• nCompass功能使用-数据表格


    单击返回:自学N-Compass之路 
    nCompass功能使用--数据表格

    1. 利用数据表格分析数据

    1.1   编辑数据表格内的选项卡介绍

    选项卡《选择维度》:

    • 应用:   应用/应用组/域名/URL
    • 站点:   站点/站点组/客户端站点/服务端站点/客户端站点组/服务端站点组
    • IP    :   IP/服务端IP/客户端IP/IP通讯对/服务端口/客户端口/服务端IP端口/XFF-IP
    • 采集点:探针名称/Vxlan ID/租户/租户组/Vlan/内层vlan/数据中心
    • 其他   : MPLS标签/Qos/网络位置/三层协议类型/四层协议类型/MAC地址/MAC地址_服务端/MAC地址_客户端/MAC厂商/MAC厂商_服务端/MAC厂商_客户端/国家/省份/城市/运营商/运营商_客户端/国家_服务端/国家_客户端/省份_服务端/省份_客户端/城市_服务端/城市_客户端/VTEP1/VTEP2/VTEP1_ID/VTEP2_ID/YARA规则/应用顺序号/IP版本

    选项卡《选择指标》:

    • 网络流量:总包数/流入包数/流出包数/总流量/流入流量/流出流量/总PPS/流入PPS/流出PPS/小包占比/大包占比/中包占比/站点带宽/站点流出利用率/站点流出利用率/客户端数量/应用数量
    • 网络性能:客户侧丢包率/服务测丢包率/客户端网络时延/服务端网络时延/重传时延/客户端重传时延/服务端重传时延/客户端重传数/服务端重传数/客户端传输时延/服务端传输时延/客户端性能延时/服务端性能延时/网络评分
    • 网络连接:活动会话数/建连成功率/建连失败率/SYN包数量/SYNACK包数量/建连服务端失败/建连服务端重置/建连服务端无响应/服务端队列不足/建连服务器端失败-其他/建连客户端失败/端口复用/客户端重传次数不足/建连客户端失败=其他/建连客户端无响应/客户端Reset/服务端Reset/建连客户端重传/建连服务端重传/服务端拆连请求数/客户端拆连请求数/中间人攻击次数/建连探测/建连异常-SYN/建连异常-SYNACK/拆连个数/TCP评分
    • 应用性能:访问量/TCP建连时间/应用相应时间/用户体验时间/峰值响应时间/首包时延/客户端网络时延/服务端网络时延/客户端重传时延/服务端重传时延/响应快/响应慢/响应超时/拆连超时次数/健康度评分/应用评分
    • 主机性能:服务端小窗口/客户端小窗口/服务端小窗口时延/客户端小窗口时延/TCP窗口时延/客户端净荷/服务端净荷/支持SACK的会话数/应用无响应/客户端最小MSS/服务端最小MSS/客户端SACK分段/服务端SACK分段/服务器评分
    • 区间指标: 峰值流入PPS/峰值流出PPS/峰值活动会话数/峰值新建会话数/峰值建连会话数/峰值建连请求数/平均网络时延/平均丢包率/平均建连成功率/峰值流出利用率/峰值流出利用率/峰值流出利用率时间/峰值流出利用率时间/峰值吞吐量/流出利用率>=70%流出利用率<50%流出利用率50%~70%/流入利用率>=70%流入利用率<50%/流入利用率50%~70%/平均流出利用率

    1.2   两种添加维度的比较

    • 一种在接口数据包右键直接----添加维度(只针对某一个接口数据)
    • 一种在右侧按钮直接----修改维度(针对所有接口数据)

     1.3 对比曲线图

    按住Ctrl健选择两个数据指标,右侧按钮“对比曲线图”直接进行对比。  如下图显示出两个接口的总吞吐量的对比曲线图。

    1.4  对数据通讯对直接下载数据包

    1.5  对数据通讯对数据包直接分析(ncompass内置分析模板)

    1.5  数据通讯对,数据显示时,选项卡

    • 修改时间: 查看时间,颗粒度1min、5min、1h
    • 开启基线: 基线上下线,默认关闭
    • 数据表格: 直接跳转到数据表格
    • 图表类型: 曲线图、折线图、柱状图、区域图
    • 智能分析: 可编写脚本,实现自动化分析
    • 趋势预测: 基础(预测时间、时间颗粒度、历史数据、数据模型、指标)。(其中可以过滤维度。)

    1.6 对数据进行筛选 (筛选维度或者筛选指标)

    针对下面数据,只想看到“网络时延”>50ms 的数据,就需要采用筛选功能。

    由于“网络时延”是指标, 所以选择右上角“编辑”---“筛选指标” 。

    2. 数据表格的使用场景

    2.1  场景一:过滤网络中开启了高危端口的服务器,并列出访问高危端口的客户端(高危端口包括:TCP 23,119,135,137,138,139,143,445)

    ”修改指标“---”过滤维度“----添加服务端口

    此时维度却没有”服务端口“, ”修改维度“----IP---添加”服务端口“

    现在要查看出访问高危端口的客户端。

    • 全局添加客户端方式: 右侧 “修改维度”----IP---添加“客户端端口”(见下面例子)
    • 针对某一个通讯对添加客户端方式: 通讯对右键 “添加维度”----IP---添加“客户端端口”

    2.2 找出网络进行端口扫描的主机。

    端口扫描特征,客户端会尝试访问很多应用。

    “应用数量”表示客户端一共访问了服务器的服务端口数量。

    按“应用数量”排序之后:
    SYN包数量很多,但是新建连会话数量确实0,很大概率就是在做扫描。

    是否有更精准的办法确认扫描行为? 

    更详细的筛选功能,采用指标表达式:  应用数量>100 and (SYN包数量>新建会话数*100) and 建连探测=0

    2.3 找出所有121.0.0.0/8和122.0.0.0/8互访的所有通讯对,并统计两个网段间互访流量的大小。

     思考这个问题容易出现误区:

    • 如果直接采用IP作为过滤维度,客户端IP和服务端IP均会在通讯对列出来;
    • 如果再用客户端IP,服务端IP作为过滤维度,但是这样就会是单一方向数据。

    采用维度表达式:({客户端ip,等于,121.0.0.0/8}  and {服务器ip,等于,122.0.0.0/8})or({客户端ip,等于,122.0.0.0/8} and {服务器ip,等于,121.0.0.0/8})

    维度表达式的用法说明:

     1. { }  用于一个过滤,相当于

        

     2. [ ] 用于匹配条件内部多个值,相当于

        

     3. ( )用于or、and表达式中的组件,括号内的表达式优先执行,以下两个表达式的结果是完全不一样的:

    • {服务端口,等于,443} and {服务器ip,等于,10.59.0.37}or {服务端ip,等于,10.59.0.39}
    •   {服务端口,等于,443} and{服务器ip,等于,10.59.0.37} or  {服务端ip,等于,10.59.0.39}

    。。。。。。

  • 相关阅读:
    实验 7 综合练习一
    实验或作业模版: 实验 6-1 最大公约数 最小公倍数
    实验 6 数组1
    Pro
    作业 4 函数应用
    老大
    双端队列
    zxa and leaf
    Baby Ming and Matrix games
    The more, The Better
  • 原文地址:https://www.cnblogs.com/yaoyaojcy/p/12395237.html
Copyright © 2020-2023  润新知