Einstellungen für Listener-Port, Erfassung und Speicherung

Über das Dialogfeld „NTA-Einstellungen“ (EINSTELLUNGEN > Netzwerkdatenverkehrsanalyse > NTA-Einstellungen) können Sie auf die NTA-System- und Anwendungseinstellungen zugreifen, z. B. auf die Detailliertheit und den Schweregrad von Protokollmeldungen, die Überwachungsports und das Erfassungsintervall, Datenspeicherung und Datenverwaltungseigenschaften. Außerdem können Sie automatisch überprüfen lassen, ob eine Überschreitung der Grenzwerte für die Größe des NTA-Datenbankspeichers droht, indem Sie Alarme mit der WhatsUpHealth-Schwelle und regelmäßige Berichte wie Archiv-Datenbankgröße und Datenbanktabellen-Nutzung einrichten.

Einstellungen für den NTA-Listener und die Datenerfassung

Dialogfeld „NTA-Einstellungen“ (Bereich „Listener und Protokolleinstellungen“)

1Small

Listener. Geben Sie die TCP/IP-Portnummer, die IP-Adresse (oder beide) ein, die der Netzwerkdatenverkehrsanalyse-Collector-Dienst für die Überwachung der Flow-Pakete verwenden soll. Lassen Sie das Feld leer, um die Standardeinstellung zu verwenden. Mit Netzwerkdatenverkehrsanalyse können auch mehrere Ports/IP-Adressen überwacht werden.

  • (IP-Adresse) Wenn Sie keine IP-Adresse oder den Wert „0.0.0.0“ angeben, überwacht der NTA-Collector alle IPv4-Adressen. Damit IPv6 überwacht wird, muss eine IPv6-Adresse hinzufügt werden, oder es muss mit der Notation [::] angegeben werden, dass alle Adressen überwacht werden sollen.
  • (Port) Wenn Sie keine Portnummer angeben, wird Port 9999 als Standardwert verwendet.

Tip: Flow-Exporter auf Quellgeräten von verschiedenen Herstellern (HP, Cisco, Extreme Network usw.) verwenden verschiedene Zielports für NetFlow-Pakete (z. B. 2055, 9995 und 9996).

 

Note: Wenn Sie Netzwerkdatenverkehrsanalyse so konfigurieren, dass die Überwachung nicht am Standardport erfolgt, müssen Sie sich vergewissern, dass der neue Port nicht von einem anderen Dienst verwendet wird. Wenn Sie die Windows-Firewall einsetzen, müssen Sie zudem dafür sorgen, dass der Firewall eine Ausnahme hinzugefügt wird.

Note: Es kann mehr als ein Endpunkt konfiguriert werden. Geben Sie mehrere Endpunkte als kommagetrennte Liste ein. Beispiel: [IP-Adresse1:Port1], [IP-Adresse2:Port2], ...

2

Protokollstufe. Wählen Sie die Angaben zu den Protokollstufen aus. Jede Stufe enthält höhere Schweregrade. So enthält „Ausführlich“ beispielsweise die Schweregrade Normal und Fehler.

  • Nur Fehler. Aufzeichnung von Protokollmeldungen, bei denen es sich um Fehler handelt.
  • Normal. Aufzeichnung von Protokollmeldungen mit Schweregrad „Fehler“ und „Information“.
  • Ausführlich. Wählen Sie diesen Schweregrad, wenn Sie die Protokollierungsstufe mit den meisten Informationen wünschen (zur Fehlerbehebung am besten geeignet). Diese Option kann dazu führen, dass sehr viele Protokollmeldungen erzeugt werden, wodurch die Systemleistung möglicherweise herabgesetzt wird.

3

Datenerfassungsintervall. Wie oft NTA-Daten in der Datenbank gespeichert werden. Geben Sie an, wie oft Netzwerkdatenverkehrsanalyse Flow-Rohdaten von den Quellen in die Datenbank übernehmen soll.

Zur Auswahl stehen 1, 2, 3, 4, 5 und 10 Minuten. Standardmäßig werden Rohdaten alle 2 Minuten in die Datenbank übernommen.

Important: Die Änderung der Einstellungen für das Datenerfassungsintervall wirkt sich auf die grafische Darstellung (Gruppierung der Flow-Rohmessungen nach Intervall) aus und beeinflusst die zeitliche Genauigkeit in den Netzwerkdatenverkehrsanalyse-Berichten. Beispiel: Wird für das Intervall 5 Minuten angegeben, können Sie eine Datenverkehrsspitze, die während der ersten Minute erfasst wurde, nicht von dem Datenverkehr unterscheiden, der in der vierten Minute erfasst wurde.

Datenerfassungsintervall 2 Minuten mit „Letzte 30 Minuten“ (Pfeile zeigen Spitzen und Täler)

Stundenintervall für den gleichen Zeitraum (Stündliche Trends und minutenweise Trends maskiert)

4

Intervall für die Auflösung privater Adressen. Stößt der Netzwerkdatenverkehrsanalyse-Collector-Dienst auf eine IP-Adresse, versucht er, Informationen zum Host zu ermitteln, der mit dieser IP-Adresse verknüpft ist. Nachdem diese Informationen aufgelöst sind, werden sie in der Netzwerkdatenverkehrsanalyse-Datenbank gespeichert. Geben Sie das Intervall (in Stunden) ein, das verstreichen soll, bis Netzwerkdatenverkehrsanalyse die private IP-Adresse noch einmal prüft und diejenigen Informationen auflöst, die sich zu der Adresse geändert haben. Standardmäßig werden private Adressen alle 48 Stunden aufgelöst.

Intervall für die Auflösung öffentlicher Adressen. Stößt der Netzwerkdatenverkehrsanalyse-Collector-Dienst auf eine IP-Adresse, versucht er, Informationen zum Host zu ermitteln, der mit dieser IP-Adresse verknüpft ist. Nachdem diese Informationen aufgelöst sind, werden sie in der Netzwerkdatenverkehrsanalyse-Datenbank gespeichert. Geben Sie das Intervall (in Stunden) ein, das verstreichen soll, bis Netzwerkdatenverkehrsanalyse die öffentliche IP-Adresse noch einmal prüft und diejenigen Informationen auflöst, die sich an der Adresse geändert haben. Standardmäßig werden öffentliche Adressen alle 720 Stunden (30 Tage) aufgelöst.

Tip: Da öffentliche IP-Adressen weniger häufig geändert werden, sollten Sie dafür größere Intervalle verwenden als bei der Option „Intervall für die Auflösung privater Adressen“.

Ablauf des nicht klassifizierten Datenverkehrs nach. Geben Sie die Anzahl der Stunden ein, nach deren Ablauf Netzwerkdatenverkehrsanalyse den nicht klassifizierten Datenverkehr endgültig löschen soll. Bei einem nicht klassifizierten Datenverkehr handelt es sich um Datenverkehr, der über Ports übertragen wird, die aktuell nicht von Netzwerkdatenverkehrsanalyse überwacht werden. Standardmäßig ist für diese Option „1“ angegeben. Das führt dazu, dass Daten für alle nicht klassifizierten Ports von Netzwerkdatenverkehrsanalyse als einzelner Wert zusammengeführt und gespeichert werden; weitere Einzelheiten zu den jeweiligen nicht klassifizierten Ports, über die Datenverkehr stattgefunden hat, werden verworfen.

Important: Überlegen Sie sich gut, wenn Sie die Zeit für Ablauf des nicht klassifizierten Datenverkehrs nach erhöhen möchten, da die Netzwerkdatenverkehrsanalyse-Datenbank bei einer Erhöhung erheblich anwachsen kann.

Note: Der Collector löscht sämtliche nicht klassifizierten Daten, bei denen nach dem angegebenen Schwellenwert für den Ablauf des nicht klassifizierten Datenverkehrs nach keine Aktivität mehr zu verzeichnen ist.

 

Datenspeicherung (ohne Datenbereinigung und Anpassung)

Mit dem Abschnitt „Datenspeicherung“ im Dialogfeld „Einstellungen für den Flow-Monitor“ können Sie Parameter für die Datenspeicherung von beobachteten Flow- und Schnittstellendaten festlegen. Durch periodische Wartung und Archivierung von empfangenen Flow-Daten werden die für die Datenverarbeitung und ‑speicherung benötigten Systemressourcen minimiert und die Reaktionsfähigkeit des Systems bei datenintensiven Vorgängen verbessert.

Caution: Die Funktion Zu speichernder Datenverkehr (Prozent) ist sehr empfindlich! Wenn die automatische Abstimmung deaktiviert wird, kann schon eine Erhöhung der Flow-Daten im Promillebereich bei einem Netzwerk mit hohem Datenaufkommen zu einer riesigen Vergrößerung der Datenbank führen. Es wird empfohlen, die automatische Abstimmung zu verwenden.

Dialogfeld „NTA-Einstellungen“ (Bereich „Datenspeicherung“)

5

Sie können die Datenspeicherung von Flow-Daten entweder manuell feinjustieren oder von Netzwerkdatenverkehrsanalyse automatisch abstimmen und optimieren lassen. Die Justierung ist zur Verwaltung der Wachstumsrate der Netzwerkdatenverkehrsanalyse-Datenbanken notwendig.

Automatische Abstimmung aktiviert automatische Bereinigung der Flow-Daten

Tip: Es hat sich bewährt, die automatische Abstimmung der NTA-Flow-Datenspeicherung zu aktivieren. Durch die automatische Abstimmung können leere oder unwesentliche Daten bereits vor der Aufnahme in die Datenbank bereinigt werden. Die bedarfsgerechte Bereinigung von eingehenden Daten kann die Leistung verbessern, ohne die Genauigkeit zu beeinträchtigen.

Flow-Daten enthalten viele Parameter (Eingangs- und Ausgangsschnittstellen, Quell- und Ziel-IP-Adressen, Portnummern, Byte-Raten, Flow-Endzeiten usw.), die nützliche Informationen liefern, was jedoch Speicherplatz verbraucht. Durch das Rollup der Daten wird die Speicherung zwar effizienter, es kann jedoch zum Verlust zeitbezogener Informationen innerhalb einzelner Flows kommen.

Die folgenden Parameter werden verwendet, um die Säuberung von Flow-Daten zu steuern.

Automatisches Abstimmen der Flow-Datenspeicherung. Bei Auswahl dieser Option optimiert der Netzwerkdatenverkehrsanalyse-Collector die Einstellungen für die Flow-Datensäuberung. Dadurch lässt sich die Datenbankgröße im Hinblick auf die Systemleistung besser kontrollieren. Standardmäßig ist die automatische Abstimmung aktiviert. Es hat sich bewährt, die automatische Abstimmung der Flow-Datenspeicherung zu aktivieren.

Zu speichernder Datenverkehr (Prozent). (Manueller Modus, nicht empfohlen, sehr empfindlich) Wenn Sie auf diese Einstellungen zugreifen möchten, müssen Sie das Kontrollkästchen Automatisches Abstimmen der Flow-Datenspeicherung deaktivieren. Mit dieser Option können Sie den Prozentsatz für den Rohdatenverkehr festlegen, den der Collector in die Datenbank übernehmen soll. Wenn diese Funktion falsch eingesetzt wird, kann die Datenbank sehr schnell überlaufen. Die Größe der NTA-Datenbank kann mit den Berichten Datenbanktabellen-Nutzung und Archiv-Archiv-Datenbankgröße angezeigt werden. Größentrends können mit der WhatsUpHealth-Schwelle überwacht werden.

Caution: Stellen Sie vor der Erhöhung dieser Einstellungen sicher, dass ausreichend Speicherplatz und I/O-Leistung vorhanden sind. Die Standardeinstellungen für die Datensäuberung sind konservativ. Eine Änderung der Rollup-Eigenschaften kann sich direkt auf die Größe der Netzwerkdatenverkehrsanalyse-Datenbank und somit auf die Leistung der Anwendung auswirken. Beobachten Sie die Auswirkungen solcher Änderungen auf die Datenbankgröße des Netzwerkdatenverkehrsanalyse-Collectors und die Anwendungsleistung.

 

6

Note: Wenn Sie den Cursor in ein Feld setzen, um einen Wert zu ändern, erscheint am unteren Rand des Dialogfelds eine Meldung. Diese Meldung liefert Informationen und Empfehlungen zu den Maximalwerten für Anzahl und Prozentsatz der Flow-Datensätze, die in der Netzwerkdatenverkehrsanalyse-Daten- und -Archivdatenbank gespeichert werden. Sobald Sie Änderungen vornehmen, können Sie der Meldung entnehmen, wie sich diese Änderungen auf die Anzahl der in der Netzwerkdatenverkehrsanalyse-Daten- und ­Archivdatenbank gespeicherten Datensätze auswirken werden.

Auf einen Speicherzeitraum klicken, um aktuelle Gesamtwerte anzuzeigen (Abbildung zeigt tägliche NetFlow-Archivdaten)

Speicherzeitraum für Rohdaten. (Standardwert = 4 Stunden) Geben Sie die Mindestdauer (in Stunden) an, für die Flow-Paketdaten gespeichert werden sollen, oder behalten Sie den Standardwert bei. Die Flow-Rohdaten am Ende dieses Zeitfensters werden gelöscht. Sie können auch weiterhin auf die Daten zugreifen, die in stündlichen und schließlich täglichen Gesamtwerten zusammengefasst wurden. Die Zusammenfassung der Rohdatenmessungen erfolgt sofort bei Dateneingang. Die Berichtdiagramme ergeben jedoch nur dann Sinn, wenn ein Zeitraum verwendet wird, der größer als das Datenerfassungsintervall ist.

Speicherzeitraum für stündliche Daten. (Standardwert= 4 Tage) Geben Sie (in Tagen) an, wie lange die stündlichen Daten gespeichert werden sollen, oder behalten Sie den Standardwert bei. Haben stündliche Daten dieses Alter erreicht, findet ein Rollup für sie statt. Das Rollup von stündlichen Daten erfolgt täglich.

Speicherzeitraum für tägliche Daten. (Standardwert = 15 Tage) Geben Sie (in Tagen) an, wie lange die täglichen Daten mindestens gespeichert werden sollen, bevor sie archiviert werden, oder behalten Sie den Standardwert bei. Haben tägliche Daten dieses Alter erreicht, werden sie archiviert. Die archivierten Daten können von Netzwerkdatenverkehrsanalyse mit einigen Einschränkungen weiter eingesehen werden. Diese Daten werden täglich ins Archiv verschoben.

Speicherzeitraum für Archivdaten. Geben Sie (in Tagen) an, wie lange die archivierten Daten gespeichert werden sollen, oder behalten Sie den Standardwert (40 Tage) bei. Mit dieser Einstellung wird ein fortlaufendes Zeitfenster für archivierte tägliche Daten eingerichtet, das sich über die angegebene Anzahl von Tagen erstreckt. Wenn der angegebene Zeitraum für die Speicherung von Archivdaten abgelaufen ist, werden die Daten aus der Flow-Collector-Datenbank gelöscht. Netzwerkdatenverkehrsanalyse kann nach der Löschung keine Berichte zu diesen Daten mehr erstellen.

Legen Sie fest, wie lange Rohdaten, stündliche, tägliche und archivierte Daten gespeichert werden sollen.

Beachten Sie vor der Änderung der Standardeinstellungen folgende Gründe zur Speicherung dieser Daten:

Daten

Verwendung/Beschreibung

Nützlich für

Rohdaten

  • Hierbei handelt es sich um die tatsächlichen Flow-Pakete.
  • Die Rohdaten werden so oft pro Stunde erfasst, wie im Datenerfassungsintervall angegeben wurde.
  • Die Rohdaten werden zu stündlichen Datengesamtwerten für die aktuelle Stunde zusammengefasst.
  • In der Darstellung treten Spitzen-, Tal- und Änderungsereignisse als Vielfaches dieser Zahl auf.

Die Rohdaten bilden die Grundlage des Flows und sind für alle anderen Zeitintervalle notwendig. Die Speicherung von Rohdaten, die in kurzen (z. B. zweiminütigen) Intervallen erfasst werden, ist auch hilfreich für:

  • Vergrößerung von stündlichen Daten auf eine minutenweise Ansicht.
  • Zeitnahe Fehlerbehebung.
  • Erkennung von Bursts oder Ausfällen, die weniger als eine Stunde, eine halbe Stunde, einige Minuten oder eine Minute dauern (je nach Wert dieser Einstellung).

Stündlich

  • Stündliche Daten werden einmal pro Stunde gespeichert.
  • Stündliche Daten werden zu täglichen Datengesamtwerten zusammengefasst.
  • In der Darstellung treten Spitzen-, Tal- und Änderungsereignisse einmal pro Stunde auf.
  • Überwachung von täglichen Trends und geschäftigen Tageszeiten, z. B. wenn sich Datenverkehrszeiträume von mehreren Zeitzonen überlappen.
  • Vergrößerung von täglichen Daten auf eine stundenweise Ansicht.

Täglich

  • Tägliche Daten werden einmal täglich gespeichert.
  • Diese täglichen Daten werden ins Archiv verschoben.
  • In der Darstellung treten Spitzen-, Tal- und Änderungsereignisse einmal pro Tag (alle 24 Stunden) auf.

Anzeige von langfristigen Trends (Wochen-, Monats-, Quartalstrends).

Archiv

  • Bei den Archivdaten handelt es sich um den langfristigen Speicher von täglichen Daten.
  • In der Darstellung treten Spitzen-, Tal- und Änderungsereignisse einmal pro Tag (alle 24 Stunden) auf.

Anzeige von langfristigen Trends (Wochen-, Monats-, Quartalstrends).

See Also

Netzwerkdatenverkehrsanalyse

Erste Netzwerkanalyse

Vor Beginn der Überwachung

Funktionen und Vorteile von NTA

Auswahl der NTA-Quellen

Konfigurieren und Aktivieren der Erfassung an Quellen

Aggregierte Quellen erstellen

Zusammenführen von Quellen

Gruppieren von Datenverkehr

Datenverkehr nach Portnummer klassifizieren (NTA-Anwendungen)

Hinzufügen benutzerdefinierter Kennzeichnungen für Diensttyp-IDs (ToS)

Wartung der Collector-Datenbank

Reduzieren und Analysieren von Datenverkehr mit dem erweiterten Filter

Einstellungen für die Netzwerkdatenverkehrsanalyse

IP-Bewertungsbibliothek