Подробные сведения о категории отчетов Flow Monitor Прочее

Что означает категория приложений Прочее в отчетах Flow Monitor?

В дополнительной строке Прочее в каждом из отчетов Flow Monitor Подробности интерфейса отображается сводка по всем неуказанным элементам данных каждой категории отчета. Неуказанные элементы это те элементы, которые отдельно не отображаются как основные "n" элементов. В строке Прочее выполняется сравнение между указанными элементами, или основными "n" элементами, выбранными для отображения, и остальным трафиком интерфейса. Если строка "Прочее" отображается, она предоставляет обзор относительного размера указанных элементов по сравнению с общим трафиком интерфейса.

Параметр Прочее создает контраст с основными протоколами, перечисленными выше в отчете и отображает оставшийся трафик на интерфейсе. Часто к категории Прочее относится большой процент трафика интерфейса.

"Прочее" представляет собой разницу между трафиком интерфейса, взятым из таблицы "Трафик интерфейса" и потоками, взятыми из таблицы потоков соответствующего отчета:

Прочее = Трафик интерфейса - сумма элементов отчета, не находящихся в категории отчетов Прочее (включая возможные фильтры)

Как информация "Прочее" отображается в отчете Flow Monitor?

Каждый отчет показывает элементы трафика (порты, приложения, источники и так далее) в нисходящей последовательности до тех пор, пока не будет достигнут установленный предел отображаемых элементов ("n"). При увеличении предела отображаемых элементов отчета например, до 30, в отчете появится больше категорий элементов и раздел Прочее будет содержать немного меньше общего трафика в отчете (тек как элементы, ранее сгруппированные в категорию Прочее, будут отображаться в отчете). Однако помните, что целью основных "n" является отображение тех нескольких элементов, которые используются значительно либо избыточно, из чего можно сделать вывод о необходимости корректирующих действий. Отчеты об основных не предназначены для отображения всех элементов трафика Netflow за указанный период времени.

Почему размер данных в разделе Прочее иногда больше ожидаемого?

Данные потоков свертываются чаще, чем трафик интерфейса. Данные потоков перемещаются в архивную базу данных (NFArchive) через несколько дней, в то время как интерфейсные данные хранятся в базе данных Netflow (NetFlow) дольше. Данные потоков удаляются из базы данных через 7 дней или около того.

Потоки хранятся в базе данных NetFlow как сумма периодов хранения данных (необработанные, ежечасные и ежедневные). Но отчет о подробностях интерфейса не опрашивает обе базы данных одновременно, только одну базу единовременно, в зависимости от диапазона дат. Поэтому, если диапазон дат включает время когда потоки находятся в текущей базе данных, будет опрашиваться только текущая база данных. В отчетах "Прочее" данные потенциально идут из двух различных источников (в зависимости от диапазона дат): один источник данных, который активно опрашивает устройства и другой источник данных, который предоставляет данные потока на основе суммы потоков на один интерфейс устройства, что может привести к утере определенных подробностей данных в категории приложений "Прочее".

Мы рекомендуем внимательно обдумать насколько далеко назад во времени осуществляется поиск с целью оценки трафика подробностей интерфейса. Если такая информация требуется на постоянной основе, мы рекомендуем изменить время хранения данных в диалоговом окне Параметры Flow Monitor. Однако в случае получения большого количества данных потоков в сети учтите, что данные потока имеют намного больший размер (нередко в 1000 раз) по сравнению с общими данными интерфейса, поэтому увеличение времени хранения данных будет иметь значительное воздействие на размер базы данных и скорость увеличения их объема.

Также в средах NetFlow с выборкой, например, SFlow, мы не получаем полной картины данных потока из-за периодичности выборки сетевого потока. Из-за этого категория "Прочее" может занимать больший процент трафика интерфейса.