Demo Starten

Drilldown

Eine interessante Metrik führt natürlich zu Fragen zu den Faktoren, die mit diesem Metrikwert verbunden sind. Wenn Sie beispielsweise eine große Anzahl von DNS-Anforderungs-Timeouts in Ihrem Netzwerk feststellen, fragen Sie sich vielleicht, bei welchen DNS-Clients diese Timeouts auftreten. Im ExtraHop-System können Sie ganz einfach von einer Top-Level-Metrik aus einen Drilldown durchführen, um die Geräte, Methoden oder Ressourcen anzuzeigen, die mit dieser Metrik verknüpft sind.

Wenn Sie eine Metrik anhand eines Schlüssels (z. B. einer Client-IP-Adresse, Methode, URI oder Ressource) aufschlüsseln, berechnet das ExtraHop-System eine Topnset von bis zu 1.000 Schlüssel-Wert-Paaren. Anschließend können Sie diese Schlüssel-Wert-Paare untersuchen, die als detaillierte Metriken, um zu erfahren, welche Faktoren mit der interessanten Aktivität zusammenhängen.

Drilldown von einem Dashboard oder einer Protokollseite aus

Wenn Sie in einem Diagramm oder einer Legende auf eine Metrik klicken, können Sie sehen, welcher Schlüssel, z. B. Client-IP-Adresse, Server-IP-Adresse, Methode oder Ressource, zu diesem Wert beigetragen hat.

In den folgenden Schritten erfahren Sie, wie Sie eine Metrik finden und anschließend eine Aufgliederung vornehmen können:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Finden Sie eine interessante Metrik, indem Sie einen der folgenden Schritte ausführen:
    • klicken Armaturenbrett, und wählen Sie dann im linken Bereich ein Dashboard aus. Ein Dashboard mit Metriken wird angezeigt.
    • klicken Vermögenswerte, klicken Gerät, Gerätegruppe, oder Bewerbung im linken Bereich. Wählen Sie dann ein Gerät, eine Gruppe oder eine Anwendung aus. Eine Protokollseite mit Metriken wird angezeigt.
    • klicken Vermögenswerte, klicken Netzwerke im linken Bereich, und wählen Sie dann ein Flow-Netzwerk aus. Eine Protokollseite mit Metriken wird angezeigt.
  3. Klicken Sie in der Diagrammlegende auf einen Metrikwert oder eine Metrikbezeichnung, wie in der folgenden Abbildung dargestellt. Es erscheint ein Menü.


    Hinweis:Auf einer Protokollseite können Sie auch auf eine Drilldown-Schaltfläche in der Drilldown Abschnitt, der sich in der oberen rechten Ecke der Seite befindet. Die Art der Tastenkombinationen variiert je nach Protokoll.


  4. In der Drilldown nach... Abschnitt, wählen Sie einen Schlüssel aus. Eine Seite mit detaillierten Metriken mit Topnset Es wird eine Liste der Metrikwerte nach Schlüssel angezeigt. Auf dieser Seite können Sie bis zu 1.000 Schlüssel-Werte-Paare anzeigen.
    Hinweis:Falls verfügbar, klicken Sie auf Mehr ansehen Link am unteren Rand eines Diagramms, um die im Diagramm angezeigte Metrik genauer zu untersuchen.

Nächste Maßnahme

Detaillierter Überblick über Netzwerkerfassung und VLAN-Metriken

Klicken Sie auf eine interessante Top-Level-Metrik zur Netzwerkaktivität auf einem Netzwerk einfangen oder VLAN Seite, um zu ermitteln, welche Geräte mit dieser Aktivität verknüpft sind.

Hinweis:Informationen dazu, wie Sie Metriken von einer Seite mit einem Flussnetz oder einer Flow-Netzwerkschnittstelle aus aufschlüsseln können, finden Sie in Drilldown von einem Dashboard oder einer Protokollseite aus Abschnitt.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. klicken Vermögenswerte.
  3. klicken Netzwerke im linken Bereich.
  4. Klicken Sie auf einen Netzwerk-Capture- oder VLAN-Schnittstellennamen.
  5. Klicken Sie im linken Bereich auf einen Netzwerk-Layer, z. B. L3 oder L7-Protokolle. Es werden Diagramme angezeigt, die Metrikwerte für das ausgewählte Zeitintervall anzeigen. Für die meisten Protokolle und Metriken ist ein Gerät Die Tabelle wird auch unten auf der Seite angezeigt.
  6. Klicken Sie auf die Diagrammdaten, wodurch die Liste aktualisiert wird, sodass nur die Geräte angezeigt werden, die mit den Daten verknüpft sind.
  7. Klicken Sie auf einen Gerätenamen. EIN Gerät Eine Seite wird angezeigt, auf der der Datenverkehr und die Protokollaktivitäten im Zusammenhang mit dem ausgewählten Gerät angezeigt werden.

Drilldown von einer Erkennung aus

Bei bestimmten Erkennungen können Sie weitere Details zu der Metrik oder dem Schlüssel aufrufen , der zu dem ungewöhnlichen Verhalten beigetragen hat. Der Metrikname oder der Schlüssel wird als Link am Ende einer einzelnen Erkennung angezeigt.

Hinweis:Erkennungen mit Metriken oder Schlüsseln, die keine detaillierten Metriken enthalten, beinhalten keine Drilldown-Option. Erkennungen, die statt einer Metrik nur anomale Protokollaktivitäten anzeigen, beinhalten auch keine Metrik-Drilldown-Option. Sie können z. B. keinen Drilldown zu einer Erkennung von anomalen DNS-Client-Aktivitäten durchführen, wie in der Abbildung unten dargestellt. Klicken Sie stattdessen auf die Links für den Gerät- oder Anwendungsnamen. Karte der Aktivitäten, oder Rekorde um mehr über die anomale Aktivität zu erfahren.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. klicken Erkennungen oben auf der Seite.
  3. Suchen Sie nach einer interessanten Erkennung, die mit einer Metrik verknüpft ist, und klicken Sie auf den Namen oder Schlüssel der Metrik. In der folgenden Abbildung können wir durch Klicken auf den Antwortcode eine Aufschlüsselung aller Clients aufrufen, die DNS-Antworten mit NXDOMAIN/QUERY:A erhalten haben.


  4. In der Drilldown nach... Abschnitt, klicken Sie auf eine Taste wie Kunde.
    Es wird eine Seite mit Detail-Metrik angezeigt, auf der Sie nach Schlüsseln aufgelistete Metriken untersuchen.

Drilldown von einer Alarm aus

Klicken Sie in einer Schwellenwertwarnung auf den Metriknamen oder Schlüssel, um zu sehen, welcher Schlüssel, z. B. Client, Server, Methode oder Ressource, zu dem Metrikwert oder dem ungewöhnlichen Verhalten beigetragen hat.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. klicken Alerts oben auf der Seite.
    Hinweis:Sie können auf Benachrichtigungen auch über ein Alert-Widget in einem Dashboard oder unten auf den folgenden Protokollseiten zugreifen:
    • Seite „Anwendungsübersicht"
    • Seite „Gerätegruppen-Übersicht"
    • Seite „Netzwerkübersicht"
  3. Klicken Sie auf den Namen einer Schwellenwarnung.
    Warndetails werden angezeigt.
  4. Klicken Sie auf einen Metriknamen oder -schlüssel, wie in der folgenden Abbildung dargestellt.


  5. In der Drilldown nach Abschnitt, klicken Sie auf eine Taste, z. B. Kunde, Methode, Verweiser, Server, oder URI.
    Es wird eine Seite mit Detail-Metrik angezeigt, auf der Sie nach Schlüsseln aufgelistete Metriken untersuchen.

Untersuchen Sie detaillierte Metriken

Nachdem Sie eine Metrik von einem Dashboard, einer Protokollseite, einer Erkennung oder einer Alarm aus genauer betrachtet haben, können Sie Metrikwerte auf einer Detailseite der Metriken nach Schlüsseln untersuchen. Filtern Sie Metrikdaten oder wählen Sie verschiedene Schlüssel wie Statuscodes oder URIs aus, um Daten aus verschiedenen Perspektiven zu betrachten.

Die folgende Abbildung zeigt, wie Sie Daten auf einer Metrik-Detailseite filtern, pivotieren, sortieren oder exportieren.



Wenn Sie eine Metrik nach IP, Client oder Server aufgeschlüsselt haben, werden IP-Adressen und Hostnamen (sofern sie anhand des DNS-Verkehrs beobachtet wurden) in der Tabelle angezeigt. Zusätzliche Optionen stehen Ihnen jetzt zur Verfügung. Sie können beispielsweise eine Geomap generieren oder direkt zu einer Client- oder Server-Protokollseite navigieren, wie in der folgenden Abbildung dargestellt.



Ergebnisse filtern

Eine Detailseite kann bis zu 1.000 Schlüssel-Wert-Paare enthalten. Es gibt zwei Möglichkeiten, bestimmte Ergebnisse aus Daten zu finden: Ergebnisse filtern oder klicken Sie auf eine Taste in der Tabelle, um einen weiteren Drilldown-Filter zu erstellen.

Um die Ergebnisse zu filtern, klicken Sie auf Irgendein Feld, und wählen Sie dann ein Feld aus, das je nach Schlüssel variiert. Sie können beispielsweise auswählen Netzwerk-Lokalität für Client- oder Serverschlüssel. Wählen Sie dann einen der folgenden Operatoren aus:

  • Wählen = um eine exakte Zeichenkettenübereinstimmung durchzuführen.
  • Wählen um eine ungefähre Zeichenkettenübereinstimmung durchzuführen. Der Operator ≈ unterstützt reguläre Ausdrücke.
    Hinweis:Um ein Ergebnis auszuschließen, geben Sie einen regulären Ausdruck ein. Weitere Informationen finden Sie unter Filter für reguläre Ausdrücke erstellen.
  • Wählen um eine ungefähre Zeichenkettenübereinstimmung aus Ihren Ergebnissen auszuschließen.
  • Wählen > oder um einen Abgleich für Werte durchzuführen, die größer (oder gleich) einem bestimmten Wert sind.
  • Wählen < oder um einen Abgleich für Werte durchzuführen, die kleiner (oder gleich) einem bestimmten Wert sind.
  • klicken Filter hinzufügen um die Filtereinstellungen zu speichern. Sie können mehrere Filter für eine Abfrage speichern. Gespeicherte Filter werden gelöscht, wenn Sie im Bereich Details im linken Bereich einen anderen Schlüssel auswählen.

Um den Filter abzuschließen, geben Sie einen Wert ein, nach dem Sie die Ergebnisse filtern möchten, oder wählen Sie ihn aus, und klicken Sie dann auf Filter hinzufügen.

Untersuchen Sie Bedrohungsdaten ( Nur ExtraHop Reveal (x) Premium und Ultra)
Klicken Sie auf das rote Kamerasymbol zum Ansehen Bedrohungsinformationen Details zu einem verdächtigen Host, einer verdächtigen IP-Adresse oder einem verdächtigen URI in Detail-Metrik Metrikdaten.
Markieren Sie einen Metrikwert im oberen Diagramm
Wählen Sie eine einzelne Zeile oder mehrere Zeilen aus, um die Diagrammdaten im obersten Diagramm auf der Seite mit den Detail-Metrik zu ändern. Zeigen Sie mit der Maus auf Datenpunkte im Diagramm, um weitere Informationen zu den einzelnen Datenpunkten anzuzeigen.
Je nach Schlüssel zu mehr Daten wechseln
Klicken Sie auf die Schlüsselnamen in der Einzelheiten Abschnitt, um detailliertere Metrikwerte zu sehen, aufgeschlüsselt nach anderen Schlüsseln. Für IP-Adresse oder Hostschlüssel klicken Sie in der Tabelle auf einen Gerätenamen, um zu einem Gerät Protokollseite, auf der der Datenverkehr und die Protokollaktivitäten im Zusammenhang mit diesem Gerät angezeigt werden.
Passen Sie das Zeitintervall an und vergleichen Sie Daten aus zwei Zeitintervallen
Durch Ändern des Zeitintervalls können Sie Metrikdaten aus verschiedenen Zeiten in derselben Tabelle anzeigen und vergleichen. Weitere Informationen finden Sie unter Vergleichen Sie Zeitintervalle, um das Metrik Delta zu ermitteln.
Hinweis:Das globale Zeitintervall in der oberen linken Ecke der Seite enthält ein blaues Aktualisierungssymbol und grauen Text, der angibt, wann die Drilldown-Metriken zuletzt abgerufen wurden. Um die Metriken für das angegebene Zeitintervall neu zu laden, klicken Sie in der Anzeige von Global Zeitselektor auf das Aktualisierungssymbol. Weitere Informationen finden Sie unter Die neuesten Daten für ein Zeitintervall anzeigen.
Metrikdaten in Spalten sortieren
Klicken Sie auf die Spaltenüberschrift, um nach Metriken zu sortieren und zu sehen, welche Schlüssel mit den größten oder kleinsten Metrikwerten verknüpft sind. Sortiere beispielsweise nach der Bearbeitungszeit, um zu sehen, welche Kunden die längsten Ladezeiten der Website hatten.
Datenberechnung für Metriken ändern
Ändern Sie die folgenden Berechnungen für die in der Tabelle angezeigten Metrikwerte:
  • Wenn Sie eine Zählmetrik in der Tabelle haben, klicken Sie auf Zählen in der Optionen Abschnitt im linken Bereich und wählen Sie dann Durchschnittliche Rate. Erfahren Sie mehr in der Rate oder Anzahl in einem Diagramm anzeigen Thema.
  • Wenn Sie eine Datensatz-Metrik in der Tabelle haben, klicken Sie auf Gemein in der Optionen Abschnitt im linken Bereich und wählen Sie dann Zusammenfassung. Wenn du auswählst Zusammenfassung, Sie können den Mittelwert und die Standardabweichung einsehen.
Daten exportieren
Klicken Sie mit der rechten Maustaste auf einen Metrikwert in der Tabelle, um eine PDF-, CSV- oder Excel-Datei herunterzuladen.

Ein zweites Mal mit einem Schlüsselfilter aufschlüsseln

Nachdem Sie eine Top-Level-Metrik zunächst nach Schlüsseln aufgeschlüsselt haben, wird eine Detailseite mit einem Topnset von Metrik Werten, aufgeschlüsselt nach diesem Schlüssel. Sie können dann einen Filter erstellen, um einen zweiten Drilldown mit einem anderen Schlüssel durchzuführen. Sie können beispielsweise HTTP-Antworten nach Statuscode aufschlüsseln und dann erneut nach dem 404-Statuscode aufschlüsseln, um weitere Informationen zu den Servern, URIs oder Clients zu finden, die mit diesem Statuscode verknüpft sind.

Hinweis:Die Option, einen zweiten Drilldown durchzuführen, ist nur für bestimmte Topnsets verfügbar.

Die folgenden Schritte zeigen Ihnen, wie Sie von einem Diagramm aus einen Drilldown durchführen und dann von einer Detailseite mit Metriken aus erneut einen Drilldown durchführen:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Navigieren Sie zu einer Dashboard- oder Protokollseite.
  3. Klicken Sie auf einen Metrikwert oder eine Metrikbezeichnung.
  4. In der Drilldown nach... Abschnitt, wählen Sie einen Schlüssel aus.
    Eine Detailseite wird angezeigt.
  5. Klicken Sie in der Tabelle auf einen Schlüssel, z. B. einen Statuscode oder eine Methode. (Der Schlüssel darf keine IP-Adresse oder kein Hostname sein.)
  6. In der Drilldown nach... Wählen Sie im Abschnitt einen Schlüssel aus, wie in der folgenden Abbildung dargestellt.


    Der Schlüsselfilter wird über der Tabelle angezeigt. Sie können jetzt alle Detailmetriken anzeigen, die mit diesem einzelnen Schlüssel verknüpft sind.
  7. Um diesen Filter aus der Tabelle zu entfernen und ihn dann auf das obere Diagramm anzuwenden, klicken Sie auf x Symbol, wie in der folgenden Abbildung dargestellt.


    Der Filter im Diagramm bleibt bestehen, wenn Sie andere Schlüssel im Abschnitt Details auswählen.

Detailmetriken zu einem Diagramm hinzufügen

Wenn Sie schnell eine Reihe von Detailmetriken in einem Dashboard überwachen möchten, ohne dieselben Drilldown-Schritte wiederholt ausführen zu müssen, können Sie bei der Bearbeitung eines Diagramms in der Metric Explorer. In den meisten Diagrammen können bis zu 20 der wichtigsten Detailmetrikwerte nach Schlüsseln aufgeschlüsselt angezeigt werden. Ein Schlüssel kann eine Client-IP-Adresse, ein Hostname, eine Methode, ein URI, ein Referrer oder mehr sein. Tabellen- und Listen-Widgets können bis zu 200 Metrikwerte mit den wichtigsten Details anzeigen.

Ein Dashboard zur Überwachung des Webverkehrs kann beispielsweise ein Diagramm enthalten, in dem die Gesamtzahl der HTTP-Anfragen und -Antworten angezeigt wird. Sie können dieses Diagramm bearbeiten, um jede Metrik nach IP-Adresse aufzuschlüsseln und die Top-Talker zu sehen.

In den folgenden Schritten erfahren Sie, wie Sie ein vorhandenes Diagramm bearbeiten und anschließend Detailmetriken anzeigen können:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Navigieren Sie zu einer Dashboard- oder Protokollseite.
  3. Klicken Sie auf den Diagrammtitel und wählen Sie dann Bearbeiten.
  4. In der Einzelheiten Abschnitt, klicken Drilldown nach <None> , wo <None> ist der Name des Drilldown-Metrikschlüssels, der derzeit in Ihrem Diagramm angezeigt wird.
  5. Wählen Sie einen Schlüssel aus der Drop-down-Liste aus.
    Hinweis:Wenn Sie mehr als einen haben Quelle Die in Ihrem Metriksatz ausgewählten Quellen, z. B. zwei Geräte, werden beim Drilldown automatisch zu einer Ad-hoc-Quellengruppe zusammengefasst. Sie können die Auswahl nicht aufheben Quellen kombinieren Checkbox. Um Drilldown-Metriken für jede Quelle anzuzeigen, müssen Sie eine Quelle aus dem Metriksatz entfernen und dann auf Quelle hinzufügen um einen neuen Metriksatz zu erstellen.
    Wenn detaillierte Metrikdaten für einen gemeinsamen Schlüssel für alle Metriken in einem Metriksatz verfügbar sind, wird der Schlüssel für die Detail-Metrik automatisch in der Dropdownliste angezeigt, wie in der folgenden Abbildung dargestellt. Wenn ein Schlüssel in der Liste ausgegraut ist, ist die mit diesem Schlüssel verknüpfte Detail-Metrik für alle Metriken in der oben genannten Metrik nicht verfügbar. Beispielsweise sind Client-, Server- und URI-Daten sowohl für HTTP-Anfragen als auch für HTTP-Antwortmetriken im Metriksatz verfügbar.

  6. Sie können Schlüssel mit einer ungefähren Übereinstimmung filtern, regulärer Ausdruck (Regex), oder führen Sie einen der folgenden Schritte durch, um eine exakte Übereinstimmung zu erzielen:
    • In der Filter Feld, wählen Sie Operator zur Anzeige von Schlüsseln nach ungefährer Übereinstimmung oder mit Regex. Sie müssen Schrägstriche mit Regex im Filter für ungefähre Treffer weglassen.
      Hinweis:Die Die Filteroption zum Ausschließen von Ergebnissen ist nur verfügbar für Detailseiten. Wenn Sie Ergebnisse in einem Dashboard-Diagramm ausschließen möchten, erstellen Sie ein regulärer Ausdruck (Regex).
    • In der Filter Feld, wählen Sie = Operator zur Anzeige von Tasten nach exakter Übereinstimmung.
  7. Optional: Geben Sie im oberen Ergebnisfeld die Anzahl der Schlüssel ein, die Sie anzeigen möchten. Diese Schlüssel werden die höchsten Werte haben.
  8. Um eine Drilldown-Auswahl zu entfernen, klicken Sie auf x Ikone.
    Hinweis:Sie können eine exakte Schlüsselübereinstimmung pro Metrik anzeigen, wie in der folgenden Abbildung dargestellt. Klicken Sie auf den Namen der Drilldown-Metrik (z. B. Alle Methoden), um einen bestimmten Metrik Drilldown-Key auszuwählen (z. B. GET) aus der Drop-down-Liste. Wenn ein Schlüssel grau erscheint (z. B. PROPFIND), sind Drilldown-Metrikdaten für diesen bestimmten Schlüssel nicht verfügbar. Sie können auch einen Schlüssel eingeben, der nicht in der Dropdownliste enthalten ist.

Last modified 2023-11-07