,就是分钟级颗粒度;一秒统计一次,就是秒级颗粒度。 颗粒度越粗,数据就会被压缩得越厉害;反之,颗粒度越细,就越能反映真实的流量变化。 很多只持续几秒钟的异常流量,在较粗粒度的统计里,很可能就会在平均计算之后被“抹平”。原本应该出现的尖峰和低谷,最后只剩表面的风平浪静。明明问题已经发生,图里却什么都看不出来。
所以理论上来说,颗粒度越细,趋势图就越有价值,但相对地,数据量也会呈指数级增长。 比如一分钟统计一次,一天只有1440个数据点;如果换成一秒统计一次,一天就会变成86400个数据点,直接飙升60倍。 更关键的是,这些数据能不能稳定存下来、查得动,并且在大量数据场景下还能保持流畅分析。 所以这次NTM TANGr7p8版本中,我们重点升级了「流量诊断」能力。新版流量诊断,已经开始支持1秒级趋势图分析。
Update 全新流量诊断
本次更新后,NTM新增了全新的【流量诊断】页面,原有页面则调整为【会话诊断】。
相比粗粒度的统计方式,1秒级趋势图能够更真实地还原流量变化过程。
很多以前一闪而过的问题,像是瞬时流量洪峰、秒级业务抖动、突发攻击流量,现在终于能更完整地呈现出来。
举个例子: ● 同样一段流量,在分钟级视角下,趋势图看上去只是一次轻微波动: ● 但下钻到秒级视角,就能发现瞬时流量高峰:
除了更细的趋势图之外,这次更新还支持了趋势图范围框选与下钻分析。 当发现某个时间段异常后,可以直接框选对应区域,继续查看更高精度的数据变化。 实际排查的时候,这种体验会顺手很多。 尤其是在业务质量分析、故障定位这类场景里,很多时候真正有价值的信息,恰恰就藏在这些短时间波动里。
Update 敏感访问监测 除了流量诊断外,本次更新针对敏感访问相关功能也做了不少调整。 ● 阻断节点自动老化 由于敏感节点的变化非常频繁,如果长期保留,就有可能把已经变化用途的IP一直留在阻断列表里,进而影响正常业务访问。 新版本支持为检测并自动加入阻断列表中的IP + 端口组合配置老化时间。默认情况下,60分钟后会自动移除,同时网关侧也会同步删除对应阻断信息。 ● 账号/IP统计支持关联DNS日志 在账号统计和IP统计页面里,新增一键关联DNS日志的能力。发现异常账号之后,可以直接下钻查看相关DNS请求记录,省去了来回切换页面查日志的过程。 ● 自动报表新增链路统计 对于收口统计的场景来说,一条链路通常对应一个单位或区域。新版本自动报表支持基于链路进行敏感访问统计,便于后续分析时进行区分。 ● 敏感网站页面展示优化 对敏感网站访问数据进行聚合统计展示,展示TOP10的访问用户和访问域名的排名,点击用户和域名卡片可下钻至详细数据分析。 ● 自定义应用支持关键字搜索 应用数量较多时,可以更快定位需要配置的目标应用。 ● 组织架构信息展示 对敏感访问进行溯源时支持展示外部对接APP获取的组织架构信息,便于结合用户组织关系进行关联分析。 ● 敏感应用历史会话增加上下行流量 方便判断实际的数据传输规模与通信方向。 ● 阻断日志支持V4/V6区分 便于在IPv4与IPv6环境下分别进行分析与排查。 Update 其他更新 威胁情报支持多标签联合查询,像赌博、色情这类经常关联出现的行为,现在一次就能筛出来。 新增审计白名单功能,仅针对白名单进行审计,可基于IP群组和应用协议控制记录范围。 阵列信息支持APP展示,可以直接查看设备磁盘阵列状态与硬件信息。 行为审计中所有类型日志的诊断和概况页面新增导出功能,方便批量留存、离线分析与问题归档。 数据留存策略支持按照外层/内层VLAN ID抓包,控制更精细。 新ISO支持iSCSI与NFS外挂存储,便于扩展外部存储空间与集中化存储部署。 通过优化CPU负载分配,提升数据库读写和界面加载的流畅度。
Update 下载地址
访问Panabit官网下载中心获取: https://www.panabit.com/download 下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(标准版/专业版)。 EX100C请选择ARM专业版升级包。