La soluzione completa e automatica per gestire le infrastrutture di rete

TrafficInsights – Attivazione e funzionalità

KB52179

Ultimo aggiornamento: 06 November 2020

Nuova feature di analisi traffico Flow: Il monitoraggio Auvik diventa ancora più potente

SaaS

Contenuti

  • Cos’è TrafficInsights?
  • Configurare un nuovo dispositivo per TrafficInsights
  • Gestire dispositivi abilitati a TrafficInsights
  • La dashboard di TrafficInsights
  • La barra filtri
  • La selezione di intervalli di tempo
  • L’area Applications
  • L’area Protocols
  • L’area Top-N
  • L’area Geolocation
  • L’area Flows
  • Come Disattivarlo

Cos’è TrafficInsights?

TrafficInsights è una nuova funzionalità di Auvik che ti permette di avere ampia visibilità sul traffico dati che passa attraverso le reti dei tuoi clienti.
Con TrafficInsights puoi vedere il tutto flusso di traffico rete che passa per i dispositivi abilitati, suddiviso per applicazione, protocollo, indirizzo ip e porte, e una rappresentazione grafica di dove il traffico è diretto una volta che lascia la rete.
Ad esempio, ti sarà facile capire:

  • Chi sta usando applicazioni non autorizzate come BitTorrent
  • Chi sta impegnando in modo esagerato la banda
  • Perché il server web del tuo cliente riceve così tante connessioni dalla Cina
  • Verso cosa si è collegato un server hackerato durante un’infezione

TrafficInsights può analizzare dati provenienti da dispositivi che supportino NetFlow v5, NetFlow v9, IPFIX, J-Flow e sFlow.

TrafficInsights: da cosa partire?

Non ti occorrono ulteriori dispositivi o software per utilizzare TrafficInsights. Devi soltanto configurare i tuoi attuali Auvik collector affinchè leggano i dati di tipo flow che ricevono.
La configurazione è davvero semplice e veloce. Questa guida ti spiega esattamente come fare.

Configurare un nuovo dispositivo per TrafficInsights

Innanzitutto assicurati che il Client su cui stai lavorando sia di tipo Performance. Trovi i riferimenti nella KB a questo link.

TrafficInsights deve essere inizializzato su tutti i dispositivi per i quali vuoi monitorare il traffic flow. Per questa ragione, la configurazione dovrà essere fatta a livello client, non a livello MSP.
Ricordati, affinchè un dispositivo sia compatibile col tool TrafficInsights, dovrà essere in grado di fornire dati di tipo NetFlow v5, NetFlow v9, IPFIX, J-Flow o sFlow.

1- Dalla dashboard client, cliccare sul dispositivo che vuoi gestire con TrafficInsights
2- Dalla dashboard device, cliccare TrafficInsights > Setup

3- Sulla finestra di setup, vedrai i dettagli su come configurare il tuo dispositivo per inviare flow data. Tali dettagli avranno un aspetto simile a questo:

  • Collector ip address: l’indirizzo ip del collector Auvik.
  • Collector Ports: Le porte sui quali l’Auvik collector è configurato a ricevere dati di tipo flow. Hai bisogno di selezionarne solo una, se non sei sicuro quale, usa la 2055.

4- Ora devi collegarti al tuo dispositivo per configurare un protocollo di flow usando le informazioni del punto 3. La configurazione sarà leggermente diversa per ciascun dispositivo, ma questi sono i parametri raccomandati:

  • Active timeout: 1 minuto
  • (opzionale) Report on connection open: False
  • (opzionale) Report on connection close: True
  • Opzione default per gli altri parametri

5- Una volta che Auvik rileva dati di tipo flow generati dal dispositivo, la dashboard del dispositivo cambierà. Vedrai una spunta verde. Di norma occorre qualche secondo affinchè i dati comincino ad essere elaborati, quindi se sei sicuro di aver seguito gli step di configurazione forniti dal vendor del dispositivo ma non vedi il pulsante Approve entro i successivi 5 minuti, chiedi aiuto a support@auvik.com o contatta il supporto Achab.

Per abilitare la dashboard TrafficInsights, clicca sul pulsante Approve.


 6- Per accedere al tool TrafficInsights e poter visualizzare i dati rilevati da dispositivo, cliccare View device in TrafficInsights

In alternativa, puoi accedere alla dashboard TrafficInsights cliccando TrafficInsights > Launch Dashboard dalla dashboard del dispositivo. La dashboard TrafficInsights si aprirà in una nuova scheda.

Gestire dispositivi abilitati a TrafficInsights


Nella barra laterale di navigazione di Auvik c’è una nuova sezione: TrafficInsights.

Da qui potrai gestire tutti i dispositivi che hai abilitato all’invio di dati di tipo flow.

  • Summary ti mostra la lista completa dei dispositivi che inviano dati di tipo flow, incluso il loro stato. Da MSP level, potrai visualizzare una colonna con il nome del cliente al quale appartengono i vari dispositivi.
  • Launch Dashboard apre la dashboard Trafficinsights. La visualizzazione di default è All, e ti mostra tutto il traffico che gestito dai dispositivi abilitati a TrafficInsights.

La dashboard di TrafficInsights

La dashboard TrafficInsights comprende differenti aree, e anche elementi comuni alle differenti aree. Puoi navigare attraverso le differenti aree usando la barra laterale.
Sulla parte alta della finestra si trova la entity navigation bar (o barra filtri). Questa barra permette di filtrare il traffico da visualizzare in base al tipo e in base a un determinato periodo di tempo, inoltre permette di selezionare una unità di misura per la visualizzazione dei dati.
Sulla parte bassa della finestra si trova la barra di selezione di intervallo di tempo, che permette di definire in maniera più precisa la selezione temporale fatta da barra filtri.
Il traffico di rete è visualizzato al centro della finestra.

La barra filtri

La barra filtri ti permette di configurare elementi generici comuni a tutte le aree. Questa barra rimane statica quando passi da un’area ad un’altra, così che tu possa analizzare il traffico da diversi punti di vista.
Da sinistra a destra, il primo elemento è il Client name.
Subito dopo, nella barra filtri, troviamo All, un menu a tendina dove puoi selezionare qualunque dispositivo (abilitato al data flow) relativo al cliente selezionato. Puoi anche scegliere di lasciare la lista impostata ad All, che ti permetterà di visualizzare tutto il traffico dei diversi dispositivi contemporaneamente. I dati visualizzati nella finestra sono definiti dal client e dal dispositivo che abbiamo selezionato.
Il terzo elemento della barra filtri è il Calendar, che puoi utilizzare per selezionare un periodo di tempo da analizzare. Puoi definire meglio l’intervallo di tempo usando la barra di selezione di intervallo di tempo (che verrà spiegata più avanti in questa guida).

Il pulsante Add Filter apre la finestra di filtri avanzati. Da qui puoi restringere la ricerca sul traffico di rete in maniera puntuale, ad esempio filtrando una subnet, un indirizzo ip o una regione in particolare.

Tutti i report sul traffico in TrafficInsights sono suddivisi per gruppi di applicazioni e applicazioni.
Il pulsante Application (in alto a destra, l’icona a forma di bussola) ti permette di scegliere i differenti tipi di applicazione o le specifiche applicazioni che ti interessano.

Il pulsante Settings (in alto a destra, l’icona identificabile come tre punti uno sopra l’altro) ti permette di scegliere quale unità di misura utilizzare nella presentazione dei dati. Ci sono due gruppi principali –absolute e average values– calcolati in bits, bytes, pacchetti e flow. La funzione Settings inoltre ti permette di modificare il layout della finestra da light a dark e viceversa.

Barra di selezione di intervallo di tempo

La barra di selezione di intervallo di tempo, nella parte bassa della finestra, ti permette di scegliere uno specifico intervallo di tempo all’interno del range di date impostate nella barra filtri. L’intervallo impostato qui sarà mantenuto spostandosi tra le diverse aree.

Area Applications

TrafficInsights mostra di default ciò che viene chiamata area Applications. Questa visualizza l’utilizzo di banda suddiviso per gruppi di applicazione.
Sulla parte alta della finestra, il tipo di traffico selezionato viene mostrato in grafici a torta e a barre. Sotto i grafici, una timeline permette di analizzare l’andamento del consumo di banda nel corso del periodo di tempo specificato.

Per vedere nel dettaglio specifici gruppi di applicazioni o singole applicazioni, potrai usare l’application selector nella barra filtri oppure cliccare direttamente un punto sui grafici.

Area Protocols

Nelle aree Protocols area viene rappresentato l’utilizzo di banda suddiviso per protocollo anziché per applicazione. Come per le aree Applications, Le aree Protocols mostrano la distribuzione di traffico in grafici a torta e a barre e ne permettono la visualizzazione su timeline.
Nelle aree Protocols, come in tutte le aree, puoi filtrare i dati per applicazione o altri parametri come il paese o l’indirizzo ip, utilizzando la barra filtri. Questo ti aiuterà ad identificare quale protocollo sta utilizzando una specifica applicazione.

Area Top-N

L’area Top-N ti aiuta a identificare il comportamento di singole entità all’interno della rete. L’area Top-N comprende cinque sotto-aree: Summary, Top Address, Top Conversations, Top Autonomous Systems and Top Ports.
La vista predefinita è impostata sulla sotto-area Summary, che ti dà una panoramica sulle informazioni relative alle altre sotto-aree.
La aotto-area Conversations ti mostra la coppia di indirizzi ip che sta effettuando lo scambio maggiore di traffico dati. Questo perché altrimenti guardare singoli indirizzi ip nella sotto-area Top Adresses può essere furviante. A esempio, non è sempre detto che il top source ip address stia comunicando con il top destination ip address.
Le restanti sotto-aree sono piuttosto semplici ed autoesplicative.
Come per tutte le aree, puoi filtrare i dati per applicazione dalla barra filtri. Questo ti può aiutare ad identificare le porte utilizzate da una specifica applicazione, un indirizzo ip che causa un improvviso picco di utilizzo, o quali dei pc aziendali sta effettuando connessioni peer-to-peer.

Area Geolocation

L’area Geolocation visualizza la distribuzione del traffico suddiviso per area geografica. I dati sono mostrati per indirizzo ip sorgente e destinatario.
Con l’area Geolocation puoi individuare dove sono localizzati gli utenti di rete che stanno consumando banda o effettuando attività anomale.

Area Flows

Le aree Flows ti permettono di implementare interrogazioni puntuali sul traffico di rete che TrafficInsights sta processando.  Le aree Flows forniscono il mezzo di approfondimento più accurato e sono utilizzate per studiare e analizzare le caratteristiche di una specifica anomalia.
Utilizzando gli specifici campi potrai impostare i parametri di ricerca. Per esempio, potrai cercare per indirizzo ip, porte, protocolli o sistemi autonomi.
Le ricerche sono limitate a 1000 righe per evitare un sovraccarico sul browser.

Una volta che confermi i parametri di ricerca, vedrai una lista di statistiche di flow. Potrai esportare queste statistiche su un file CSV, per poi importarle su potenzialmente qualunque foglio di calcolo. Puoi anche elaborare i dati utilizzando degli script per estrapolare informazioni specifiche nelle quali sei interessato.

Come disattivare TrafficInsights

Per disattivare la funzionalità TrafficInsights fare riferimento alla KB a questo link.

New call-to-action