Drilldown
Eine interessante Metrik führt natürlich zu Fragen zu den Faktoren, die mit diesem Metrikwert verbunden sind. Wenn Sie beispielsweise in Ihrem Netzwerk eine große Anzahl von DNS-Anforderungs-Timeouts feststellen, fragen Sie sich möglicherweise, bei welchen DNS-Clients diese Timeouts auftreten. Im ExtraHop-System können Sie ganz einfach einen Drilldown von einer Top-Level-Metrik aus durchführen, um die Geräte, Methoden oder Ressourcen anzuzeigen, die mit dieser Metrik verknüpft sind.
Wenn Sie eine Metrik anhand eines Schlüssels (z. B. einer Client-IP-Adresse, Methode, URI oder Ressource) aufschlüsseln, berechnet das ExtraHop-System eine Topnset von bis zu 1.000 Schlüssel-Wert-Paaren. Anschließend können Sie diese Schlüssel-Wert-Paare untersuchen, die als Metriken detailliert, um zu erfahren, welche Faktoren mit der interessanten Aktivität zusammenhängen.
Drilldown von einem Dashboard oder einer Protokollseite aus
Wenn Sie in einem Diagramm oder einer Legende auf eine Metrik klicken, können Sie sehen, welcher Schlüssel, z. B. Client-IP-Adresse, Server-IP-Adresse, Methode oder Ressource, zu diesem Wert beigetragen hat.
In den folgenden Schritten erfahren Sie, wie Sie eine Metrik finden und anschließend eine Aufgliederung vornehmen können:
Nächste Maßnahme
Detaillierter Überblick über Netzwerkerfassung und VLAN-Metriken
Klicken Sie auf eine interessante Top-Level-Metrik zur Netzwerkaktivität auf einem Netzwerk einfangen oder VLAN Seite, um zu ermitteln, welche Geräte mit dieser Aktivität verknüpft sind.
Hinweis: | Informationen dazu, wie Sie Metriken von einer Seite mit einem Flussnetz oder einer Flow-Netzwerkschnittstelle aus aufschlüsseln können, finden Sie in Drilldown von einem Dashboard oder einer Protokollseite aus Abschnitt. |
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- klicken Vermögenswerte.
- klicken Netzwerke im linken Bereich.
- Klicken Sie auf einen Netzwerk-Capture- oder VLAN-Schnittstellennamen.
- Klicken Sie im linken Bereich auf einen Netzwerk-Layer, z. B. L3 oder L7-Protokolle. Es werden Diagramme angezeigt, die Metrikwerte für das ausgewählte Zeitintervall anzeigen. Für die meisten Protokolle und Metriken ist ein Gerät Die Tabelle wird auch unten auf der Seite angezeigt.
- Klicken Sie auf die Diagrammdaten, wodurch die Liste aktualisiert wird, sodass nur die Geräte angezeigt werden, die mit den Daten verknüpft sind.
- Klicken Sie auf einen Gerätenamen. EIN Gerät Eine Seite wird angezeigt, auf der der Datenverkehr und die Protokollaktivitäten im Zusammenhang mit dem ausgewählten Gerät angezeigt werden.
Drilldown von einer Erkennung aus
Bei bestimmten Erkennungen können Sie weitere Details zu der Metrik oder dem Schlüssel aufrufen , der zu dem ungewöhnlichen Verhalten beigetragen hat. Der Metrikname oder der Schlüssel wird als Link am Ende einer einzelnen Erkennung angezeigt.
Hinweis: | Erkennungen mit Metriken oder Schlüsseln, die keine detaillierten Metriken enthalten, beinhalten keine
Drilldown-Option. Erkennungen, die statt
einer Metrik nur anomale Protokollaktivitäten anzeigen, beinhalten auch keine Metrik-Drilldown-Option. Sie können z. B. keinen
Drilldown zu einer Erkennung von anomalen DNS-Client-Aktivitäten durchführen, wie in der Abbildung
unten dargestellt. Klicken Sie stattdessen auf die Links für den Gerät- oder Anwendungsnamen.
Karte der Aktivitäten, oder Rekorde um
mehr über die anomale Aktivität zu erfahren. |
Drilldown von einer Alarm aus
Klicken Sie in einer Schwellenwertwarnung auf den Metriknamen oder Schlüssel, um zu sehen, welcher Schlüssel, z. B. Client, Server, Methode oder Ressource, zu dem Metrikwert oder dem ungewöhnlichen Verhalten beigetragen hat.
Untersuchen Sie detaillierte Metriken
Nachdem Sie eine Metrik von einem Dashboard, einer Protokollseite, einer Erkennung oder einer Alarm aus detailliert untersucht haben, können Sie die Metrikwerte anhand von Schlüsseln auf einer Seite mit den Detail-Metrik untersuchen. Filtern Sie Metrikdaten oder wählen Sie verschiedene Schlüssel wie Statuscodes oder URIs aus, um Daten aus verschiedenen Perspektiven anzuzeigen.
Die folgende Abbildung zeigt, wie Sie Daten auf einer Seite mit Detail-Metrik Metriken filtern, pivotieren, sortieren oder exportieren.
Wenn Sie eine Metrik nach IP, Client oder Server aufgeschlüsselt haben, werden IP-Adressen und Hostnamen (sofern sie anhand des DNS-Datenverkehrs beobachtet wurden) in der Tabelle angezeigt. Zusätzliche Optionen stehen Ihnen jetzt zur Verfügung. Sie können beispielsweise direkt zu einer Client- oder Serverprotokollseite navigieren, wie in der folgenden Abbildung dargestellt.
- Ergebnisse filtern
-
Eine Detailseite kann bis zu 1.000 Schlüssel-Wert-Paare enthalten. Es gibt zwei Möglichkeiten, bestimmte Ergebnisse aus Daten zu finden: Filterergebnisse oder klicken Sie auf eine Taste in der Tabelle, um einen weiteren Drilldown-Filter zu erstellen.
Um die Ergebnisse zu filtern, klicken Sie auf Beliebiges Feld, und wählen Sie dann ein Feld aus, das je nach Schlüssel variiert. Zum Beispiel können Sie wählen Netzwerk-Lokalität für Client- oder Serverschlüssel. Wählen Sie dann einen der folgenden Operatoren aus:
- Wählen Sie = um eine exakte Zeichenkettenübereinstimmung durchzuführen.
- Wählen Sie ≈ um eine ungefähre Zeichenkettenübereinstimmung durchzuführen. Der
Operator ≈ unterstützt reguläre Ausdrücke.
Hinweis: Um ein Ergebnis auszuschließen, geben Sie einen regulären Ausdruck ein. Weitere Informationen finden Sie unter Filter für reguläre Ausdrücke erstellen. - Wählen Sie ≉ um eine ungefähre Zeichenkettenübereinstimmung aus Ihren Ergebnissen auszuschließen.
- Wählen Sie > oder ≥ um eine Übereinstimmung mit Werten durchzuführen, die größer als (oder gleich) einem angegebenen Wert sind.
- Wählen Sie < oder ≤ um eine Übereinstimmung mit Werten durchzuführen, die kleiner als (oder gleich) einem bestimmten Wert sind.
- Klicken Sie Filter hinzufügen um die Filtereinstellungen zu speichern. Sie können mehrere Filter für eine Abfrage speichern. Gespeicherte Filter werden gelöscht, wenn Sie im Bereich Details im linken Bereich einen anderen Schlüssel auswählen.
Um den Filter abzuschließen, geben Sie einen Wert ein, nach dem Sie die Ergebnisse filtern möchten, oder wählen Sie einen Wert aus, und klicken Sie dann auf Filter hinzufügen.
- Untersuchen Sie Bedrohungsdaten ( Nur ExtraHop Reveal (x) Premium und Ultra)
- Klicken Sie auf das rote Kamerasymbol zum Ansehen Bedrohungsinformationen Details zu einem verdächtigen Host, einer IP-Adresse oder einer URI, die in Detail-Metrik Metrikdaten gefunden wurden.
- Markieren Sie einen Metrikwert im oberen Diagramm
- Wählen Sie eine einzelne Zeile oder mehrere Zeilen aus, um die Diagrammdaten im oberen Diagramm auf der Seite mit den Detail-Metrik zu ändern. Zeigen Sie mit der Maus auf Datenpunkte im Diagramm, um weitere Informationen zu den einzelnen Datenpunkten anzuzeigen.
- Per Schlüssel zu mehr Daten wechseln
- Klicken Sie auf die Schlüsselnamen in der Einzelheiten Abschnitt, um detailliertere Metrikwerte zu sehen, aufgeschlüsselt nach anderen Schlüsseln. Klicken Sie für IP-Adresse oder Hostschlüssel auf einen Gerätenamen in der Tabelle, um zu einem Gerät Protokollseite, auf der der Verkehr und die Protokollaktivitäten angezeigt werden, die mit diesem Gerät verknüpft sind.
- Passen Sie das Zeitintervall an und vergleichen Sie Daten aus zwei Zeitintervallen
- Durch Ändern des Zeitintervalls können Sie Metrikdaten zu verschiedenen Zeiten
in derselben Tabelle anzeigen und vergleichen. Weitere Informationen finden Sie unter Vergleichen Sie Zeitintervalle, um das Metrik Delta zu ermitteln.
Hinweis: Das globale Zeitintervall in der oberen linken Ecke der Seite enthält ein blaues Aktualisierungssymbol und einen grauen Text, der angibt, wann die Drilldown-Metriken zuletzt abgefragt wurden. Um die Metriken für das angegebene Zeitintervall neu zu laden, klicken Sie auf das Aktualisierungssymbol in der Anzeige von Global Zeitselektor. Weitere Informationen finden Sie unter Die neuesten Daten für ein Zeitintervall anzeigen. - Metrikdaten in Spalten sortieren
- Klicken Sie auf die Spaltenüberschrift, um nach Metriken zu sortieren und anzuzeigen, welche Schlüssel den größten oder kleinsten Metrikwerten zugeordnet sind. Sortieren Sie beispielsweise nach der Verarbeitungszeit, um zu sehen, welche Kunden die längsten Ladezeiten der Website hatten.
- Datenberechnung für Metriken ändern
- Ändern Sie die folgenden Berechnungen für die in der Tabelle angezeigten Metrikwerte:
- Wenn die Tabelle eine Zählmetrik enthält, klicken Sie auf Graf in der Optionen Abschnitt im linken Bereich und wählen Sie dann Durchschnittliche Rate. Erfahren Sie mehr in der Rate oder Anzahl in einem Diagramm anzeigen Thema.
- Wenn die Tabelle eine Datensatzmetrik enthält, klicken Sie auf Gemein in der Optionen Abschnitt im linken Bereich und wählen Sie dann Zusammenfassung. Wenn du auswählst Zusammenfassung, Sie können den Mittelwert und die Standardabweichung anzeigen.
- Daten exportieren
- Klicken Sie mit der rechten Maustaste auf einen Metrikwert in der Tabelle, um eine PDF-, CSV- oder Excel-Datei herunterzuladen.
Ein zweites Mal mit einem Schlüsselfilter aufschlüsseln
Nachdem Sie eine Top-Level-Metrik zunächst nach Schlüsseln aufgeschlüsselt haben, wird eine Detailseite mit einem Topnset von Metrik Werten, aufgeschlüsselt nach diesem Schlüssel. Sie können dann einen Filter erstellen, um einen zweiten Drilldown mit einem anderen Schlüssel durchzuführen. Sie können beispielsweise HTTP-Antworten nach Statuscode aufschlüsseln und dann erneut nach dem 404-Statuscode aufschlüsseln, um weitere Informationen zu den Servern, URIs oder Clients zu finden, die mit diesem Statuscode verknüpft sind.
Hinweis: | Die Option, einen zweiten Drilldown durchzuführen, ist nur für bestimmte Topnsets verfügbar. |
Die folgenden Schritte zeigen Ihnen, wie Sie von einem Diagramm aus einen Drilldown durchführen und dann von einer Detailseite mit Metriken aus erneut einen Drilldown durchführen:
Detailmetriken zu einem Diagramm hinzufügen
Wenn Sie schnell eine Reihe von Detailmetriken in einem Dashboard überwachen möchten, ohne dieselben Drilldown-Schritte wiederholt ausführen zu müssen, können Sie bei der Bearbeitung eines Diagramms in der Metric Explorer. In den meisten Diagrammen können bis zu 20 der wichtigsten Detailmetrikwerte nach Schlüsseln aufgeschlüsselt angezeigt werden. Ein Schlüssel kann eine Client-IP-Adresse, ein Hostname, eine Methode, ein URI, ein Referrer oder mehr sein. Tabellen- und Listen-Widgets können bis zu 200 Metrikwerte mit den wichtigsten Details anzeigen.
Ein Dashboard zur Überwachung des Webverkehrs kann beispielsweise ein Diagramm enthalten, in dem die Gesamtzahl der HTTP-Anfragen und -Antworten angezeigt wird. Sie können dieses Diagramm bearbeiten, um jede Metrik nach IP-Adresse aufzuschlüsseln und die Top-Talker zu sehen.
In den folgenden Schritten erfahren Sie, wie Sie ein vorhandenes Diagramm bearbeiten und anschließend Detailmetriken anzeigen können:
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?