什么是网络监控?
对于任何公司而言,网络监控都是一个复杂而重要的话题。了解其优势和子领域至关重要。
网络监控是网络管理大主题的一部分,是其中的一个流程。网络监控是一项多方面的工作,涉及跟踪网络内发生的情况,以便发现问题、解决问题、优化性能和保持网络效率。这是通过网络监控软件来实现的,该软件负责收集指标、分析并将其呈现给网络管理员,以便在必要时采取行动。
过去,对于扩展范围有限的网络来说,这是一项简单的任务,但随着网络规模越来越大、种类越来越多,这项任务也变得异常复杂。为了帮助管理员有序管理众多需要监控的主机和设备,不同的网络监控协议和有效监控网络的工具应运而生。通过这些协议收集的网络监控指标和利用这些指标的网络监控服务是网络监控的核心。
网络监控不仅包括监控网络的健康状况和性能。它还包括网络性能监控、网络安全监控等子主题。所有或大部分这些都需要网络监控系统的支持,该系统可为管理员提供基础设施的整体视图。
谁需要进行网络监控?
简而言之,监控就像把握基础设施的脉搏。任何想要预防、了解和处理可能出现的问题和故障的人,自然都会对网络监控感兴趣。这包括所有负责操作构成网络基础设施的各种主机和设备的人,而不仅仅是设置这些主机和设备的人。无论是真实的还是虚拟的网络,任何负责维护或操作网络连接设备的人应该考虑对其进行监控。
在大公司,可能会有专门的部门负责网络监控。通常,安全团队也会进行网络监控,因为确保网络安全运行也是通过不断监控来实现的。网络安全监控是监控的一个重要分支,因为网络必须同时具备良好的性能和不受外部攻击的安全性,才能被视为完全 “健康”。
网络监控为何重要?
高性能网络是所有公司 IT 的核心。它包括确保网络基础设施以最佳状态运行,不出现瓶颈、故障或错误。它对整个公司至关重要。要提供产品或服务,要让员工有效工作,高效的网络至关重要。无论公司属于哪个行业,要维持业务运营,就必须有一个全面运作的网络。缓慢或不可靠的网络会导致业务中断,造成形象损失和客户不满,导致可能损失上百万。
网络监控就是为了防止这一切发生。或者,至少在出现网络问题时迅速采取行动。如果工作中没有任何可以进行网络性能监控和一般网络监控的监控系统,就不可能提前发现潜在的问题。管理员只能在问题发生后作出反应,无法及时发现问题并有效了解问题的原因。更糟糕的是,如果没有准确的监控,就只能猜测问题发生的位置和原因,这样一来就无法做好明确的预防。
网络监控的好处
网络监控的好处可想而知。首先,网络监控服务可以让管理员对整个网络有一个最全面的了解。了解各组件的位置、工作方式以及何时出现故障,这样做的好处显而易见,无需多言。
网络监控的一个相关优势是创建基础设施的拓扑结构。通过监控所有主机,可以创建网络中所有硬件和软件的地图。再加上对每个组件性能的监控,您就能够清楚哪些地方需要更强大的硬件、哪些地方扩展不当、哪些地方存在流量拥塞等问题。这样做的重要好处是,你可以知道哪些地方的基础设施需要更新或升级,而无需主动逐一检查。
网络监控的一个更微妙的好处是提高了安全性。通过对硬件和软件运行情况的全面了解,很容易注意到发生的所有变化。如果使用具有实时监控功能的工具,就可以立即看到这些变化,并在出现不合规或不安全的情况时采取措施。因此,网络监控的重要性不仅体现在实际操作层面,还体现在法律和安全层面。
如何监控网络?
监控网络需要使用各种网络协议和一套监控工具,这些工具通常至少包括一组内容,即一项服务和一个管理软件。更常见的是多个服务和管理软件。服务也称为代理,可以预先安装在网络设备上,也可以手动安装和配置。管理软件是收集整个网络的数据并进行分析、创建报告与仪表盘和处理警报的软件。管理软件是中央监控软件,通常安装在网络监控服务器上。通常都会有代理,但也不是一定有,因为通过供应商 API 进行监控是网络监控的最新发展,不需要代理。
网络监控工作包括收集指标并将其发送给管理软件,由管理软件负责配置整个网络监控系统。要分析的数据、如何呈现这些数据、在什么情况下触发警报、设置自动对事件采取行动等,都由网络管理员在配置时完成。如何做到这一切取决于所选择的网络监控工具。
通过监控解决方案不仅可以监控主机和相关服务,通常还可以对其进行管理,以实现各种可能性,其中包括允许管理员远程设置和修改网络设备配置的配置功能。因此,管理网络通常是通过使用监控管理软件来实现的。
需要监控哪些组件?
在设置解决方案时,很容易对需要监控的内容考虑太久。鉴于每台设备通常都需要设置监控,而且监控的设备越多,收集的数据也就越多,因此跳过某些设备是可以理解的。不论是从算力还是人工时间上看,每一组新数据都是一个负担,因此一些管理员可能会认为,尽量只监控对他们最重要的设备是合理的。然而,这意味着将基础架构中的重要部分排除在外,而这些部分可能就是未来问题的原因和症结所在。
因此,需要监控哪些网络组件的答案是:所有组件。您应始终尝试监控整个 IT 基础架构,最好采用一体化方法。只有采取整体的网络监控方法,才有可能全面、准确地了解网络上发生的情况。忽视基础设施的一部分,就有可能在监控中出现微小的、看似无害的盲点。然而,由于所有网络都是相互关联的,这些被忽视的盲点迟早会成为问题和系统中断的原因,而如果从一开始就对它们进行监控,这些问题和系统中断是可以避免的。
至于具体要监控哪些组件,网络监控一般是检查路由器、交换机、接入点、防火墙、传感器、UPS、网络打印机等设备。但这些只是最基本的。所有主机,无论运行的是 Windows、Linux、Unix 还是其他系统,都必须包括在网络监控中,虚拟服务器和云服务器也不例外。现代网络监控服务自然能够监控所有这些类型的真实或虚拟设备。
需要监控哪些指标?
需要监控的最明显参数是那些直接表明网络不太健康的参数:数据包丢包率、错误率和带宽。此外,还可以通过适当的端口监控来了解网络设备端口的状态。通过这些指标,可以了解网络本身是否正常运行以及如何运行。
除上述指标外,了解 CPU 温度和使用情况、内存占用和可用情况、风扇速度、电源电压等特定硬件指标对于了解网络设备的整体健康状况也至关重要。这些指标再加上前文提到的流量指标,共同勾勒了一幅基本完整的图景,可以用于解释哪些设备存在或可能存在问题。
接下来,收集更多与服务相关的指标也很有用。就防火墙而言,需要监控它们的一般状态、开放端口的数量和类型以及活跃连接。在 VPN 监控中,至少要了解隧道的状态和可用性水平。对于一般软件,其版本、状态(运行、安装、停止等)和最终错误信息是首先要考虑的指标。
现代基础设施既有有线网络连接,也有无线网络连接。无线局域网监控意味着要监控所有接入点的状态、信号强度、噪音水平和已连接设备的完整列表。由于无线局域网的运行高度依赖外部影响,因此公司必须将无线环境的基础设施组件纳入监控范围。
什么是网络性能监控?
网络性能监控主要关注网络的实际性能、运行效率以及识别瓶颈。它帮助网络管理员和分析师收集网络数据,使他们能够测量性能变量并识别潜在问题或风险。监控工具分析性能指标,找出瓶颈和拥塞所在,并在这些问题得到解决后帮助提高网络吞吐量。
网络性能监控的重点不仅在于解决问题,还在于确保基础设施中的信息流以最快的速度流动,不会出现中断。否则,性能问题可能会造成轻微的不便(如间歇性断开连接),甚至导致网络运行缓慢,无法正常使用。通过在更大范围的网络监控工作中实施性能监控,可以了解网络在哪些方面出现问题及其原因,并采取相应措施。
什么是网络流量监控?
网络流量是指某一时刻在网络上移动的数据总和。通过网络的所有数据包构成总体流量。
流量监控是网络安全和性能监控的关键要素。它是性能监控的关键要素,因为了解数据包的来源和类型可以更好地了解网络的要求和不足。它是网络安全监控的关键要素,因为它是发现可能的恶意软件、恶意入侵和未经授权使用网络的重要指标。
网络流量监控通常(但不一定)也是网络实时监控。通过对流量的持续可视化,可以更容易地了解流量的来源和去向,这就是流量监控的根本目的。虽然简单的数据包捕获足以使您了解网络流量的情况,但网络流量监控是专门用于捕获这些信息的。专门设计的协议(如 NetFlow)可提供清晰、即时的网络流量趋势。通过从总体流量中提取样本,这些协议可以让您更有效地监控网络流量,而不是一味地捕获通过所有主机的每个数据包,因为这样做的成本相当高昂。
什么是网络安全监控?
网络监控的最后一个但并非不重要的子项目是网络安全监控。随着各行各业的公司越来越依赖网络,通过网络交换的数据的质量和数量也随之增加。敏感数据存在于任何网络中,需要加以保护。确保这些数据的安全,使其免遭未经授权者的监视,这一点至关重要。
网络安全监控就是监控那些能够指示安全状况可能不尽如人意的组件和指标。新连接的设备、未授权设备发出的试探性访问、在封闭端口上的频繁连接尝试、来自安静主机的异常流量以及许多其他类似指标都可能表明网络中发生了可疑情况。包括 Checkmk 在内的大多数网络监控解决方案都集成了这些检查,以确保维持最高水平的安全。有了适当的警报系统,网络中的入侵和可能存在的漏洞就会被迅速捕获并向您发出通知。
开始网络监控
鉴于网络监控的所有好处和重要性,问题显然不应该是为什么要监控,而是如何监控。网络监控服务不计其数,功能和重点也各不相同。要选择其中一种,必须了解它们能监控什么、支持哪些网络监控协议以及如何监控网络。在决定使用哪个特定的网络监控软件解决方案时,还要考虑技术上的差异,如是使用无代理或基于代理的监控解决方案,还是使用供应商 API 收集指标。
这些都是开始使用网络监控时要考虑的基本的、技术性的决定性因素。我们将在下文中逐一讨论。
如何找到最佳网络监控工具
虽然绝对最佳的网络监控工具是一个伪概念,但要成为“最佳”监控系统的候选者,就一定要具备以下几个特点。
通常情况下,网络监控包含五大必要的参数。第一,监控网络的健康状况和性能,这意味着监控服务至少要支持 SNMP。这是监控中的一个基本协议,专门用于检查网络设备的整体健康状况,也可以对其进行管理。
第二是监控网络流量。支持 NetFlow、IPFIX 和 sFlow 等协议的工具是最佳选择,因为这些协议就是用于跟踪网络流量的整体趋势的。这些协议对于升级规划、性能监控和中断预防都很有帮助。
第三种是能够监控网络问题的主动式工具,要无限接近实时监控,可在事件发生时生成警报。这通常是最受追捧的功能之一,这也是有原因的。在网络设备和服务监控时,一个关键参数就是能否持续监控基础设施并在发现问题时发出警报,使人放心。
第四,监控工具应能以易于阅读的方式呈现所收集数据,这是一个经常被低估的功能。可视化仪表盘、网络拓扑图以及只需点击几下就能突出显示问题,这些都是现代监控系统的重要方面,但并非总能得到支持。通过更快速地访问收集到的信息,可以更快地了解问题并做出决策。
第五个参数,也是最后一个参数,即可以进行 IP 监控和扫描,这样才可在监控新增和现有基础设施时自动化发现步骤。它有助于以半自动方式不断更新网络拓扑结构。
有哪些网络监控协议?
网络监控时的指标交换是通过使用网络监控协议来完成的。网络监控协议有很多,只有部分协议受网络监控系统的支持,另外有些协议已经不再被使用。
其中最主要的仍然是简单网络管理协议(SNMP)。它不仅包括监控功能,还包括管理所支持的设备。它是一种广泛使用的协议,已经预装在许多网络路由器、交换机等设备上。
按重要性或者按使用率来说,在 SNMP 之后就是基于流量的协议系列:NetFlow、sFlow、IPFIX。这些协议旨在分析网络流量 “流”,因此在网络性能监控和安全监控中特别有用。在引用网络流量监控时,通常会使用其中一种协议。
所有这些协议都与操作系统无关。它们同样适用于 Linux 网络监控和 Windows 网络监控。Windows 网络监控协议的一个特定协议是 WMI,其功能与 SNMP 类似,但增加了一些功能。在 Linux 下,通过实施 Syslog 协议进行日志分析或使用 SSH 访问每个设备都是非常初级的监控方法。
在网络流量监控方面,RMON 通常被用作流量嗅探工具和分析工具。作为 SNMP 的扩展,只要有 SNMP 的地方就有 RMON,而且许多网络设备都预装了 RMON。
使用 SNMP 进行无代理监控
简单网络管理协议(SNMP)在监控中确实使用了代理。因此,使用 SNMP 进行无代理监控似乎有悖常理。这还得从语义的角度来看。如今,许多网络设备上通常都预装了 SNMP 代理,它通常是无配置的,不需要采取任何必要步骤就能开始监控(除非激活代理)。SNMP 管理器可以毫不费力地轮询它,网络管理员无需做任何事情。
在这种特定情况下,SNMP 监控被认为是无代理的,因为代理对人是透明的,不需要任何修补或预先配置。它使 SNMP 就像代理根本不存在一样,就像常规的无代理监控解决方案一样。因此,虽然从技术上讲,SNMP 是一种基于代理的监控协议,但也可被视为无代理协议。
通过供应商 API 进行监控
如今,一些供应商不使用任何传统的网络监控协议,而是在其设备中实施自定义 API。这些都是高度特定但高度可定制的网络监控方式。一般来说,它们是 RESTful API,可通过简单的 GET 或 PUT HTTP 请求进行交互。这些供应商 API 具有轻量级和可编程的特点,但由于是非标准化的,因此初始学习曲线较陡,但其优点是易于自动化。
通过使用 API,网络工程师可以创建可重复的代码块,这些代码块可以相互连接,并自动对监控事件做出反应。基本上大多数软件都是这样工作的,而这里网络工程师则通过它来对网络基础设施进行物理的和虚拟的更改。供应商的应用程序接口(API)可以公开各种指标,且指标数量与 SNMP 等常规网络监控协议不相上下。
目前还不存在一个能监控所有情况的单一 API。最近,人们开始努力实现标准化。OpenConfig 就是其中之一,但并非唯一。目前,这些应用程序接口大多仍存在很大差异,在投入使用前需要一个学习阶段。由于这些应用程序接口往往针对单一供应商,因此限制了它们在网络监控方面的使用,但这些应用程序接口本身却显示出巨大的潜力。
网络监控最佳实践
如何监控网络取决于网络的具体情况,不同网络的监控方式基本都不一样。不过,有效网络监控的一些最佳实践适用于任何情况和公司。
为什么要监控所有网络端口
端口监控包括检查网络设备物理端口的状态和健康状况。这意味着要监控路由器和交换机端口,但不仅限于这些。端口监控为防止中断和入侵增加了一层保护,这是一般网络监控无法提供的。
这是因为通过监控硬件端口,可以发现有问题的端口,并在它们对网络流量造成干扰之前将其替换或断开。通过端口的高丢包率和错误率,可以发现双工不匹配和配置问题。如果没有端口监控,任何网络管理员都不会注意到这些问题。
通过端口监控可以发现与电缆有关的问题,如电缆故障或连接不良。数据包损坏和连接时断时续都可能是电缆造成的,而不一定是端口本身的问题。然而,通过端口监控可以推断出这些问题。
在安全方面,通过准确的端口监控可以发现连接到某个设备的恶意用户。了解每个网络端口的状态意味着要识别哪些端口正在使用,哪些端口没有使用,哪些端口不应该使用。安全审计可能会要求进行端口扫描,而包含端口监控功能的网络监控系统可以满足这一要求。因此,端口监控也是网络安全监控的一个组成部分。
IP 监控有什么作用
IP 监控通过扫描 IP 地址来识别并添加要监控的设备。也就是说,在您安装好监控后,监控工具会自动开始扫描整个网络或特定 IP 范围或子网,然后自动将发现的设备纳入监控流程。在理想情况下,监控软件会在扫描过程中识别设备类型和制造商,并根据这些信息自动将相关指标纳入监控。
但这还不是全部。一旦完成第一次扫描,IP 监控就会帮助监控网络中 IP 地址的变化。支持 IP 监控的监控软件可以捕捉到指向或不指向正确地址的注册域名。任何有关 IP 地址的变化都属于 IP 监控的范围。
通过正确的 IP 监控,监控软件可以设置有意义的标准阈值。超过或低于这些值都会触发警报或通知。规则可应用于边缘情况或特定主机的特定(也许是临时)需要。
IP 监控在许多情况下都有帮助,但在两种情况下尤为如此。对于缺乏经验的管理员来说,它提供了一个自动化层,可以大大减轻监控的负担和相关的担忧。让监控系统通过准确的 IP 扫描进行识别步骤,就可以更容易地避免错误和影子 IT。在监控拥有成百上千台主机的大型网络时,IP 监控可以快速高效地设置监控,让管理员在短时间内就能开始监控基础设施。
如何监控大型网络
大型网络的复杂程度在数量级上使其成为网络监控领域的一个独立类别。在一个拥有数千台主机的大型网络中,网络设备监控可能需要很长时间,而警报过多无疑是一个常见问题。虽然您可能很想跳过基础设施的某些部分,放弃对其进行整体监控,但这是一个错误的选择。忽略某些部分最初可能很方便,但却会导致未来的各种风险,这是公司无法接受的。
对于监控具有不同位置和不同连接组件的大型复杂网络而言,基于规则配置的监控软件非常适合。只需几个简单的步骤,管理员就可以使用规则来定义策略,例如只监控所有接入端口的错误率,以监控大量类似设备。使用规则可以对大量主机应用相同的设置,从而大大减少了配置监控设置的工作量。使用规则可以使警报更有针对性,也更有用:例如,定期关闭的终端将被设置为不会触发警报,因为这不是特殊情况,而是常规行为。
通过精心制定的规则,我们可以将策略应用于大型网络。然后,基于规则的监控解决方案会根据该策略处理被监控的系统。只需几个步骤,就能随时更改策略,并一次性应用于大量设备。例外情况随时可以发生,并通过规则记录在案。通过规则实现自动化,可以更容易地将新主机纳入监控范围,而且不容易出错。
在处理中等数量的主机时,基于规则的监控并非绝对必要。小型公司就不必使用此种监控,使用标准的网络监控服务即可。但对于大型基础设施,规则是监控网络的最佳解决方案。
从网络拓扑角度看问题
监控软件能够检测网络中或特定 IP 范围内的所有组件,并检索监控指标所需的数据,因此,即使是复杂的网络基础设施,管理员也能获得整体视图。通过 IP 监控,您可以在一个易于阅读的仪表盘中看到网络的完整视图,从而便于识别错误。
网络拓扑通常以概览图的形式呈现,显示网络在虚拟和物理上的连接方式。网络管理员可以通过点击需要立即关注的特定主机来浏览该网络地图。其他网络监控工具则以树形结构或表格形式显示网络。表格显示的优点是,可以一目了然地查看多个浓缩信息。
并不是只有网络拓扑结构能以可视化方式呈现概览图,有些网络监控工具也支持以图形方式查看性能参数。当前的带宽、单个端口的状态、异常错误率都可以在图形地图中显示,这使网络管理员能够快速识别模式,如预期或意外的性能峰值。
只要全面实施网络监控解决方案,将所有硬件和软件囊括在内,就可以实现上述效果。
打击影子 IT 的网络文档
影子 IT 是指某个部门或个人在组织内的 IT 或安全小组不知情的情况下使用与 IT 相关的硬件或软件。它可以包括云服务、软件和硬件。影子 IT 的问题在于,这些硬件和软件组件通常是消费产品。这些产品通常不具备必要的安全功能,或者生产商没有提供所需的安全补丁,那么公司网络就会因为这些硬件或软件而受到网络攻击。
影子 IT 的常见情况之一是在企业 IT 部门不知情的情况下使用云服务。敏感数据可能会无意中出现在不受监控的云上,进而发生违规问题。
能够对网络进行整体监控的监控工具可以打击影子 IT。其通过扫描基础设施自动生成网络文档,文档涵盖全部内容,包括被允许和不被允许的。其结果不仅是网络基础设施的拓扑结构,还包括网络中所有硬件组件和软件解决方案的直接信息。
任何好的监控工具都有清单功能。这样就可以记录网络上存在的设备和软件版本,并将这些数据传递给第三方解决方案,如许可证管理系统。这不仅有助于检查网络上每个组件的合规性,还能提醒管理员注意较小的变化,如将服务更新到不支持的版本,这可能会带来安全风险。
获得网络文档后,您就会非常轻松地识别到那些连接或安装的不该被使用的硬件和软件。如果没有网络监控,这就需要对每台主机进行繁琐的人工检查。
结论
网络监控包括很多方面,可能会带来很多不便,但一旦全部设置完毕,也会有很多好处。当然,没有万能的工具,我们需要接受接受折衷的方案。然而,一个完整的网络监控解决方案离不开 IP 监控、实时监控、流量监控和 SNMP 监控,所有这些都包含在一个现代化的用户界面中。这些功能会让网络管理员难以拒绝,会使他们的生活变得更轻松。
对网络进行清点、提供完整的拓扑结构,以及通过端口监控和相关警报进行安全检查,这些都远非次要功能。归根结底,监控不仅是对基础架构的监控,也是对基础架构的管理。要想以相对简单的方式最全面地了解基础架构,就必须同时做到这两点。大多数网络监控工具都朝这个方向发展,从而减轻网络管理员的工作,使他们能够对网络上发生的事情拥有最高控制权。
Checkmk 包括所有这些功能,是满足网络监控需求的完整解决方案。Raw版本简洁易用,Enterprise版本有增强功能,您可以随您喜好进行挑选。两个版本都提供了大量功能,使网络监控变得简单、有效和准确。
常见问题
什么是开源网络监控?
开源网络监控指的是开源的监控工具。例如,Checkmk 就是开源的。但这并不总是意味着免费:大多数开源解决方案都需要成本,以换取更好的支持、更快的更新和更多的功能。
什么是 Linux 网络监控?
Linux 网络监控指的是监控运行 Linux 及其多种发行版之一的主机。Linux 本身带有一系列用于监控网络的简单命令,这些命令不仅是 Linux 的标准命令,也是许多类 Unix 操作系统的标准命令。几乎所有 Linux 系统都有 Htop、tcpdump 和 netstat,它们提供了基本的网络监控功能。改进后的监控工具支持 Linux 监控,具有高级功能和更友好的用户界面。
什么是 Windows 网络监控?
Windows 网络监控就是监控 Windows 主机。监控工具明确支持通过使用 SNMP 或 WMI 等协议监控 Windows 系统。对Windows 的监控与其他操作系统类似,也会关注性能、服务和事件日志。
什么是网络流监控?
在监控中,“流”的定义是指与流量相关的一组指标。这些流量被划分到一个特殊的数据包中,其中包括许多不同的信息,如发送方和接收方的 IP 地址、源端口和目的端口、第三层协议类型、服务分类以及路由器或交换机接口。网络流监控是通过一些特定的网络协议(如 NetFlow 和 IPFIX)来完成的,这些协议规定了数据包的创建和传输方式。
