Drum prüfe, wer sich ewig bindet

Kommentieren Drucken

Haben sie schon einmal über die Beschaffung von Analysetechnik nachgedacht? Nein, es geht nicht um den Ersatz für Ihren portablen Protokollanalysator (Sniffer oder ähnliches), sondern um Geräte zur Hochleistungs-Paketaufzeichnung. Wenn Sie beispielsweise in der komplexen Welt Ihrer Rechenzentren Kommunikationsvorgänge analysieren und wirklich verstehen wollen, müssen Sie letztlich auf die Datenpakete schauen. Sie müssen die Daten mit den im RZ auftretenden Bitraten – im allgemeinen also mit 10 GBit/s oder Vielfachen davon – aufzeichnen und vor allem auch abspeichern können.

Dazu benötigen Sie Systeme mit entsprechenden Schnittstellen und viel Speicher. Eine Stunde Datenübertragung mit 10 GBit/s entspricht eben 4,5 TByte. Außerdem brauchen Sie eine Software, die Sie in die Lage versetzt, interessante Kommunikationsvorgänge und eventuelle Fehlerereignisse herausfiltern zu können. Und wenn Sie schon Datenpakete aufzeichnen, könnten Sie diese gleich noch auf sicherheitsrelevante Ereignisse überprüfen. Sie wären dann in der Lage, im Zweifel eine Post-Mortem-Analyse durchzuführen und beispielsweise die Wege herauszufinden, über die kritische Daten nach Außen gelangt sind.

Solche Systeme, also die Kombination aus High-Speed-Netzwerkkarten, leistungsfähiger Appliance und massenhaft Festplattenspeicher sind sehr teuer. Eine Investition in diese Analysetechnik verschlingt ohne weiteres fünf- bis siebenstellige Summen. Man geht also eine langfristige Bindung mit dem Hersteller ein, die vorab gut überlegt sein sollte. Zu diesem Zweck haben wir in den vergangenen Wochen ein Proof of Concept mit mehreren solcher Systeme in einem Kundennetz durchgeführt. Dabei sind spannende und teilweise erstaunliche Ergebnisse ans Licht gekommen.

Erstaunt haben uns beispielsweise die Performance-Unterschiede. Das einfache „Weg-schreiben“ der Daten gelang allen von uns untersuchten Systemen mit vergleichbarer Performance. Kommunizierten jedoch innerhalb kurzer Zeit sehr viele Stationen miteinander, sank die Performance bei solchen Analyse-Systemen dramatisch ab, die bereits während der Paketaufzeichnung Statistiken erzeugen und als „Metadaten“ abspeichern. Diese Systeme waren dagegen unschlagbar schnell, wenn es darum ging, bestimmte Daten aus einer Terabyte-großen Paketaufzeichnung herauszufiltern.

Anderseits, was nützen einem die tollsten Performance-Werte, wenn man gar nicht weiß, welche Pakete man aus dem Datenstrom heraussuchen soll. Hierfür sind einerseits Statistiken nützlich und andererseits so genannte Experten, die bestimmte Ereignisse in Datenströmen feststellen und melden. Und auch in dieser Beziehung unterschieden sich die Systeme im Test erheblich. War ein System stark auf das Trouble Shooting zugeschnitten und glänzte mit einem guten Experten, konnte man mit einem anderen System fast beliebige Statistiken in bunten Kurven und Kuchendiagrammen auf benutzerspezifischen „Dashboards“ zusammenstellen. Bot ein System viele nützliche Darstellungen bereits vorkonfiguriert, war dafür auf einem anderen System ein erheblicher Aufwand inklusive Hersteller-Unterstützung vonnöten.

Letztlich kommt es auf die typische Arbeitsweise an, mit der ein bestimmtes Analysesystem zu bedienen ist. Und darauf, wie sich diese Arbeitsweise mit Ihren Ansprüchen und Vorlieben deckt. Unsere Tester beispielsweise wollten alarmiert werden, wenn zu viele TCP-Retransmissions auftraten. Dann sollte im entsprechenden Zeitraum ermittelt werden, welche Clients und Server davon am meisten betroffen waren, um das Problem räumlich eingrenzen zu können. Mittels Paketanalyse besonders betroffener Verbindungen sollten anschließend Ursachen nachgewiesen werden.

In Ihrer Umgebung stellen sich ganz andere Fragen und Sie suchen das passende Werkzeug? Machen Sie die Probe aufs Exempel und testen Sie vor Ort in Ihrer Live-Umgebung. Die Herstellerpräsentation reicht nicht. Beim Autokauf ist die persönliche Probefahrt eine Selbstverständlichkeit. Warum nicht auch bei der Beschaffung von Analysetechnik, deren Preis den eines Autos zuweilen um ein Vielfaches übersteigt?

zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.