单击返回:自学N-Compass之路
nCompass功能使用--数据表格
1. 利用数据表格分析数据
1.1 编辑数据表格内的选项卡介绍
选项卡《选择维度》:
- 应用: 应用/应用组/域名/URL
- 站点: 站点/站点组/客户端站点/服务端站点/客户端站点组/服务端站点组
- IP : IP/服务端IP/客户端IP/IP通讯对/服务端口/客户端口/服务端IP端口/XFF-IP
- 采集点:探针名称/Vxlan ID/租户/租户组/Vlan/内层vlan/数据中心
- 其他 : MPLS标签/Qos/网络位置/三层协议类型/四层协议类型/MAC地址/MAC地址_服务端/MAC地址_客户端/MAC厂商/MAC厂商_服务端/MAC厂商_客户端/国家/省份/城市/运营商/运营商_客户端/国家_服务端/国家_客户端/省份_服务端/省份_客户端/城市_服务端/城市_客户端/VTEP1/VTEP2/VTEP1_ID/VTEP2_ID/YARA规则/应用顺序号/IP版本
选项卡《选择指标》:
- 网络流量:总包数/流入包数/流出包数/总流量/流入流量/流出流量/总PPS/流入PPS/流出PPS/小包占比/大包占比/中包占比/站点带宽/站点流出利用率/站点流出利用率/客户端数量/应用数量
- 网络性能:客户侧丢包率/服务测丢包率/客户端网络时延/服务端网络时延/重传时延/客户端重传时延/服务端重传时延/客户端重传数/服务端重传数/客户端传输时延/服务端传输时延/客户端性能延时/服务端性能延时/网络评分
- 网络连接:活动会话数/建连成功率/建连失败率/SYN包数量/SYNACK包数量/建连服务端失败/建连服务端重置/建连服务端无响应/服务端队列不足/建连服务器端失败-其他/建连客户端失败/端口复用/客户端重传次数不足/建连客户端失败=其他/建连客户端无响应/客户端Reset/服务端Reset/建连客户端重传/建连服务端重传/服务端拆连请求数/客户端拆连请求数/中间人攻击次数/建连探测/建连异常-SYN/建连异常-SYNACK/拆连个数/TCP评分
- 应用性能:访问量/TCP建连时间/应用相应时间/用户体验时间/峰值响应时间/首包时延/客户端网络时延/服务端网络时延/客户端重传时延/服务端重传时延/响应快/响应慢/响应超时/拆连超时次数/健康度评分/应用评分
- 主机性能:服务端小窗口/客户端小窗口/服务端小窗口时延/客户端小窗口时延/TCP窗口时延/客户端净荷/服务端净荷/支持SACK的会话数/应用无响应/客户端最小MSS/服务端最小MSS/客户端SACK分段/服务端SACK分段/服务器评分
- 区间指标: 峰值流入PPS/峰值流出PPS/峰值活动会话数/峰值新建会话数/峰值建连会话数/峰值建连请求数/平均网络时延/平均丢包率/平均建连成功率/峰值流出利用率/峰值流出利用率/峰值流出利用率时间/峰值流出利用率时间/峰值吞吐量/流出利用率>=70%流出利用率<50%流出利用率50%~70%/流入利用率>=70%流入利用率<50%/流入利用率50%~70%/平均流出利用率
1.2 两种添加维度的比较
- 一种在接口数据包右键直接----添加维度(只针对某一个接口数据)
- 一种在右侧按钮直接----修改维度(针对所有接口数据)
1.3 对比曲线图
按住Ctrl健选择两个数据指标,右侧按钮“对比曲线图”直接进行对比。 如下图显示出两个接口的总吞吐量的对比曲线图。
1.4 对数据通讯对直接下载数据包
1.5 对数据通讯对数据包直接分析(ncompass内置分析模板)
1.5 数据通讯对,数据显示时,选项卡
- 修改时间: 查看时间,颗粒度1min、5min、1h
- 开启基线: 基线上下线,默认关闭
- 数据表格: 直接跳转到数据表格
- 图表类型: 曲线图、折线图、柱状图、区域图
- 智能分析: 可编写脚本,实现自动化分析
- 趋势预测: 基础(预测时间、时间颗粒度、历史数据、数据模型、指标)。(其中可以过滤维度。)
1.6 对数据进行筛选 (筛选维度或者筛选指标)
针对下面数据,只想看到“网络时延”>50ms 的数据,就需要采用筛选功能。
由于“网络时延”是指标, 所以选择右上角“编辑”---“筛选指标” 。
2. 数据表格的使用场景
2.1 场景一:过滤网络中开启了高危端口的服务器,并列出访问高危端口的客户端(高危端口包括:TCP 23,119,135,137,138,139,143,445)
”修改指标“---”过滤维度“----添加服务端口
此时维度却没有”服务端口“, ”修改维度“----IP---添加”服务端口“
现在要查看出访问高危端口的客户端。
- 全局添加客户端方式: 右侧 “修改维度”----IP---添加“客户端端口”(见下面例子)
- 针对某一个通讯对添加客户端方式: 通讯对右键 “添加维度”----IP---添加“客户端端口”
2.2 找出网络进行端口扫描的主机。
端口扫描特征,客户端会尝试访问很多应用。
“应用数量”表示客户端一共访问了服务器的服务端口数量。
按“应用数量”排序之后:
SYN包数量很多,但是新建连会话数量确实0,很大概率就是在做扫描。
是否有更精准的办法确认扫描行为?
更详细的筛选功能,采用指标表达式: 应用数量>100 and (SYN包数量>新建会话数*100) and 建连探测=0
2.3 找出所有121.0.0.0/8和122.0.0.0/8互访的所有通讯对,并统计两个网段间互访流量的大小。
思考这个问题容易出现误区:
- 如果直接采用IP作为过滤维度,客户端IP和服务端IP均会在通讯对列出来;
- 如果再用客户端IP,服务端IP作为过滤维度,但是这样就会是单一方向数据。
采用维度表达式:({客户端ip,等于,121.0.0.0/8} and {服务器ip,等于,122.0.0.0/8})or({客户端ip,等于,122.0.0.0/8} and {服务器ip,等于,121.0.0.0/8})
维度表达式的用法说明:
1. { } 用于一个过滤,相当于
2. [ ] 用于匹配条件内部多个值,相当于
3. ( )用于or、and表达式中的组件,括号内的表达式优先执行,以下两个表达式的结果是完全不一样的:
- ({服务端口,等于,443} and {服务器ip,等于,10.59.0.37})or {服务端ip,等于,10.59.0.39}
- {服务端口,等于,443} and({服务器ip,等于,10.59.0.37} or {服务端ip,等于,10.59.0.39})
。。。。。。