时间戳

首页 > 技术文章 > nCompass功能使用-数据表格

nCompass功能使用-数据表格

yaoyaojcy 2020-03-02 13:43 原文

单击返回:自学N-Compass之路 
nCompass功能使用--数据表格

1. 利用数据表格分析数据

1.1   编辑数据表格内的选项卡介绍

选项卡《选择维度》:

  • 应用:   应用/应用组/域名/URL
  • 站点:   站点/站点组/客户端站点/服务端站点/客户端站点组/服务端站点组
  • IP    :   IP/服务端IP/客户端IP/IP通讯对/服务端口/客户端口/服务端IP端口/XFF-IP
  • 采集点:探针名称/Vxlan ID/租户/租户组/Vlan/内层vlan/数据中心
  • 其他   : MPLS标签/Qos/网络位置/三层协议类型/四层协议类型/MAC地址/MAC地址_服务端/MAC地址_客户端/MAC厂商/MAC厂商_服务端/MAC厂商_客户端/国家/省份/城市/运营商/运营商_客户端/国家_服务端/国家_客户端/省份_服务端/省份_客户端/城市_服务端/城市_客户端/VTEP1/VTEP2/VTEP1_ID/VTEP2_ID/YARA规则/应用顺序号/IP版本

选项卡《选择指标》:

  • 网络流量:总包数/流入包数/流出包数/总流量/流入流量/流出流量/总PPS/流入PPS/流出PPS/小包占比/大包占比/中包占比/站点带宽/站点流出利用率/站点流出利用率/客户端数量/应用数量
  • 网络性能:客户侧丢包率/服务测丢包率/客户端网络时延/服务端网络时延/重传时延/客户端重传时延/服务端重传时延/客户端重传数/服务端重传数/客户端传输时延/服务端传输时延/客户端性能延时/服务端性能延时/网络评分
  • 网络连接:活动会话数/建连成功率/建连失败率/SYN包数量/SYNACK包数量/建连服务端失败/建连服务端重置/建连服务端无响应/服务端队列不足/建连服务器端失败-其他/建连客户端失败/端口复用/客户端重传次数不足/建连客户端失败=其他/建连客户端无响应/客户端Reset/服务端Reset/建连客户端重传/建连服务端重传/服务端拆连请求数/客户端拆连请求数/中间人攻击次数/建连探测/建连异常-SYN/建连异常-SYNACK/拆连个数/TCP评分
  • 应用性能:访问量/TCP建连时间/应用相应时间/用户体验时间/峰值响应时间/首包时延/客户端网络时延/服务端网络时延/客户端重传时延/服务端重传时延/响应快/响应慢/响应超时/拆连超时次数/健康度评分/应用评分
  • 主机性能:服务端小窗口/客户端小窗口/服务端小窗口时延/客户端小窗口时延/TCP窗口时延/客户端净荷/服务端净荷/支持SACK的会话数/应用无响应/客户端最小MSS/服务端最小MSS/客户端SACK分段/服务端SACK分段/服务器评分
  • 区间指标: 峰值流入PPS/峰值流出PPS/峰值活动会话数/峰值新建会话数/峰值建连会话数/峰值建连请求数/平均网络时延/平均丢包率/平均建连成功率/峰值流出利用率/峰值流出利用率/峰值流出利用率时间/峰值流出利用率时间/峰值吞吐量/流出利用率>=70%流出利用率<50%流出利用率50%~70%/流入利用率>=70%流入利用率<50%/流入利用率50%~70%/平均流出利用率

1.2   两种添加维度的比较

  • 一种在接口数据包右键直接----添加维度(只针对某一个接口数据)
  • 一种在右侧按钮直接----修改维度(针对所有接口数据)

 1.3 对比曲线图

按住Ctrl健选择两个数据指标,右侧按钮“对比曲线图”直接进行对比。  如下图显示出两个接口的总吞吐量的对比曲线图。

1.4  对数据通讯对直接下载数据包

1.5  对数据通讯对数据包直接分析(ncompass内置分析模板)

1.5  数据通讯对,数据显示时,选项卡

  • 修改时间: 查看时间,颗粒度1min、5min、1h
  • 开启基线: 基线上下线,默认关闭
  • 数据表格: 直接跳转到数据表格
  • 图表类型: 曲线图、折线图、柱状图、区域图
  • 智能分析: 可编写脚本,实现自动化分析
  • 趋势预测: 基础(预测时间、时间颗粒度、历史数据、数据模型、指标)。(其中可以过滤维度。)

1.6 对数据进行筛选 (筛选维度或者筛选指标)

针对下面数据,只想看到“网络时延”>50ms 的数据,就需要采用筛选功能。

由于“网络时延”是指标, 所以选择右上角“编辑”---“筛选指标” 。

2. 数据表格的使用场景

2.1  场景一:过滤网络中开启了高危端口的服务器,并列出访问高危端口的客户端(高危端口包括:TCP 23,119,135,137,138,139,143,445)

”修改指标“---”过滤维度“----添加服务端口

此时维度却没有”服务端口“, ”修改维度“----IP---添加”服务端口“

现在要查看出访问高危端口的客户端。

  • 全局添加客户端方式: 右侧 “修改维度”----IP---添加“客户端端口”(见下面例子)
  • 针对某一个通讯对添加客户端方式: 通讯对右键 “添加维度”----IP---添加“客户端端口”

2.2 找出网络进行端口扫描的主机。

端口扫描特征,客户端会尝试访问很多应用。

“应用数量”表示客户端一共访问了服务器的服务端口数量。

按“应用数量”排序之后:
SYN包数量很多,但是新建连会话数量确实0,很大概率就是在做扫描。

是否有更精准的办法确认扫描行为? 

更详细的筛选功能,采用指标表达式:  应用数量>100 and (SYN包数量>新建会话数*100) and 建连探测=0

2.3 找出所有121.0.0.0/8和122.0.0.0/8互访的所有通讯对,并统计两个网段间互访流量的大小。

 思考这个问题容易出现误区:

  • 如果直接采用IP作为过滤维度,客户端IP和服务端IP均会在通讯对列出来;
  • 如果再用客户端IP,服务端IP作为过滤维度,但是这样就会是单一方向数据。

采用维度表达式:({客户端ip,等于,121.0.0.0/8}  and {服务器ip,等于,122.0.0.0/8})or({客户端ip,等于,122.0.0.0/8} and {服务器ip,等于,121.0.0.0/8})

维度表达式的用法说明:

 1. { }  用于一个过滤,相当于

    

 2. [ ] 用于匹配条件内部多个值,相当于

    

 3. ( )用于or、and表达式中的组件,括号内的表达式优先执行,以下两个表达式的结果是完全不一样的:

  • {服务端口,等于,443} and {服务器ip,等于,10.59.0.37}or {服务端ip,等于,10.59.0.39}
  •   {服务端口,等于,443} and{服务器ip,等于,10.59.0.37} or  {服务端ip,等于,10.59.0.39}

。。。。。。

推荐阅读