ExtraHop System-Benutzerhandbuch

Über diesen Leitfaden

Dieses Handbuch enthält Informationen über das ExtraHop-System für die ExtraHop Discover- und Command-Appliances.

Dieses Handbuch soll Benutzern helfen, die Architektur und Funktionalität des ExtraHop-Systems zu verstehen und zu lernen, wie die im gesamten System verfügbaren Steuerelemente, Felder und Optionen bedient werden.

Zusätzliche Ressourcen sind über die folgenden Links verfügbar:

Kontaktiere uns

Wir freuen uns über Ihr Feedback.

Bitte teilen Sie uns mit, wie wir dieses Dokument verbessern können. Senden Sie Ihre Kommentare oder Vorschläge an documentation@extrahop.com.

Website des Support-Portals: https://customer.extrahop.com/s/

Telefon:

  • 877-333-9872 (UNS)
  • +44 (0) 203 7016850 (EMEA)
  • +65-31585513 (APAC)

Einführung in das ExtraHop-System

In diesem Handbuch wird erklärt, wie das ExtraHop-System Ihre Daten sammelt und analysiert und wie die Kernsystemkomponenten und -funktionen Ihnen helfen, auf Erkennungen, Metriken, Transaktionen und Pakete über den Verkehr in Ihrem Netzwerk zuzugreifen.

Mithilfe von Workflows zur Überwachung der Netzwerkleistung können Sie überwachen, wie Dienste und Geräte miteinander interagieren und wie Transaktionen in Ihrem Netzwerk über die Datenverbindungsschicht (L2) zur Anwendungsebene (L7) Fluss. Mithilfe von Workflows zur Netzwerkerkennung und Reaktion können Sie Daten untersuchen, die aufgrund von Leistungseinbußen bis hin zu verdächtigen Verhaltensweisen erkannt wurden. Außerdem erhalten Sie einen Überblick darüber, welche Geräte an den MITRE ATT&CK-Taktiken, -Techniken und -Verfahren (TTPs) beteiligt waren, die mit fortgeschrittenen, mehrstufigen Angriffskampagnen in Verbindung stehen.
Video:Sehen Sie sich die entsprechende Schulung an: ExtraHop Systemübersicht

Plattform-Architektur

Das ExtraHop-System ist mit modularen Komponenten maßgeschneidert, die in Kombination Ihren individuellen Umweltanforderungen gerecht werden.

Module

ExtraHop-Module bieten eine Kombination aus Lösungen, Komponenten und Cloud-basierten Diensten, die für mehrere Anwendungsfälle einen Mehrwert bieten.

Module sind für Network Detection and Response (NDR) und Network Performance Monitoring (NPM) erhältlich, mit zusätzlichen Modulen für Intrusion Detection Systems (Intrusion Detection System) und Packet Forensics.

Administratoren können Benutzern rollenbasierten Zugriff auf das NDR-Modul, das NPM-Modul oder beides gewähren.

Überwachung der Netzwerkleistung
Mit dem NPM-Modul können privilegierte Benutzer die folgenden Arten von Systemaufgaben ausführen.
  • Benutzerdefinierte Dashboards anzeigen, erstellen und ändern. Benutzer können auch ein Dashboard für ihre Standard-Landingpage auswählen.
  • Konfigurieren Sie Benachrichtigungen und Benachrichtigungen per E-Mail für diese Warnungen.
  • Leistungserkennungen anzeigen.
Netzwerkerkennung und Reaktion
Mit dem NDR-Modul können privilegierte Benutzer die folgenden Arten von Systemaufgaben ausführen.
  • Sehen Sie sich die Seite mit der Sicherheitsübersicht an.
  • Sehen Sie sich Sicherheitserkennungen an.
  • Untersuchungen anzeigen, erstellen und ändern.
  • Sehen Sie sich die Bedrohungsinformationen an.

Benutzer, denen Zugriff auf beide Module gewährt wurde, dürfen alle diese Aufgaben ausführen. Sehen Sie die Leitfaden zur Migration um mehr über die Migration von Benutzern zum rollenbasierten Zugriff mit diesen Modulen zu erfahren.

Diese zusätzlichen Module sind auch für bestimmte Anwendungsfälle verfügbar:

Paket-Forensik
Das Packet Forensics Modul kann entweder mit dem NDR- oder NPM-Modul kombiniert werden, um eine vollständige PCAP, Speicherung und Abruf zu ermöglichen.
Systeme zur Erkennung von Eindringlingen
Das IDS-Modul muss mit dem NDR-Modul kombiniert werden und bietet Erkennungen, die auf branchenüblichen IDS-Signaturen basieren. Die meisten ExtraHop-Paketsensoren sind für das IDS-Modul geeignet, sofern der Sensor für das NDR-Modul lizenziert ist.
Hinweis: Durchsatz kann beeinträchtigt werden, wenn mehr als ein Modul auf dem Sensor aktiviert ist.

Funktionen

Das ExtraHop-System bietet einen umfangreichen Funktionsumfang, mit dem Sie Erkennungen, Metriken, Aufzeichnungen und Pakete organisieren und analysieren können, die mit dem Verkehr in Ihrem Netzwerk verbunden sind.

Modul- und Systemzugriff werden bestimmt durch Benutzerrechte die von Ihrem ExtraHop-Administrator verwaltet werden.

Globale Funktionen
Die folgenden Funktionen sind in allen ExtraHop-Systemen verfügbar und erfordern keine speziellen Module.
  • Überblick über das Netzwerk
  • Perimeter im Überblick
  • Karten der Aktivitäten
  • Active Directory Directory-Dashboard
  • Generatives KI-Dashboard
  • Geplante Dashboard-Berichte
  • Erkennungsverfolgung
  • Vermögenswerte
  • Geomap
  • Aufzeichnungen
  • Pakete
  • Integrationen (nur Reveal (x) 360)
  • API-Zugriff
  • Prioritäten der Analyse
  • Metrischer Katalog
  • Bündel
  • Trigger
Funktionen des NDR-Moduls
Die folgenden Funktionen sind in ExtraHop-Systemen mit dem Network Detection and Response (NDR) -Modul verfügbar.
  • Überblick über die Sicherheit
  • KI-Suchassistent
  • Berichte für Führungskräfte
  • Integrierte Sicherheits-Dashboards
  • Sicherheitserkennungen
  • MITRE karte
  • Ermittlungen
  • Optimierungsregeln für Sicherheitserkennungen
  • Benachrichtigungsregeln für Sicherheitserkennungen und Bedrohungsinformationen
  • Bedrohungsinformationen
  • Bedrohungsinformationen
Funktionen des NPM-Moduls
Die folgenden Funktionen sind in ExtraHop-Systemen mit dem Network Performance Management (NPM) -Modul verfügbar.
  • Benutzerdefinierte Dashboards
  • Integrierte Leistungs-Dashboards
  • Leistungserkennungen
  • Optimierungsregeln für Leistungserkennungen
  • Benachrichtigungsregeln für Leistungserkennungen
  • Warnmeldungen
Funktionen von Packet Forensics
Die folgenden Funktionen sind in ExtraHop-Systemen mit dem Modul Packet Forensics verfügbar.
  • Paketerfassung
  • Packetstore-Unterstützung
IDS-Funktionen
Die folgenden Funktionen sind in ExtraHop-Systemen mit dem Modul Intrusion Detection System (IDS) verfügbar.
  • IDS-Erkennungen

Lösungen

Reveal (x) Enterprise
Reveal (x) Enterprise ist eine selbstverwaltete Lösung, die Folgendes umfasst Sensoren, Konsolen, Paketspeicher, Plattenspeicher und Zugriff auf ExtraHop Cloud Services.

Enthülle (x) 360
Reveal (x) 360 ist eine Software-as-a-Service (SaaS) -Lösung, die Folgendes umfasst Sensoren und Packetstores und beinhaltet einen cloudbasierten Recordstore, einen Konsoleund Zugriff auf ExtraHop Cloud Services.

Komponenten

Jede Lösung bietet eine Reihe von Komponenten, die auf Ihre Umgebungsanforderungen zugeschnitten sind: Sensoren, Paketspeicher, Plattenspeicher und ein Konsole für zentralisiertes Management und einheitliche Datenansichten.

Paket-Sensoren
Paketsensoren erfassen, speichern und analysieren Metrik Daten über Ihr Netzwerk. Je nach Sensorgröße sind mehrere Ebenen der Datenanalyse, Erfassung und Speicherung verfügbar. Diese Sensoren sind sowohl in NPM- als auch in NDR-Modulen als physische, virtuelle und cloudbasierte Optionen in Größen erhältlich, die auf Ihre Analyseanforderungen zugeschnitten sind.
IDS-Sensoren
Die Sensoren des Intrusion Detection Systems (Intrusion Detection System) sind in Paketsensoren integriert, um Erkennungen auf der Grundlage der branchenüblichen IDS-Signatur zu generieren. IDS-Sensoren werden als Zusatzmodul zum NDR-Modul eingesetzt. IDS-Sensoren sind eine physische Appliance mit einem zugehörigen Paketsensor und sind für Reveal (x) 360- oder Reveal (x) Enterprise-Umgebungen verfügbar.
Durchflusssensoren
Flusssensoren sind nur für Reveal (x) 360 verfügbar und erfassen ausschließlich VPC-Flow-Logs, sodass Sie den von AWS-SaaS-Diensten verwalteten Datenverkehr sehen können.
Plattenläden
Recordstores lassen sich in Sensoren integrieren und Konsolen zu Transaktions - und Flow-Aufzeichnungen speichern das kann im gesamten ExtraHop-System abgefragt werden. Recordstores können als eigenständige physische oder virtuelle Optionen bereitgestellt werden. Sie werden als Drittanbieter-Verbindungen zu Splunk oder BiqQuery von Reveal (x) Enterprise unterstützt und sind in Paketen mit NPM- und NDR-Modulen erhältlich.
Paketshops
Packetstores integrieren sich in Sensoren und Konsolen zur Verfügung stellen kontinuierliche PCAP und ausreichend Speicherplatz für eingehendere Untersuchungen und forensische Anforderungen. Packetstores können als eigenständige physische oder virtuelle Optionen bereitgestellt werden und sind als Zusatzmodul für Paketforensik sowohl für NPM- als auch für NDR-Module verfügbar.
Konsolen
Konsolen bieten eine browserbasierte Oberfläche, die eine Kommandozentrale für alle verbundenen Komponenten bietet. Konsolen können als eigenständige virtuelle oder cloudbasierte Optionen für Reveal (x) Enterprise bereitgestellt werden und sind in Reveal (x) 360 enthalten.

Die folgende Tabelle bietet einen Überblick über die für jede Lösung verfügbaren Optionen.

  Enthülle (x) Enterprise Zeige (x) 360
  Körperlich Virtuell/Cloud Körperlich Virtuell/Cloud
Paketsensor

SEIT 1200

SEIT 6200

AB 820

SEIT 8320

SEIT 9200

SEIT 9300

VON 10200

VON 10300

EDA 1100 V AWS

EDA 1100v Azurblau

EDA 1100 V GCP

EDA 1100 V Linux KVM

EDA 1100 v VMware

EDA 6100 v VMware

EDA 610 V AWS

EDA 6100v Azurblau

EDA 820 V AWS

Reveal (x) Ultra AWS mit 1 Gbit/s und 10 Gbit/s

Reveal (x) Ultra GCP mit 1 Gbit/s

SEIT 1200

SEIT 6200

AB 820

SEIT 8320

SEIT 9200

SEIT 9300

VON 10200

VON 10300

EDA 1100 V AWS

EDA 1100v Azurblau

EDA 1100 V GCP

EDA 1100 V Linux KVM

EDA 1100 v VMware

EDA 610 V AWS

EDA 6100v Azurblau

EDA 6100 v VMware

EDA 820 V AWS

Reveal (x) Ultra AWS mit 1 Gbit/s und 10 Gbit/s

Reveal (x) Ultra GCP mit 1 Gbit/s

IDS-Sensor

Intrusion Detection System 8280

N/A

Intrusion Detection System 8280

N/A
Durchflusssensor N/A N/A N/A

EFC 1291v AWS (PVC)

EFC 1292v (NetFlow)

Paketspeicher

BETA 6150

BETA 8250

ETA 1150v AWS

ETA 1150v Azurblau

ETA 1150 V GCP

ETA 1150v VMware

ETA 6150v VMware

BETA 6150

BETA 8250

ETA 1150v AWS

ETA 1150v Azurblau

ETA 1150 V GCP

ETA 1150v VMware

ETA 6150v VMware

In Ultra-Abonnements enthalten

Plattenladen EXA 5200

EXA 5100 v AWS

EXA 5100v Azurblau

EXA 5100v Hyper-V

EXA 5100v Linux KVM

EXA 5100 v VMware

N/A In Premium- und Ultra-Abonnements enthalten
Intrusion Detection System

Intrusion Detection System 8280

Intrusion Detection System 980

Intrusion Detection System 1280 v VMware

Intrusion Detection System 6280v VMWare

Intrusion Detection System 8280

Intrusion Detection System 980

Intrusion Detection System 1280 v VMware

Intrusion Detection System 6280v VMWare

Konsole N/A

ECA-GESETZE

ECA Azure

ECA GCP

ECA Hyper-V

ECA Linux KVM

ECA VMWare

N/A In allen Abos enthalten

ExtraHop Cloud-Dienste

ExtraHop Cloud-Dienste aktualisiert die Sensoren automatisch mit neuen Erkennungen und kritischen Bedrohungsinformationen sowie mit Funktionserweiterungen und ermöglicht Ihren Account-Teams den Zugriff auf Fernsupport und professionelle Services.

Intelligente Sensoranalytik

Das ExtraHop-System bietet eine browserbasierte Oberfläche mit Tools, mit denen Sie Daten untersuchen und visualisieren, Ergebnisse sowohl in Top-down- als auch in Bottom-up-Workflows untersuchen und anpassen können, wie Sie Ihre Netzwerkdaten sammeln, anzeigen und teilen. Fortgeschrittene Benutzer können sowohl Verwaltungs- als auch Benutzeraufgaben automatisieren und Skripten erstellen über ExtraHop REST-API und passen Sie die Datenerfassung an über die ExtraHop-Trigger-API , das ist ein JavaScript-IDE-Tool.

Das Herzstück des ExtraHop-Systems ist ein intelligentes Sensor , das Metrik Daten über Ihr Netzwerk erfasst, speichert und analysiert — und bietet je nach Bedarf unterschiedliche Ebenen der Datenanalyse, -erfassung und -speicherung. Sensorik sind mit Speicher ausgestattet, der einen Metrik-Lookback für 30 Tage unterstützt. Beachten Sie, dass der tatsächliche Lookback je nach Verkehrsmustern, Transaktionsraten, Anzahl der Endpunkte und Anzahl der aktiven Protokolle variiert.

Konsolen fungieren als Kommandozentrale mit Verbindungen zu mehreren Sensoren, Plattenläden und Paketläden, die auf Rechenzentren und Zweigstellen verteilt sind. Alle Reveal (x) 360-Bereitstellungen beinhalten eine Konsole; Reveal (x) Enterprise kann virtuelle oder Cloud-Varianten bereitstellen.

Konsolen bieten einheitliche Datenansichten für all Ihre Standorte und ermöglichen es Ihnen, bestimmte erweiterte Konfigurationen zu synchronisieren (z. löst aus und Warnungen) und Einstellungen (Tuning-Parameter, Prioritäten der Analyse, und Plattenläden).

In den folgenden Abschnitten werden die wichtigsten Funktionskomponenten des ExtraHop-Systems und ihr Zusammenspiel beschrieben.

Sensortypen

Die Art von Sensor Die Art der Daten, die Sie bereitstellen, bestimmt die Art der Daten, die gesammelt, gespeichert und analysiert werden.

Daten verdrahten

Paketsensoren und Intrusion Detection System (IDS) -Sensoren beobachten unstrukturierte Pakete passiv über einen Port-Mirror oder greifen auf die Daten zu und speichern sie im lokalen Datenspeicher. Die Paketdaten werden einer Stream-Verarbeitung in Echtzeit unterzogen, bei der die Pakete in die folgenden Phasen in strukturierte wire data umgewandelt werden:

  1. TCP-Zustandsmaschinen werden neu erstellt, um eine vollständige Reassemblierung durchzuführen.
  2. Pakete werden gesammelt und in Flows gruppiert.
  3. Die strukturierten Daten werden auf folgende Weise analysiert und verarbeitet:
    • Transaktionen werden identifiziert.
    • Geräte werden automatisch erkannt und anhand ihrer Aktivität klassifiziert.
    • Metriken werden generiert und mit Protokollen und Quellen verknüpft, und die Metrikdaten werden dann in Metrikzyklen aggregiert.
  4. Wenn neue Metriken generiert und gespeichert werden und der Datenspeicher voll wird, werden die ältesten vorhandenen Metriken gemäß dem First-in-First-Out-Prinzip (FIFO) überschrieben.
Flow-Daten

Ein Fluss ist ein Satz von Paketen, die Teil einer einzelnen Verbindung zwischen zwei Endpunkten sind. Durchfluss Sensoren sind für Reveal (x) 360 verfügbar und bieten kontinuierliche Netzwerktransparenz auf der Grundlage von VPC-Flow-Protokollen, um AWS-Umgebungen zu schützen. VPC-Flussprotokolle ermöglichen es Ihnen , Informationen über den IP-Verkehr zu und von Netzwerkschnittstellen in Ihrer VPC zu erfassen. Sie werden als Flow-Protokolldatensätze aufgezeichnet. Dabei handelt es sich um Protokollereignisse, die aus Feldern bestehen, die den Verkehrsfluss beschreiben. Diese Protokolldaten ermöglichen es Ihnen, mit fortschrittlichen Erkennungen durch maschinelles Lernen nach Bedrohungen zu suchen.

Flow-Logs werden aufgenommen, dedupliziert und dann in Flows gruppiert. Die Datenflüsse werden dann mit Daten (wie MAC-Adressen) angereichert, die von AWS EC2-APIs abgefragt werden.

Die Flüsse werden dann auf folgende Weise analysiert und verarbeitet:

  • Geräte werden automatisch erkannt und anhand ihrer Aktivität klassifiziert, die über bestimmte Ports beobachtet wird.
  • Grundlegende L2-L4-Metriken werden generiert und zu Metrikzyklen zusammengefasst.
  • ExFlow-Datensatztypen werden generiert und veröffentlicht.

Metriken, Datensätze und Pakete

ExtraHop-Sensoren erfassen und speichern mehrere Tiefen der Netzwerkinteraktion als Metriken. Metriken sind aggregierte Beobachtungen über Endpunktinteraktionen im Laufe der Zeit. Packetstores sammeln und speichern die zwischen zwei Endpunkten übertragenen Rohdaten als Pakete. Plattenläden Sammeln und Speichern von Datensätzen, bei denen es sich um strukturierte Informationen über Transaktions-, Nachrichten- und Netzwerkflüsse handelt.

Sie können all diese Interaktionen von einzelnen Sensoren aus anzeigen und abfragen oder von einem Konsole das ist mit einem komplexen Einsatz von Sensoren, Paketspeichern und Plattenläden verbunden.

Wenn ein Client beispielsweise eine HTTP-Anfrage an einen Server sendet, enthält jeder Datentyp Folgendes:

  • Das Paket enthält die Rohdaten, die bei der Interaktion gesendet und empfangen wurden.
  • Der zugehörige Datensatz enthält die mit einem Zeitstempel versehenen Metadaten über die Interaktion: den Zeitpunkt der Anfrage, die IP-Adresse des Client und Server, die angeforderte URI, etwaige Fehlermeldungen.
  • Die zugehörige Metrik (HTTP-Anfragen) enthält eine Zusammenfassung dieser Interaktion mit anderen beobachteten Interaktionen während des angegebenen Zeitraums, z. B. wie viele Anfragen aufgetreten sind, wie viele dieser Anfragen erfolgreich waren, wie viele Clients Anfragen gesendet haben und wie viele Server die Anfragen erhalten haben.

Sowohl Metriken als auch Datensätze können angepasst werden, um spezifische Metadaten auf JavaScript-Basis zu extrahieren und zu speichern löst aus. Während das ExtraHop-System über 4.600 integrierte Metriken, vielleicht möchten Sie eine erstellen benutzerdefinierte Metrik, die 404-Fehler sammelt und aggregiert nur von kritischen Webservern. Und vielleicht möchten Sie Ihren Plattenspeicher nur maximieren, indem Sie Erfassung von Transaktionen, die über einen verdächtigen Port stattgefunden haben.

Erkennung von Geräten

Nachdem ein Gerät erkannt wurde, beginnt das ExtraHop-System mit der Erfassung von Metriken, die auf der für dieses Gerät konfigurierten Analyseebene basieren. Du kannst Finde ein Gerät nach ihrer MAC-Adresse, IP-Adresse oder ihrem Namen (z. B. ein aus dem DNS-Verkehr beobachteter Hostname, NetBIOS-Name, Cisco Discovery Protocol (CDP) -Name, DHCP-Name oder ein benutzerdefinierter Name, den Sie dem Gerät zugewiesen haben).

Das ExtraHop-System kann Geräte anhand ihrer MAC-Adresse (L2 Discovery) oder anhand ihrer IP-Adressen (L3 Discovery) erkennen und verfolgen. L2 Discovery bietet den Vorteil, dass Messwerte für ein Gerät auch dann verfolgt werden können, wenn die IP-Adresse durch eine DHCP-Anfrage geändert oder neu zugewiesen wird. Standardmäßig ist das ExtraHop-System für L2 Discovery konfiguriert.

IPv4- und IPv6-Adressen von Geräten werden anhand von ARP-Nachrichten (Address Resolution Protocol), NDP-Antworten ( Neighbor Discovery Protocol), lokalen Broadcasts oder lokalem Subnetz-Multicast-Verkehr ermittelt. Die MAC-Adresse und die IP-Adresse für Geräte werden in den Suchergebnissen im gesamten System zusammen mit den Geräteinformationen angezeigt.

L2-Entdeckung

In L2 Discovery erstellt das ExtraHop-System einen Geräteeintrag für jede lokale MAC-Adresse, die über das Kabel erkannt wurde. IP-Adressen werden der MAC-Adresse zugeordnet, aber Metriken werden zusammen mit der MAC-Adresse des Gerät gespeichert, auch wenn sich die IP-Adresse ändert.

IP-Adressen, die außerhalb von lokal überwachten Broadcast-Domänen beobachtet werden, werden auf einem der eingehenden Router in Ihrem Netzwerk aggregiert. Wenn ein Gerät eine DHCP-Anfrage über einen Router sendet, der als DHCP-Relay-Agent fungiert, erkennt das ExtraHop-System die IP-Adresse und ordnet sie der MAC-Adresse des Gerät zu. Wenn sich die IP-Adresse für das Gerät mit einer nachfolgenden Anfrage über den DHCP-Relay-Agenten ändert, aktualisiert das ExtraHop-System seine Zuordnung und verfolgt die Gerätemetriken weiterhin anhand der MAC-Adresse.

Sowohl die MAC-Adresse als auch die IP-Adresse werden für das entferntes Gerät erkannt.

Wenn kein DHCP-Relay-Agent konfiguriert ist, können Remote-Geräte anhand ihrer IP-Adressen erkannt werden über L3-Erkennung per Fernzugriff.

L3-Entdeckung

In L3 Discovery erstellt und verknüpft das ExtraHop-System zwei Einträge für jedes lokal erkannte Gerät: einen übergeordneten L2-Eintrag mit einer MAC-Adresse und einen untergeordneten L3-Eintrag mit IP-Adressen und der MAC-Adresse.

Hier sind einige wichtige Überlegungen zur L3-Entdeckung:

  • Wenn auf einem Router Proxy-ARP aktiviert ist, erstellt das ExtraHop-System für jede IP-Adresse, für die der Router ARP-Anfragen beantwortet, ein L3-Gerät.
  • Wenn Sie in Ihrem Netzwerk ein Proxy-ARP konfiguriert haben, erkennt das ExtraHop-System möglicherweise automatisch Remote-Geräte.
  • L2-Metriken, die keinem bestimmten untergeordneten L3-Gerät zugeordnet werden können ( z. B. L2-Broadcast-Verkehr), werden dem L2-Elterngerät zugeordnet.
L3-Erkennung per Fernzugriff

Wenn das ExtraHop-System eine IP-Adresse erkennt, der kein ARP- oder NDP-Verkehr zugeordnet ist, wird dieses Gerät als entferntes Gerät betrachtet. Remote-Geräte werden nicht automatisch erkannt, aber Sie können einen Remote-IP-Adressbereich hinzufügen und Geräte erkennen, die sich außerhalb des lokalen Netzwerk befinden. Für jede IP-Adresse, die innerhalb des Remote-IP-Adressbereichs beobachtet wird, wird ein Geräteeintrag erstellt. (Remote-Geräte haben keine übergeordneten L2-Einträge.)

Für das entferntes Gerät wird nur die IP-Adresse erkannt.

Im Folgenden finden Sie einige Empfehlungen zur Konfiguration von Remote L3 Discovery:

  • Ihre Client-Geräte befinden sich in einem Netzwerksegment, das nicht direkt angezapft wird.
  • Ihr Unternehmen verfügt über eine Außenstelle ohne ein ExtraHop-System vor Ort, aber die Benutzer an diesem Standort greifen auf zentrale Rechenzentrumsressourcen zu, die direkt von einem ExtraHop-System überwacht werden. Die IP-Adressen am Remote-Standort können als Geräte erkannt werden.
  • Ein Cloud-Dienst oder ein anderer externer Dienst hostet Ihre Remote-Anwendungen und hat einen bekannten IP-Adressbereich. Die Remote-Server innerhalb dieses IP-Adressbereichs können individuell verfolgt werden.
VPN-Entdeckung
VPN-Entdeckung ermöglicht es dem ExtraHop-System, die privaten RFC-1918-IP-Adressen, die VPN-Clients zugewiesen wurden, mit ihren öffentlichen, externen IP-Adressen zu korrelieren. Dieser erweiterte Einblick in den Nord-Süd-Verkehr reduziert Hindernisse bei der Untersuchung von Sicherheitsvorfällen und Leistungsproblemen , an denen externe VPN-Clients beteiligt sind. (Für diese Funktion ist ein VPN-Gateway erforderlich, das vom Benutzer manuell zugewiesen wird.)

Erkennung von Bedrohungen

Das ExtraHop-System bietet sowohl maschinelles Lernen als auch regelbasiertes Erkennungen die aktive oder potenzielle Bedrohungen, Netzwerkschwächen, die anfällig für Exploits sind, und suboptimale Konfigurationen, die die Netzwerkleistung beeinträchtigen können, identifizieren.

Zusätzlich Diagramme, Visualisierungen, und Karten zur Geräteaktivität ermöglichen Sie die proaktive Bedrohungssuche.

Optimierung der Erkennung
Reduzieren Sie Geräusche und lassen Sie nur kritische Erkennungen erkennen indem Sie Details über Ihr Netzwerk hinzufügen, anhand derer bekannte Parameter wie vertrauenswürdige Domänen und Schwachstellenscanner identifiziert werden können.

Darüber hinaus können Sie Optimierungsregeln erstellen, die bestimmte Erkennungen oder Teilnehmer verbergen und unerwünschte Geräusche weiter reduzieren.

Netzwerk-Lokalität
Standardmäßig wird jedes Gerät mit einer RFC1918-IP-Adresse (in einem 10/8-, 172.16/12- oder 192.168/16 CIDR-Block enthalten) auf dem System als internes Gerät klassifiziert.

Da einige Netzwerkumgebungen jedoch IP-Adressen enthalten, die nicht RFC1918 entsprechen, als Teil ihres internen Netzwerk, können Sie die interne oder externe Klassifizierung für IP-Adressen ändern von der Seite Network Locations.

Bedrohungsinformationen
Das ExtraHop-System umfasst kuratierte Bedrohungsinformationen Feeds von ExtraHop und Crowdstrike Falcon, die über die Cloud aktualisiert werden, sobald neue Bedrohungen entdeckt werden. Du kannst auch Bedrohungssammlungen hinzufügen von einem Drittanbieter.
Bedrohungsinformationen
Bedrohungsinformationen stellen Informationen über unmittelbare Bedrohungen bereit , die auf Netzwerke abzielen. Aktuelle Erkennungen, gezielte Datensatz- und Paketabfragen sowie betroffene Geräte werden als Ausgangspunkt für Ihre Untersuchung angezeigt. Der Zugriff erfolgt über Überblick über die Sicherheit Seite.
Integrationen
Reveal (x) 360 bietet mehrere Drittanbieter-Integrationen, die das Erkennung- und Reaktionsmanagement verbessern und einen besseren Überblick über den Netzwerkverkehr bieten können.
Kortex XSOAR
Exportieren Sie ExtraHop-Erkennungen, führen Sie Antwort-Playbooks aus und fragen Sie Gerätedetails in Cortex XSOAR ab.
Crowdstrike
Sehen Sie sich Details zu CrowdStrike-Geräten an und fügen Sie diese Geräte aus dem ExtraHop-System hinzu.
CrowdStrike Falcon LogScale
Geben Sie Filterkriterien für ExtraHop-Sicherheitserkennungen an und exportieren Sie die Ergebnisse nach CrowdStrike Falcon LogScale.
Microsoft 365
Importieren Sie Microsoft 365-Erkennungen und -Ereignisse, überwachen Sie Microsoft 365-Metriken in integrierten Dashboards und lassen Sie sich Details zu Risikoereignissen in Datensätzen anzeigen.
Entschlüsselung des Microsoft-Protokolls
Entschlüsseln Sie den Datenverkehr über Microsoft-Protokolle wie LDAP, RPC, SMB und WSMan, um die Erkennung von Sicherheitsangriffen in Ihrer Microsoft Windows-Umgebung zu verbessern.
Q-Radar
Exportieren und betrachten Sie ExtraHop-Erkennungen in Ihrem QRadar SIEM.
Splunk
Exportieren und zeigen Sie ExtraHop-Erkennungen in Ihrem Splunk SIEM an.
Splunk SOAR
Exportieren und zeigen Sie ExtraHop-Erkennungen, -Metriken und -Pakete in Ihrer Splunk SOAR-Lösung an.

Das ExtraHop-System bietet Zugriff auf Netzwerkaktivitätsdaten und Erkennungsdetails über eine dynamische und hochgradig anpassbare Benutzeroberfläche.

Dieses Handbuch bietet einen Überblick über die globale Navigation und die Steuerelemente, Felder und Optionen, die im gesamten System verfügbar sind. siehe Einführung in das ExtraHop-System um zu erfahren, wie das ExtraHop-System Ihre Daten sammelt und analysiert.
Video:Sehen Sie sich die entsprechende Schulung an: Vollständiger Lernpfad zu den UI-Grundlagen

Unterstützte Browser

Die folgenden Browser sind mit allen ExtraHop-Systemen kompatibel. Wenden Sie die von Ihrem Browser bereitgestellten Barrierefreiheits- und Kompatibilitätsfunktionen an, um über technische Hilfsmittel auf Inhalte zuzugreifen.

  • Firefox
  • Google Chrome
  • Microsoft Edge
  • Safari
Wichtig:Internet Explorer 11 wird nicht mehr unterstützt. Wir empfehlen Ihnen, die neueste Version aller unterstützten Browser zu installieren.

Layout und Menüs

Globale Navigationselemente befinden sich oben auf der Seite und enthalten Links zu den Hauptabschnitten des Systems. In jedem Abschnitt enthält der linke Bereich Links zu bestimmten Seiten oder Daten.

Die folgende Abbildung zeigt sowohl globale Navigationselemente als auch Navigationselemente im linken Bereich.



Hier sind Definitionen der einzelnen globalen Navigationselemente:

Übersichtsseiten
Auf Übersichtsseiten können Sie schnell den Umfang verdächtiger Aktivitäten in Ihrem Netzwerk bewerten, sich über Protokollaktivitäten und Geräteverbindungen informieren und den ein- und ausgehender Datenverkehr in Ihrem Netzwerk untersuchen.
Armaturenbretter
klicken Armaturenbretter um Dashboards zur Überwachung aller Aspekte Ihres Netzwerk oder Ihrer Anwendungen anzuzeigen, zu erstellen oder zu teilen. System-Dashboards geben Ihnen einen sofortigen Überblick über die Aktivitäten und potenziellen Sicherheitsbedrohungen in Ihrem Netzwerk.
Warnmeldungen
klicken Warnmeldungen um Informationen zu jeder Alarm anzuzeigen, die während des Zeitintervalls generiert wurde.
Erkennungen
Wenn dein Paket oder Fluss Sensor ist mit dem ExtraHop Machine Learning Service verbunden, die Top-Level-Navigation zeigt die Erkennungen Speisekarte. Klicken Sie Erkennungen um anhand Ihrer wire data identifizierte Erkennungen anzuzeigen. Sie können auf gespeicherte Erkennungen zugreifen, auch wenn Ihre Sensor ist vom Machine Learning Service getrennt.
Hinweis:Erkennungen durch maschinelles Lernen erfordern eine Verbindung zu ExtraHop Cloud Services .
Vermögenswerte
Klicken Sie Vermögenswerte um alle Anwendung, Netzwerk oder Gerät zu finden, die vom ExtraHop-System erkannt wurden. Sie können Protokollmetriken für Ihre Ressourcen, aktiven Benutzer oder Netzwerkaktivitäten nach Protokoll anzeigen.
Rekorde
Wenn Ihr ExtraHop-System mit einem konfiguriert ist Recordstore, die Navigation auf oberster Ebene zeigt das Datensatzmenü. Klicken Sie Rekorde um alle gespeicherten Datensätze für das aktuelle Zeitintervall abzufragen. Datensätze sind strukturierte Informationen über Transaktionen, Nachrichten und Netzwerkflüsse.
Pakete
Wenn Ihr ExtraHop-System mit einem konfiguriert ist Packetstore, die Navigation auf oberster Ebene zeigt das Menü Pakete. Klicken Sie Pakete um alle gespeicherten Pakete für das aktuelle Zeitintervall abzufragen.
Globales Suchfeld
Geben Sie den Namen eines beliebigen Geräts, eines Hostnamens oder einer IP-Adresse, einer Anwendung oder eines Netzwerk ein, um eine Übereinstimmung auf Ihrem Gerät zu finden Sensor oder Konsole. Wenn Sie einen verbundenen Recordstore haben, können Sie nach gespeicherten Datensätzen suchen. Wenn Sie einen verbundenen Packetstore haben, können Sie nach Paketen suchen.
Hilfesymbol
Sehen Sie sich die Hilfeinformationen für die Seite an, die Sie gerade betrachten. Um auf die aktuellsten und umfassendsten ExtraHop-Dokumentationen zuzugreifen, besuchen Sie die ExtraHop Documentation Webseite.
Symbol „Systemeinstellungen"
Greifen Sie auf Systemkonfigurationsoptionen wie Trigger, Alarme, geplante Berichte und benutzerdefinierte Geräte zu und klicken Sie, um das ExtraHop-System und die Version anzuzeigen. Klicken Sie Hinweise zum System um eine Liste der Funktionen in der aktuellsten Version und aller Systemhinweise wie ablaufende Lizenzen oder verfügbare Firmware-Upgrades.
Symbol für Benutzeroptionen
Loggen Sie sich ein und melden Sie sich von Ihrem ab Sensor oder Konsole, ändere dein Passwort, wähle das Display-Thema, eine Sprache einstellenund greifen Sie auf API-Optionen zu.
Fenster umschalten
Reduzieren oder erweitern Sie den linken Bereich.
Globaler Zeitselektor
Ändern Sie das Zeitintervall um Anwendung- und Netzwerkaktivitäten anzuzeigen, die vom ExtraHop-System für einen bestimmten Zeitraum beobachtet wurden. Das globale Zeitintervall wird auf alle Metriken im System angewendet und ändert sich nicht, wenn Sie zu verschiedenen Seiten navigieren.
Letzte Seiten
Sehen Sie sich in einem Drop-down-Menü eine Liste der zuletzt besuchten Seiten an und treffen Sie eine Auswahl, um zu einer vorherigen Seite zurückzukehren. Wiederholte Seiten werden dedupliziert und komprimiert, um Platz zu sparen.
Navigationspfad
Sehen Sie sich an, wo Sie sich im System befinden, und klicken Sie auf einen Seitennamen im Pfad , um zu dieser Seite zurückzukehren.
Dropdownmenü im Befehlsmenü
Klicken Sie hier, um auf bestimmte Aktionen für die Seite zuzugreifen, die Sie gerade betrachten. Zum Beispiel, wenn Sie klicken Armaturenbretter oben auf der Seite das Befehlsmenü bietet Aktionen zum Ändern der Dashboard-Eigenschaften oder zum Erstellen eines neuen Dashboard.

Beginnen Sie mit der Datenanalyse

Beginnen Sie Ihre Reise zur Datenanalyse mit dem ExtraHop-System, indem Sie die unten aufgeführten grundlegenden Workflows befolgen. Sobald Sie sich mit dem ExtraHop-System vertraut gemacht haben, können Sie komplexere Aufgaben wie das Installieren von Bundles und das Erstellen von Triggern erledigen.

Im Folgenden finden Sie einige grundlegende Möglichkeiten, mit dem ExtraHop-System zu navigieren und mit diesem zu arbeiten, um Netzwerkaktivitäten zu analysieren.

Überwachen Sie Kennzahlen und untersuchen Sie interessante Daten
Gute Ausgangspunkte sind die Dashboard zur Netzwerkaktivität und Dashboard zur Netzwerkleistung, die Ihnen Zusammenfassungen wichtiger Kennzahlen zur Anwendungsleistung in Ihrem Netzwerk zeigen. Wenn Sie einen Anstieg des Datenverkehrs, Fehler oder Serververarbeitungszeit feststellen, können Sie mit den Dashboard-Daten interagieren, um bohren Sie nach unten und ermitteln Sie, welche Clients, Server, Methoden oder andere Faktoren zu der ungewöhnlichen Aktivität beigetragen haben.

Anschließend können Sie die Leistungsüberwachung oder Problembehandlung fortsetzen, indem Sie ein benutzerdefiniertes Dashboard erstellen um eine Reihe interessanter Metriken und Geräte zu verfolgen.

Schauen Sie sich Folgendes an Komplettlösungen um mehr über die Überwachung von Daten in Dashboards zu erfahren:

Suchen Sie nach einem bestimmten Gerät und untersuchen Sie zugehörige Metriken und Transaktionen
Wenn Sie einen langsamen Server untersuchen möchten, können Sie suche nach dem Server im ExtraHop-System anhand des Gerätenamens oder der IP-Adresse und untersuchen Sie dann die Aktivität des Servers auf einer Protokollseite. Gab es einen Anstieg an Antwortfehlern oder Anfragen? War die Serververarbeitungszeit zu hoch oder hat sich die Netzwerklatenz auf die Datenübertragungsrate ausgewirkt? Klicken Sie auf der Geräteseite auf verschiedene Protokolle, um weitere vom ExtraHop-System gesammelte Metrik Daten zu untersuchen. Aufschlüsselung nach Peer-IP-Adressen um zu sehen, mit welchen Clients oder Anwendungen der Server gesprochen hat.

Wenn Ihr ExtraHop-System mit einem verbunden ist Recordstore, Sie können ganze Transaktionen untersuchen, an denen der Server beteiligt war Erstellen einer Datensatzabfrage.

Schauen Sie sich Folgendes an Komplettlösungen um mehr über das Erkunden von Metriken und Datensätzen zu erfahren:

Verschaffen Sie sich einen Überblick über Änderungen an Ihrem Netzwerk, indem Sie nach Protokollaktivitäten suchen
Sie können Ihr Netzwerk von oben nach unten betrachten, indem Sie sich die integrierten Protokollgruppen ansehen. Eine Protokollgruppe ist eine Sammlung von Geräten, die vom ExtraHop-System auf der Grundlage des über die Leitung beobachteten Protokollverkehrs automatisch gruppiert werden. Sie können beispielsweise neue oder stillgelegte Server finden, die aktiv über ein Protokoll kommunizieren, indem Sie eine Aktivitätskarte erstellen.

Wenn Sie eine Sammlung von Geräten finden, die Sie weiter überwachen möchten, können Sie ein Geräte-Tag hinzufügen oder benutzerdefinierter Gerätename damit diese Geräte im ExtraHop-System leichter auffindbar sind. Du kannst auch eine benutzerdefinierte Gerätegruppe erstellen oder ein benutzerdefiniertes Dashboard um die Aktivität von Gerätegruppe zu überwachen.

Erweiterte Workflows zur Anpassung Ihres ExtraHop-Systems

Nachdem Sie sich mit den grundlegenden Arbeitsabläufen vertraut gemacht haben, können Sie Ihr ExtraHop-System anpassen, indem Sie Warnmeldungen einrichten, benutzerdefinierte Metriken erstellen oder Bundles installieren.

Benachrichtigungen einrichten
Warnmeldungen Verfolgen Sie bestimmte Messwerte, um Sie über Verkehrsabweichungen zu informieren, die auf ein Problem mit einem Netzwerkgerät hinweisen könnten. Einen Schwellenwertalarm konfigurieren um Sie zu benachrichtigen, wenn eine überwachte Metrik einen definierten Wert überschreitet. Konfigurieren Sie eine Trendwarnung um Sie zu benachrichtigen, wenn eine überwachte Metrik von den normalen, vom System beobachteten Trends abweicht.
Erstellen Sie einen Auslöser, um benutzerdefinierte Metriken und Anwendungen zu erstellen
Auslöser sind benutzerdefinierte Skripts , die bei einem vordefinierten Ereignis eine Aktion ausführen. Trigger müssen geplant werden, um sicherzustellen, dass ein Auslöser die Systemleistung nicht negativ beeinflusst.

Schauen Sie sich Folgendes an Komplettlösungen um mehr über das Erkunden von Metriken und Datensätzen zu erfahren:

Zeitintervalle

Der Zeitselektor wird in der oberen linken Ecke der Navigationsleiste angezeigt und steuert das globale Zeitintervall für Metriken und Erkennungen, die im ExtraHop-System angezeigt werden.

Hier sind einige Überlegungen zu Zeitintervallen:

  • Mit der Zeitselektor können Sie ein relatives globales Zeitintervall auswählen, z. B. den letzten Tag, oder einen benutzerdefinierten Zeitraum festlegen.
  • Mit dem Zeitselektor können Sie ändere deine angezeigte Zeitzone manuell.
  • Das gewählte Zeitintervall bleibt unverändert, unabhängig davon, ob Sie Metriken in einem Dashboard anzeigen oder Entdeckungen untersuchen, bis Sie das Intervall ändern oder zu einer Seite mit einem voreingestellten Zeitintervall navigieren, z. B. Erkennungsdetails oder Bedrohungsinformationen.
  • Wenn beim Abmelden ein relatives Zeitintervall ausgewählt wird, verwendet das ExtraHop-System standardmäßig dieses relative Zeitintervall, wenn Sie sich wieder anmelden.
  • Wenn beim Abmelden ein benutzerdefinierter Zeitraum ausgewählt wird, verwendet das ExtraHop-System standardmäßig das letzte relative Zeitintervall, das Sie während der vorherigen Anmeldesitzung angesehen haben.
  • Sie können auf die fünf letzten eindeutigen Zeitintervalle zugreifen über Geschichte Registerkarte der Zeitselektor.
  • Das Zeitintervall ist am Ende der URL in Ihrem Browser enthalten. Um einen Link mit anderen zu teilen, der ein bestimmtes Zeitintervall einhält, kopieren Sie die gesamte URL. Um nach dem Abmelden vom ExtraHop-System ein bestimmtes Zeitintervall einzuhalten, setzen Sie ein Lesezeichen für die URL.

Ändern Sie das Zeitintervall

Dieses Verfahren zeigt Ihnen, wie Sie das globale Zeitintervall einstellen. Sie können ein Zeitintervall auch per Dashboard anwenden oder nach Region.
  1. Klicken Sie auf das Zeitintervall in der oberen linken Ecke der Seite (zum Beispiel Letzte 30 Minuten).
  2. Wählen Sie aus den folgenden Intervall-Optionen:
    • Ein voreingestelltes Zeitintervall (z. B. Letzte 30 Minuten, Letzte 6 Stunden, Letzter Tag, oder Letzte Woche).
    • Eine benutzerdefinierte Zeiteinheit.
    • Ein benutzerdefinierter Zeitraum. Klicken Sie auf einen Tag, um das Startdatum für den Bereich anzugeben. Mit einem Klick wird ein einzelner Tag angegeben. Wenn Sie auf einen anderen Tag klicken, wird das Enddatum für den Bereich angegeben.
    • Metrik Deltas vergleichen aus zwei verschiedenen Zeitintervallen.
  3. klicken Speichern.
Hinweis:Sie können das Zeitintervall auch über den Geschichte Klicken Sie auf die Registerkarte, indem Sie aus bis zu fünf aktuellen Zeitintervallen auswählen, die in einer vorherigen Anmeldesitzung festgelegt wurden.

Ändern Sie die angezeigte Zeitzone

Mit dem Zeitselektor können Sie die im ExtraHop-System angezeigte Zeitzone ändern. Dies bietet mehr Flexibilität bei der Anzeige zeitbasierter Daten wie Metriken, Erkennungen und Aufzeichnungen in Umgebungen, die sich über mehrere Zeitzonen erstrecken.

Im Folgenden finden Sie einige Überlegungen zur Anzeige von Zeiteinstellungen in Reveal (x) 360:

  • Die Änderung Ihrer angezeigten Zeitzone wirkt sich auf die Datums- und Zeitstempel aus, die Sie im ExtraHop-System sehen, gilt jedoch nicht für geplante Berichte oder exportierte Dashboards.
  • Wenn Sie Ihre Zeitzone ändern, wird die in den Administrationseinstellungen konfigurierte Standardanzeigezeit überschrieben. siehe Systemzeit (für ExtraHop Performance und Reveal (x) Enterprise) oder Konfigurieren Sie die Systemzeit (für Reveal (x) 360) für weitere Informationen.
  1. <extrahop-hostname-or-IP-address>Loggen Sie sich über https://in das ExtraHop-System ein.
  2. Klicken Sie in der oberen linken Ecke der Seite auf die Zeitselektor.
  3. Klicken Sie Zeitzone.
  4. Wählen Sie eine der folgenden Optionen aus:
    • Uhrzeit des Browsers
    • Systemzeit
    • UTC
    • Zeitzone angeben und wählen Sie dann eine Zeitzone aus der Dropdownliste aus.
  5. Klicken Sie Speichern.

Die neuesten Daten für ein Zeitintervall anzeigen

Seiten, auf denen überwachte Metrikdaten angezeigt werden, wie Dashboards und Protokollseiten, werden kontinuierlich aktualisiert, um die neuesten Daten für das ausgewählte Zeitintervall anzuzeigen.

Seiten mit detaillierten Metriken, Erkennungen, Datensätze, Pakete und Warnungen werden auf Anfrage neu geladen, indem Sie auf das Symbol „Daten aktualisieren" in der oberen linken Ecke der Seite klicken.

Granularität der Diagrammdaten ändern

Das ExtraHop-System speichert Metriken in Zeitabständen von 30 Sekunden. Metrische Daten werden dann aggregiert oder in weitere Zeiträume von fünf Minuten und einer Stunde zusammengefasst. Durch das Aggregieren von Daten kann die Anzahl der in einem Zeitreihendiagramm gerenderten Datenpunkte begrenzt werden, sodass die Granularität der Daten einfacher zu interpretieren ist. Das von Ihnen gewählte Zeitintervall bestimmt die beste Aggregation oder Zusammenfassung von Daten, die für den betrachteten Zeitraum in einem Diagramm angezeigt werden sollen.

Wenn Sie beispielsweise ein großes Zeitintervall auswählen, z. B. eine Woche, werden die Metrikdaten zu einstündigen Rollups zusammengefasst. Auf der X-Achse eines Liniendiagramm sehen Sie einen Datenpunkt für jede Stunde statt eines Datenpunkts für alle 30 Sekunden. Wenn Sie die Granularität erhöhen möchten, können Sie ein Diagramm vergrößern oder das Zeitintervall ändern.

Das ExtraHop-System umfasst integrierte hochpräzise Metriken mit 1-Sekunden-Rollups, bei denen es sich um die Netzwerk-Bytes- und Netzwerk-Paket-Metriken handelt. Diese Metriken sind mit einem Gerät oder einer Netzwerkerfassungsquelle verknüpft. Weitere Informationen zum Anzeigen dieser Metriken in einem Diagramm finden Sie unter Zeigen Sie die maximale Rate in einem Diagramm an.

Das ExtraHop-System enthält auch integrierte Metriken zur Identifizierung der einzelnen Millisekunde des Datenverkehrs mit dem höchsten Verkehrsaufkommen innerhalb von 1 Sekunde. Diese Metriken, d. h. Maximale Netzwerk-Bytes pro Millisekunde und Maximale Anzahl an Paketen pro Millisekunde, sind mit einer Netzwerk-Capture-Quelle verknüpft und helfen Ihnen dabei, Microbursts zu erkennen. Microbursts sind schnelle Datenverkehrsschübe, die innerhalb von Millisekunden auftreten .

Die folgende Tabelle enthält Informationen darüber, wie Daten basierend auf dem Zeitintervall aggregiert werden.

Zeitintervall Aggregations-Rollup (falls verfügbar) Hinweise
Weniger als sechs Minuten 1 Sekunde Ein 1-Sekunden-Rollup ist nur für benutzerdefinierte Metriken und für die folgenden integrierten Metriken verfügbar:
  • Netzwerkquelle:
    • Netzwerk-Bytes (Gesamtdurchsatz)
    • Netzwerkpakete (Gesamtpakete)
    • Maximale Netzwerk-Bytes pro Millisekunde
    • Maximale Netzwerkpakete pro Millisekunde
  • Gerätequelle:
    • Netzwerk-Bytes (kombinierter eingehender und ausgehender Durchsatz pro Gerät)
    • Eingehende Netzwerk-Bytes (eingehender Durchsatz pro Gerät)
    • Netzwerk-Bytes Out (ausgehender Durchsatz pro Gerät)
    • Netzwerkpakete (kombinierte eingehende und ausgehende Pakete pro Gerät)
    • Eingehende Netzwerkpakete (eingehende Pakete pro Gerät)
    • Ausgehende Netzwerkpakete (ausgehende Pakete pro Gerät)
120 Minuten oder weniger 30 Sekunden Wenn kein 30-Sekunden-Roll-Up verfügbar ist, wird ein 5-minütiges oder 60-minütiges Roll-Up angezeigt.
Zwischen 121 Minuten und 24 Stunden 5 Minuten Wenn das 5-minütige Roll-Up nicht verfügbar ist, wird ein 60-minütiges Roll-Up angezeigt.
Mehr als 24 Stunden 60 Minuten
Hinweis:Wenn Sie über einen erweiterten Datenspeicher verfügen, der für 24-Stunden-Metriken konfiguriert ist, zeigt ein bestimmtes Zeitintervall von 30 Tagen oder länger einen 24-Stunden-Aggregations-Rollup an.

Vergrößern Sie einen benutzerdefinierten Zeitraum

Sie können über ein Diagramm klicken und ziehen, um interessante Metrikaktivitäten zu vergrößern. Dieser benutzerdefinierte Zeitraum wird dann auf das gesamte ExtraHop-System angewendet. Dies ist nützlich, um andere Metrik Aktivitäten zu untersuchen, die gleichzeitig aufgetreten sind.

Das Vergrößern eines Zeitbereichs ist nur in Diagrammen mit einer X- und Y-Achse verfügbar, z. B. in Linien-, Flächen-, Candlestick- und Histogrammdiagrammen.

  1. Klicken und ziehen Sie die Maus über das Diagramm, um einen Zeitraum auszuwählen. Wenn der Zeitbereich weniger als eine Minute beträgt, wird der Zeitbereich rot angezeigt. Ziehen Sie die Maus, bis der Zeitbereich grün erscheint.
  2. Lassen Sie die Maustaste los. Das Diagramm wird im benutzerdefinierten Zeitraum neu gezeichnet und das Zeitintervall in der oberen rechten Ecke der Navigationsleiste wird aktualisiert.
  3. Um vom benutzerdefinierten Zeitintervall zum ursprünglichen Zeitintervall zurückzukehren, klicken Sie auf das Rückgängig-Symbol — eine Lupe mit einem Minuszeichen —, das neben dem Zeitintervall in der oberen rechten Ecke der Navigationsleiste angezeigt wird.
    Hinweis:Auf einer Dashboard-Seite können Sie den benutzerdefinierten Zeitbereich für das Zoomen auf eine bestimmte Region beschränken. Klicken Sie auf die Kopfzeile der Region und wählen Sie Region Zeitselektor verwenden, und vergrößern Sie dann ein Diagramm. Jedes Diagramm oder Widget in dieser Region wird auf den benutzerdefinierten Zeitraum aktualisiert.

Frieren Sie das Zeitintervall ein, um einen benutzerdefinierten Zeitraum zu erstellen

Wenn Sie interessante Daten auf einer Aktivitätsdiagramm, einem Dashboard oder einer Protokollseite sehen, können Sie das Zeitintervall einfrieren, um sofort einen benutzerdefinierten Zeitraum zu erstellen. Das Einfrieren des Zeitintervalls ist nützlich, um Links zu erstellen, die Sie mit anderen teilen können, und um verwandte Metrikaktivitäten zu untersuchen, die gleichzeitig aufgetreten sind.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie auf die Zeitauswahl in der oberen linken Ecke der Seite.
  3. Wählen Sie ein voreingestelltes Zeitintervall.
  4. klicken Einfrieren.
    Der benutzerdefinierte Zeitraum wird automatisch aktualisiert, wie in der Abbildung unten dargestellt. Der Bereich beginnt mit dem frühesten Zeitpunkt aus dem vorherigen Zeitintervall und endet mit dem Zeitpunkt, zu dem Sie geklickt haben Einfrieren.

  5. klicken Speichern.
    Der neue benutzerdefinierte Zeitraum ändert sich nicht, wenn Sie durch das ExtraHop-System navigieren. Sie können die URL in Ihrem Browser teilen oder mit einem Lesezeichen versehen.
    Hinweis:Das Zeitintervall ist am Ende der URL in Ihrem Browser enthalten. Um einen Link mit anderen zu teilen, der ein bestimmtes Zeitintervall einhält, kopieren Sie die gesamte URL. Durch das Erstellen eines Lesezeichens für die URL wird der benutzerdefinierte Zeitraum auch nach dem Abmelden vom ExtraHop-System beibehalten.
  6. Um den benutzerdefinierten Zeitraum zu entfernen, das Zeitintervall ändern.

Übersichtsseiten

Auf Übersichtsseiten können Sie schnell den Umfang verdächtiger Aktivitäten in Ihrem Netzwerk einschätzen, sich über Protokollaktivitäten und Geräteverbindungen informieren und eingehenden und ausgehender Datenverkehr in Ihrem Netzwerk untersuchen.

Überblick über die Sicherheit

In der Sicherheitsübersicht werden mehrere Diagramme angezeigt, in denen Daten zu Erkennungen aus unterschiedlichen Perspektiven dargestellt werden. Mithilfe dieser Diagramme können Sie den Umfang der Sicherheitsrisiken einschätzen, Untersuchungen zu ungewöhnlichen Aktivitäten einleiten und Sicherheitsbedrohungen eindämmen. Erkennungen werden je nach Metrik alle 30 Sekunden oder jede Stunde analysiert.

Video:Sehen Sie sich die entsprechende Schulung an: Überblick über Sicherheit, Netzwerk und Perimeter
Für Triage empfohlen
Dieses Diagramm zeigt Ihnen eine Liste von Erkennungen, die ExtraHop auf der Grundlage einer kontextuellen Analyse Ihrer Umgebung empfiehlt. Klicken Sie auf eine Erkennung, um die Erkennungskarte in Triage-Ansicht auf der Seite „Erkennungen".
Ermittlungen
Dieses Diagramm zeigt die Anzahl der Untersuchungen, die während des ausgewählten Zeitintervalls erstellt wurden. Die Zählung beinhaltet Untersuchungen, die von ExtraHop empfohlen oder von Benutzern erstellt wurden. Klicken Sie auf das Diagramm, um das zu sehen Tabelle der Untersuchungen auf der Seite „ Erkennungen".
Erkennungen nach Angriffskategorie
Dieses Diagramm bietet einen schnellen Überblick über die Arten von Angriffen, für die Ihr Netzwerk möglicherweise gefährdet ist, und zeigt die Anzahl der Erkennungen an, die in jeder Kategorie während des ausgewählten Zeitintervalls aufgetreten sind. Die Aktionen bei objektiven Erkennungen sind nach Typ aufgelistet, damit Sie die schwerwiegendsten Erkennungen priorisieren können. Klicken Sie auf eine beliebige Zahl, um eine gefilterte Ansicht der Erkennungen zu öffnen, die mit der ausgewählten Zahl übereinstimmen Kategorie des Angriffs.
Häufige Straftäter
Dieses Diagramm zeigt die 20 Geräte oder Endgeräte, die bei einer oder mehreren Erkennungen als Straftäter fungierten. Das ExtraHop-System berücksichtigt die Anzahl der verschiedenen Angriffskategorien und Erkennungstypen sowie die Risikobewertung der mit jedem Gerät verbundenen Erkennungen, um festzustellen, welche Geräte als häufige Straftäter gelten.

Die Größe des Geräterollensymbols gibt die Anzahl der verschiedenen Erkennungstypen an, und die Position des Symbols gibt die Anzahl der verschiedenen Angriffskategorien an. Klicken Sie auf ein Rollensymbol, um weitere Informationen zu den Angriffskategorien und Erkennungstypen anzuzeigen, die mit dem Gerät verknüpft sind. Klicken Sie auf den Gerätenamen, um ihn anzuzeigen Eigenschaften Gerät.

Erfahren Sie mehr über Netzwerksicherheit mit dem Dashboard zur Erhöhung der Sicherheit.

Bedrohungsinformationen

Threat Briefings bieten in der Cloud aktualisierte Hinweise zu branchenweiten Sicherheitsereignissen. Erfahren Sie mehr über Bedrohungsinformationen.

Standortauswahl und Geschäftsbericht

Auf dieser Seite können Sie die Websites angeben, von denen Sie Daten anzeigen möchten. Benutzer mit Zugriff auf das NDR-Modul können einen Executive Report erstellen, um die Ergebnisse zu teilen.

Seitenauswahl
Klicken Sie oben auf der Seite auf die Seitenauswahl, um Daten für eine oder mehrere Websites in Ihrer Umgebung anzuzeigen. Sehen Sie sich den kombinierten Traffic in Ihren Netzwerken an oder konzentrieren Sie sich auf einen einzelnen Standort, um Gerätedaten schnell zu finden. Die Seitenauswahl zeigt an, wann alle oder einige Websites offline sind. Da Daten von Offline-Websites nicht verfügbar sind, werden in den Diagrammen und Geräteseiten, die Offlineseiten zugeordnet sind, möglicherweise keine oder nur begrenzte Daten angezeigt. Der Site-Selector ist nur von einem verfügbar Konsole.
(nur NDR-Modul) Executive Report
Der Executive Report enthält eine Zusammenfassung der wichtigsten Erkennungen und Risiken für Ihr Netzwerk. Klicken Sie Bericht generieren um bei Bedarf eine PDF-Datei zu erstellen, die eine Zusammenfassung der letzten Woche von den ausgewählten Websites enthält. Klicken Sie Bericht planen zu einen geplanten Executive Report erstellen das eine Erkennungszusammenfassung aus einem bestimmten Zeitintervall enthält und entsprechend einer konfigurierten Häufigkeit per E-Mail an die Empfänger gesendet wird.

Überblick über das Netzwerk

In der Netzwerkübersicht werden eine Übersicht der Funde in Ihrem Netzwerk sowie eine Liste der Straftäter nach Anzahl der Entdeckungen angezeigt. Die Netzwerkübersicht aktualisiert die Erkennungskarte und die Täterdaten jede Minute.

Video:Sehen Sie sich die entsprechende Schulung an: Überblick über Sicherheit, Netzwerk und Perimeter
Erkennungskategorie umschalten
Sie können zwischen Ansichten wechseln, die angezeigt werden Alle Angriffserkennungen oder Alle Leistungserkennungen, abhängig von den aktivierten Modulen und Ihrem Modulzugriff.

Straftäter bei Fahndungen

Diese Liste zeigt Straftäter, sortiert nach der Anzahl der Erkennungen, bei denen das Gerät oder der Endpunkt als Täter gehandelt hat.

Hier sind einige Möglichkeiten, wie Sie mit der Täterliste interagieren können:
  • Klicken Sie in der Liste auf ein Gerät oder einen Endpunkt, um die zugehörigen Erkennungen in der Erkennungsübersicht hervorzuheben und die Geräteeigenschaften anzuzeigen und auf Links zuzugreifen Endpunktsuche Websites, Erkennungen, Aufzeichnungen oder Pakete.
  • Abhängig von der ausgewählten Erkennungskategorie und Ihrem Systemmodul klicken Sie auf Alle Angriffserkennungen anzeigen oder Alle Leistungserkennungen anzeigen Link um zum Erkennungen Seite, gefiltert nach Erkennungskategorie und gruppiert nach Quelle.
  • Wählen Sie den Erkennungen ohne Opfer anzeigen Kontrollkästchen, um Erkennungen anzuzeigen, an denen kein beteiligtes Opfer Teilnehmer ist. Beispielsweise schließen SSL/TLS-Scans und bestimmte Warnmeldungen bei verdächtigen Aktivitäten nur einen Täter ein.

Erkennungskarte

In der Erkennungsübersicht werden der Täter und das Opfer für alle Erkennungen angezeigt, die im Umschalter für die Erkennungskategorie ausgewählt wurden.

Kreise werden rot hervorgehoben, wenn das Gerät während des ausgewählten Zeitintervalls bei mindestens einer Erkennung als Täter aufgetreten ist, und blaugrün hervorgehoben, wenn es sich bei dem Gerät um ein Opfer handelt.

Die Teilnehmer sind durch Leitungen miteinander verbunden, die mit dem Erkennungstyp oder der Anzahl der mit der Verbindung verbundenen Erkennungen gekennzeichnet sind, und Geräterollen werden durch ein Symbol dargestellt.

Hier sind einige Möglichkeiten, wie Sie mit der Erkennungskarte interagieren können:
  • Klicken Sie auf einen Kreis, um die Geräteeigenschaften anzuzeigen und auf Links zuzugreifen Endpunktsuche Websites, Erkennungen, Aufzeichnungen oder Pakete.
  • Klicken Sie auf eine Verbindung, um die zugehörigen Erkennungen anzuzeigen.
  • Bewegen Sie den Mauszeiger über einen Kreis, um Gerätebeschriftungen zu sehen und Geräteanschlüsse hervorzuheben.

Erfahre mehr über Erkennungen.

Standortauswahl und Geschäftsbericht

Auf dieser Seite können Sie die Websites angeben, von denen Sie Daten anzeigen möchten. Benutzer mit Zugriff auf das NDR-Modul können einen Executive Report erstellen, um die Ergebnisse zu teilen.

Seitenauswahl
Klicken Sie oben auf der Seite auf die Seitenauswahl, um Daten für eine oder mehrere Websites in Ihrer Umgebung anzuzeigen. Sehen Sie sich den kombinierten Traffic in Ihren Netzwerken an oder konzentrieren Sie sich auf einen einzelnen Standort, um Gerätedaten schnell zu finden. Die Seitenauswahl zeigt an, wann alle oder einige Websites offline sind. Da Daten von Offline-Websites nicht verfügbar sind, werden in den Diagrammen und Geräteseiten, die Offlineseiten zugeordnet sind, möglicherweise keine oder nur begrenzte Daten angezeigt. Der Site-Selector ist nur von einem verfügbar Konsole.
(nur NDR-Modul) Executive Report
Der Executive Report enthält eine Zusammenfassung der wichtigsten Erkennungen und Risiken für Ihr Netzwerk. Klicken Sie Bericht generieren um bei Bedarf eine PDF-Datei zu erstellen, die eine Zusammenfassung der letzten Woche von den ausgewählten Websites enthält. Klicken Sie Bericht planen zu einen geplanten Executive Report erstellen das eine Erkennungszusammenfassung aus einem bestimmten Zeitintervall enthält und entsprechend einer konfigurierten Häufigkeit per E-Mail an die Empfänger gesendet wird.

Perimeter im Überblick

In der Perimeterübersicht werden Diagramme und interaktive Visualisierungen angezeigt, mit denen Sie den Datenverkehr überwachen können, der über Verbindungen mit externen Endpunkten in Ihr Netzwerk ein- und ausströmt.

Video:Sehen Sie sich die entsprechende Schulung an: Überblick über Sicherheit, Netzwerk und Perimeter

Perimeterverkehr

Die Perimeter-Traffic-Diagramme bieten einen Überblick über den Geräteverkehr mit externen Verbindungen.

Eingehender Verkehr
Diese Anzahl zeigt die Gesamtmenge des eingehender Datenverkehr während des ausgewählten Zeitintervalls. Klicken Sie auf die Anzahl, um die Rate anzuzeigen, mit der Daten von externen Endpunkten eingehend übertragen werden, und eine Aufschlüsselung nach Standort oder Konversation vornehmen.
Ausgehender Verkehr
Diese Anzahl zeigt die Gesamtmenge des ausgehender Datenverkehr während des ausgewählten Zeitintervalls. Klicken Sie auf die Anzahl, um die Rate anzuzeigen, mit der Daten an externe Endpunkte übertragen werden, und eine Aufschlüsselung nach Standort oder Konversation vornehmen.
Geräte, die eingehende Verbindungen akzeptieren
Diese Anzahl zeigt die Anzahl der Geräte an, die während des ausgewählten Zeitintervalls eingehende Verbindungen von externen Endpunkten akzeptiert haben. Klicken Sie auf die Anzahl, um eine Übersichtsseite für Gerätegruppe zu öffnen, auf der eine Liste der Geräte, Verkehrsdaten und Protokollaktivitäten angezeigt wird.
Eingehende Verbindungen
Diese Anzahl zeigt die Anzahl der eingehenden Verbindungen an, die von externen Endpunkten initiiert wurden. Klicken Sie auf die Anzahl, um eine detaillierte Ansicht dieser Konversationen zu öffnen.
Verdächtige eingehende Verbindungen
Dieses Zähldiagramm zeigt die Anzahl der Verbindungen, die von verdächtigen externen Endpunkten initiiert wurden. ExtraHop identifiziert verdächtige Endpunkte durch Bedrohungsinformationen Daten. Klicken Sie auf das Diagramm, um eine gefilterte Ansicht dieser Konversationen zu öffnen.
Verdächtige ausgehende Verbindungen
Diese Anzahl zeigt die Anzahl der Verbindungen an, die interne Endpunkte mit verdächtigen externen Endpunkten initiiert haben. ExtraHop identifiziert verdächtige Endpunkte durch Bedrohungsinformationen Daten. Klicken Sie auf das Diagramm, um eine gefilterte Ansicht dieser Konversationen zu öffnen.
Ungewöhnliche Verbindungen
(Nur Reveal (x) 360) Diese Anzahl zeigt die Anzahl der ausgehenden Verbindungen von Ihrem Netzwerk zu IP-Adressen an, die normalerweise nicht besucht werden oder in der Vergangenheit nicht besucht wurden. Klicken Sie auf das Diagramm, um eine gefilterte Ansicht dieser Konversationen zu öffnen.

Halo-Visualisierung

Die Halo-Visualisierung bietet zwei Ansichten Ihrer Netzwerkverbindungen zu externen Endpunkten: Cloud Services und Large Uploads.

Externe Endpunkte erscheinen auf dem äußeren Ring mit Verbindungen zu internen Endpunkten und erscheinen als Kreise in der Mitte der Visualisierung. Diese Visualisierungen ermöglichen es Ihnen, Ihre Prioritäten zu setzen Untersuchung für Verbindungen, bei denen ein hohes Risiko erkannt wurde, oder für hochwertige Geräte.

Um die Identifizierung von Endpunkten mit hohem Traffic zu erleichtern, nehmen innere und äußere Ringe mit steigendem Verkehrsaufkommen an Größe zu. In einigen Fällen kann die Größe der inneren Kreise und der äußeren Ringsegmente aus Gründen der Lesbarkeit erhöht werden. Klicken Sie auf einen Endpunkt, um genaue Verkehrsinformationen anzuzeigen.

Klicken Sie Cloud-Dienste um Verbindungen zwischen internen Endpunkten und Cloud-Dienstanbietern anzuzeigen. Cloud-Dienstanbieter und die Menge der gesendeten oder empfangenen Daten werden im Informationsfeld auf der rechten Seite angezeigt. Sie können zwischen Ansichten wechseln , die angezeigt werden Ausgehende Bytes an Anbieter und Eingehende Byte zu Ihrem Netzwerk.

Klicken Sie Große Uploads um Verbindungen zwischen internen und externen Endpunkten anzuzeigen, bei denen über 1 MB an Daten in einer einzigen Übertragung von Ihrem Netzwerk zu einem Externer Endpunkt übertragen wurden. Externe Endpunkte und die Menge der hochgeladenen Daten werden im Informationsfeld auf der rechten Seite angezeigt.

Hier sind einige Möglichkeiten, wie Sie mit diesen Halo-Visualisierungen interagieren können:
  • Zeigen Sie mit der Maus auf Endpunkte oder Verbindungen, um die verfügbaren Hostnamen und IP-Adressen anzuzeigen.
  • Zeigen Sie mit der Maus auf Endpunkte oder Verbindungen, um die entsprechenden Listenelemente auf der rechten Seite hervorzuheben. Zeigen Sie ebenfalls mit der Maus auf Listenelemente, um die entsprechenden Endpunkte und Verbindungen in der Halo-Visualisierung hervorzuheben.
  • Klicken Sie in der Halo-Visualisierung auf Endpunkte oder Verbindungen, um den Fokus zu behalten und auf der rechten Seite präzise Verkehrsinformationen und Links für Ihre Auswahl anzuzeigen.
  • Klicken Sie in der Halo-Visualisierung oder -Liste auf einen Externer Endpunkt, um die Gesamtmenge des eingehenden oder ausgehender Datenverkehr anzuzeigen, der mit dem Endpunkt und den verbundenen internen Endpunkten verknüpft ist .
  • Klicken Sie in der Liste auf einen internen Endpunkt, um Geräteeigenschaften anzuzeigen und auf Links zu zugehörigen Informationen wie Erkennungen, Aufzeichnungen oder Paketen zuzugreifen.
  • Klicken Sie in der Liste auf die Lupe neben einem Endpunkt, um die mit dem Endpunkt verknüpften Datensätze anzuzeigen.
  • Wechseln Sie am Ende der Liste für Cloud-Dienste zwischen Ansichten, die Bytes Out und Bytes In für Ihr Netzwerk anzeigen.
  • Passen Sie das Zeitintervall an, um Verbindungen zu bestimmten Zeiten anzuzeigen, z. B. unerwartete Aktivitäten am Abend oder am Wochenende.

Kartenvisualisierung

Die Registerkarte Geolocation bietet eine Weltkarte des Verkehrs zwischen internen Endpunkten und geografischen Standorten, die auf der Karte in einer kontrastierenden Farbe hervorgehoben sind. Die Intensität der kontrastierenden Farbe steht für das Verkehrsaufkommen an dieser Geolokation. Auf der Karte dargestellte Geolokationen werden auch im rechten Bereich aufgeführt.

Klicken Sie auf eine hervorgehobene Geolokalisierung auf der Karte oder der Liste, um die Gesamtmenge des eingehenden oder ausgehender Datenverkehr im Zusammenhang mit verbundenen internen Endpunkten anzuzeigen.

Hier sind einige Möglichkeiten, wie Sie mit den Geolokalisierungsdetails und der Kartenvisualisierung interagieren können:

  • Klicken Sie in der Liste auf einen internen Endpunkt, um Geräteeigenschaften anzuzeigen und auf Links zu zugehörigen Informationen wie Erkennungen, Aufzeichnungen oder Paketen zuzugreifen.
  • Klicken Sie auf die Lupe neben einem Endpunkt in der Liste, um die mit dem Endpunkt verknüpften Datensätze anzuzeigen.
  • Wechseln Sie am Ende der Liste zwischen Ansichten, in denen Bytes Out und Bytes In to your Netzwerk angezeigt werden.
  • Klicken Sie auf die Steuerelemente in der unteren rechten Ecke der Karte, um die Karte zu vergrößern und zu verkleinern oder die Karte an die ursprüngliche Position zurückzubringen, oder Sie können das Mausrad drehen.
  • Klicken und ziehen Sie mit der Maus auf die Karte oder drücken Sie die Pfeiltasten auf Ihrer Tastatur, um die Kartenansicht neu zu positionieren.
  • Passen Sie das Zeitintervall an, um den Verkehr zu bestimmten Zeiten anzuzeigen, z. B. unerwartete Aktivitäten am Abend oder am Wochenende.

Standortauswahl und Geschäftsbericht

Auf dieser Seite können Sie die Websites angeben, von denen Sie Daten anzeigen möchten. Benutzer mit Zugriff auf das NDR-Modul können einen Executive Report erstellen, um die Ergebnisse zu teilen.

Seitenauswahl
Klicken Sie oben auf der Seite auf die Seitenauswahl, um Daten für eine oder mehrere Websites in Ihrer Umgebung anzuzeigen. Sehen Sie sich den kombinierten Traffic in Ihren Netzwerken an oder konzentrieren Sie sich auf einen einzelnen Standort, um Gerätedaten schnell zu finden. Die Seitenauswahl zeigt an, wann alle oder einige Websites offline sind. Da Daten von Offline-Websites nicht verfügbar sind, werden in den Diagrammen und Geräteseiten, die Offlineseiten zugeordnet sind, möglicherweise keine oder nur begrenzte Daten angezeigt. Der Site-Selector ist nur von einem verfügbar Konsole.
(nur NDR-Modul) Executive Report
Der Executive Report enthält eine Zusammenfassung der wichtigsten Erkennungen und Risiken für Ihr Netzwerk. Klicken Sie Bericht generieren um bei Bedarf eine PDF-Datei zu erstellen, die eine Zusammenfassung der letzten Woche von den ausgewählten Websites enthält. Klicken Sie Bericht planen zu einen geplanten Executive Report erstellen das eine Erkennungszusammenfassung aus einem bestimmten Zeitintervall enthält und entsprechend einer konfigurierten Häufigkeit per E-Mail an die Empfänger gesendet wird.

Dashboards

Dashboards sind ein effektives Tool zur Überwachung des Netzwerkverkehrs mit hoher Priorität oder zur Behebung von Problemen, da sie mehrere Metrikdiagramme an einem zentralen Ort konsolidieren, an dem Sie Daten untersuchen und austauschen können. Sie können auch Textfelder hinzufügen, die mit Markdown formatiert sind, um Inhalte für Stakeholder bereitzustellen.

Video:Sehen Sie sich die entsprechende Schulung an: Dashboard-Konzepte

Dashboards und Sammlungen befinden sich im Dashboard-Dock.

Klicken Sie Sammlungen um alle Dashboard-Sammlungen anzuzeigen, die Sie besitzen oder die mit Ihnen geteilt wurden. Die Anzahl der Dashboards in jeder Sammlung wird angezeigt. Klicken Sie auf den Namen der Sammlung, um den Besitzer, mit dem die Sammlung geteilt wurde, und die Liste der Dashboards in der Sammlung anzuzeigen.

Nur der Sammlungsbesitzer kann eine Sammlung ändern oder löschen. Da Dashboards jedoch zu mehreren Sammlungen hinzugefügt werden können, können Sie eine Sammlung erstellen und teile es mit anderen Benutzern und Gruppen.

Klicken Sie Dashboards um eine alphabetische Liste aller Dashboards anzuzeigen, die Ihnen gehören oder die mit Ihnen geteilt wurden, einschließlich Dashboards, die über eine Sammlung geteilt wurden. Der Besitzer jedes Dashboard wird angezeigt. Ein Symbol neben dem Namen des Besitzers weist darauf hin, dass das Dashboard mit Ihnen geteilt wurde.

Dashboards erstellen

Wenn Sie bestimmte oder benutzerdefinierte Metriken überwachen möchten, können Sie ein benutzerdefiniertes Dashboard erstellen. Sie benötigen persönliche Schreibrechte oder höher und müssen über NPM-Modulzugriff verfügen, um Dashboards zu erstellen und zu bearbeiten.

Benutzerdefinierte Dashboards werden für jeden Benutzer, der auf das ExtraHop-System zugreift, separat gespeichert. Nachdem Sie ein benutzerdefiniertes Dashboard erstellt haben, können Sie es mit anderen ExtraHop-Benutzern teilen.

Es gibt mehrere Möglichkeiten, ein eigenes Dashboard zu erstellen:

Neue Dashboards werden im Modus „Layout bearbeiten" geöffnet, in dem Sie Komponenten innerhalb des Dashboard hinzufügen, anordnen und löschen können. Nachdem Sie ein Dashboard erstellt haben, können Sie die folgenden Aufgaben ausführen:

Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite, um die Dashboard-Eigenschaften zu bearbeiten oder das Dashboard zu löschen.

Hinweis:Sie können ein gelöschtes Dashboard nicht wiederherstellen. Beim Löschen von Benutzerkonten können ExtraHop-Administratoren den Besitz des Dashboard auf einen anderen Systembenutzer übertragen. Andernfalls werden auch alle mit dem Benutzerkonto verknüpften benutzerdefinierten Dashboards gelöscht. Um Dashboards beizubehalten, eine Kopie erstellen bevor das Konto gelöscht wird.

Erfahren Sie, wie Sie Ihr Netzwerk überwachen können, indem Sie Durchführen einer Dashboard-Komplettlösung.

Dashboards anzeigen

Dashboards bestehen aus Diagramm-Widgets, Warnungs-Widgets und Textfeld-Widgets, die einen übersichtlichen Überblick über kritische Systeme oder über Systeme bieten können, die von einem bestimmten Team verwaltet werden.

Klicken Sie in ein Diagramm, um mit den Metrikdaten zu interagieren:

  • Klicken Sie auf einen Diagrammtitel, um eine Liste von anzuzeigen Metrik Quellen und Menüoptionen.
  • Klicken Sie auf eine Metrikbezeichnung, um bohren und untersuchen durch ein Metrik Detail.
  • Klicken Sie auf eine Metrikbezeichnung und dann auf Fokus halten, um nur diese Metrik im Diagramm anzuzeigen.
  • Klicken Sie auf einen Diagrammtitel oder eine Metrikbezeichnung und dann auf Beschreibung, um mehr über die Quellmetrik zu erfahren.
  • Klicken Sie auf eine Erkennungsmarkierung, um zur Seite mit den Erkennungsdetails zu gelangen

Ändern Sie die Zeitauswahl, um Datenänderungen im Laufe der Zeit zu beobachten:

Dashboard-Daten exportieren und teilen

Standardmäßig sind alle benutzerdefinierten Dashboards privat und keine anderen ExtraHop-Benutzer können Ihr Dashboard anzeigen oder bearbeiten.

Teilen Sie Ihr Dashboard um anderen ExtraHop-Benutzern und -Gruppen Anzeige- oder Bearbeitungsberechtigungen zu gewähren, oder eine Sammlung teilen um mehreren Dashboards nur Leseberechtigungen zu gewähren.

Sie können ein geteiltes Dashboard nur ändern, wenn der Eigentümer Ihnen die Bearbeitungsberechtigung erteilt hat. Sie können jedoch kopieren und anpassen ein geteiltes Dashboard ohne Bearbeitungsberechtigung.

Exportieren Sie Daten nach einzelnen Diagrammen oder nach dem gesamten Dashboard:

System-Dashboards

Das ExtraHop-System bietet die folgenden integrierten Dashboards, die allgemeine Protokollaktivitäten zum allgemeinen Verhalten und zur Integrität Ihres Netzwerk anzeigen.

System-Dashboards befinden sich in der Standardsammlung System-Dashboards im Dashboard-Dock und können nicht zu einer anderen Sammlung hinzugefügt werden, die mit anderen Benutzern geteilt wird.

System-Dashboards können von jedem Benutzer angezeigt werden, mit Ausnahme von eingeschränkte Benutzer Das Systemnutzungs-Dashboard kann nur von Benutzern mit System- und Zugriffsverwaltung angezeigt werden. Privilegien.

Netzwerkaktivitäts-Dashboard (NPM-Modulzugriff erforderlich)
Finden Sie Top-Talker nach Anwendungsprotokollen (L7) und sehen Sie sich aktuelle Benachrichtigungen an. Weitere Informationen zu Diagrammen in diesem Dashboard finden Sie unter Dashboard zur Netzwerkaktivität.
Dashboard zur Netzwerkleistung (Zugriff auf das NPM-Modul erforderlich)
Identifizieren Sie Verkehrslatenz und Engpässe auf den Ebenen Datenverbindung (L2), Netzwerk (L3) und Transport (L4). Weitere Informationen zu den Diagrammen in diesem Dashboard finden Sie unter Dashboard zur Netzwerkleistung.
Security Hardening-Dashboard (Zugriff auf das NDR-Modul erforderlich)
Überwachen Sie allgemeine Informationen über potenzielle Sicherheitsbedrohungen in Ihrem Netzwerk. Weitere Informationen zu Diagrammen in diesem Dashboard finden Sie unter Dashboard „Sicherheitshärtung".
Dashboard mit generativen KI-Tools
Prüfen Sie den OpenAI-Verkehr in Ihrem Netzwerk und von internen Endpunkten, die über OpenAI kommunizieren. Weitere Informationen zu den Diagrammen in diesem Dashboard finden Sie unter Dashboard mit generativen KI-Tools.
Active Directory Directory-Dashboard
Verfolgen Sie die Kerberos-Serveraktivität für Active Directory Directory-Benutzer- und Computerkonten sowie für Dienste wie globale Kataloge und Gruppenrichtlinien. Weitere Informationen zu Diagrammen in diesem Dashboard finden Sie unter Active Directory Directory-Dashboard.
Systemintegritäts-Dashboard
Stellen Sie sicher, dass Ihr ExtraHop-System wie erwartet läuft, beheben Sie Probleme und bewerten Sie Bereiche, die die Leistung beeinträchtigen. Weitere Informationen zu Diagrammen in diesem Dashboard finden Sie unter Systemintegritäts-Dashboard.
Dashboard zur Systemnutzung (System- und Zugriffsadministrationsrechte erforderlich)
Überwachen Sie, wie Benutzer mit Erkennungen, Untersuchungen und Dashboards im ExtraHop-System interagieren. Weitere Informationen zu den Diagrammen in diesem Dashboard finden Sie unter Dashboard zur Systemnutzung.

Dashboard zur Netzwerkaktivität

Mit dem Netzwerkaktivitäts-Dashboard können Sie allgemeine Informationen zur Anwendungsaktivität und -leistung vom Transport über die Anwendungsebenen (L4 bis L7) in Ihrem Netzwerk überwachen.

Jedes Diagramm im Netzwerkaktivitäts-Dashboard enthält Visualisierungen von Netzwerk- und Protokollmetrikdaten, die über ausgewähltes Zeitintervall, nach Region organisiert.

Hinweis:Von einer Konsole aus können Sie das Netzwerkaktivitäts-Dashboard für jede verbundene Standort anzeigen. Der Site-Name wird in der Navigationsleiste angezeigt. Klicken Sie auf den Abwärtspfeil neben dem Namen, um die Anzeige auf andere Sites auszurichten.

Das Netzwerkaktivitäts-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder zu einer geteilten Sammlung hinzufügen können. Sie können jedoch ein Diagramm kopieren aus dem Netzwerkaktivitäts-Dashboard und füge es zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie es, um für Sie relevante Kennzahlen zu überwachen.

Die folgenden Informationen fassen jede Region und ihre Diagramme zusammen.

Überblick über den Verkehr
Beobachten Sie, ob Datenverkehrsengpässe mit einem bestimmten Anwendungsprotokoll oder mit der Netzwerklatenz zusammenhängen. Die Region „Verkehrsübersicht" enthält die folgenden Diagramme:

Diagramm der durchschnittlichen Rate von Netzwerkpaketen nach L7-Protokoll: Finden Sie das Protokoll mit dem höchsten Volumen an Paketübertragungen über die Anwendungsschicht (L7) während des ausgewählten Zeitintervalls.

Rundreisezeit für alle Aktivitäten im Netzwerk: Die 95. Perzentillinie zeigt Ihnen den oberen Bereich der Zeit, die Pakete benötigt haben, um das Netzwerk zu durchqueren. Wenn dieser Wert über 250 ms liegt, können Netzwerkprobleme die Anwendungsleistung beeinträchtigen. Die Roundtrip-Zeit ist ein Maß für die Zeit zwischen dem Senden eines Paket durch einen Client oder Server und dem Empfang einer Bestätigung.

Alerts: Sehen Sie sich bis zu 40 der zuletzt generierten Warnmeldungen und deren Schweregrad an. Warnungen sind vom Benutzer konfigurierte Bedingungen, die Basiswerte für bestimmte Protokollmetriken festlegen.

Aktive Protokolle

Beobachten Sie, wie die Protokolle, die aktiv auf dem ExtraHop-System kommunizieren, auf die Anwendungsleistung auswirken. Sie können beispielsweise schnell einen Blick auf Diagramme werfen, in denen die Serververarbeitungszeiten und das Verhältnis von Fehlern zu Antworten pro Protokoll angezeigt werden.

Für jedes aktive Protokoll gibt es ein Diagramm. Wenn Sie kein erwartetes Protokoll sehen, kommunizieren Anwendungen möglicherweise nicht über dieses Protokoll für ausgewähltes Zeitintervall.

Weitere Informationen zu Protokollen und zum Anzeigen von Metrikdefinitionen finden Sie in der Referenz zu ExtraHop-Protokollmetriken .

Dashboard zur Netzwerkleistung

Mit dem Network Performance Dashboard können Sie überwachen, wie effektiv Daten über die Datenverbindungs-, Netzwerk- und Transportebenen (L2 — L4) übertragen werden.

Jedes Diagramm im Netzwerk Performance Dashboard enthält Visualisierungen von Netzwerkleistungsdaten, die generiert wurden über ausgewähltes Zeitintervall, nach Region organisiert.

Hinweis:Von einer Konsole aus können Sie das Netzwerkleistungs-Dashboard für jeden verbundenen Standort anzeigen. Der Site-Name wird in der Navigationsleiste angezeigt. Klicken Sie auf den Abwärtspfeil neben dem Namen, um die Anzeige auf andere Sites auszurichten.

Das Netzwerkleistungs-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder zu einer gemeinsamen Sammlung hinzufügen können. Sie können jedoch ein Diagramm kopieren aus dem Network Performance Dashboard und füge das Diagramm zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie das Dashboard, um für Sie relevante Kennzahlen zu überwachen.

Die folgenden Informationen fassen die einzelnen Region zusammen.

Netzwerk-L2-Metriken
Überwachen Sie die Durchsatzraten über die Datenverbindungsschicht (L2) anhand von Bits und Paketen und überwachen Sie die Arten der übertragenen Frames. Sie können auch festlegen, wie viele Daten per Unicast-, Broadcast- oder Multicast-Verteilung an Empfänger gesendet werden.
Netzwerk-L4-Metriken
Überwachen Sie die Latenz der Datenübertragung über die Transportschicht (L4). Zeigen Sie die TCP-Aktivität anhand von Verbindungs-, Anfrage- und Antwortmetriken an. Diese Daten können Aufschluss darüber geben, wie effektiv Daten über die Transportschicht in Ihrem Netzwerk gesendet und empfangen werden.
Leistung des Netzwerks
Überwachen Sie, wie sich die Netzwerkleistung auf Anwendungen auswirkt. Sehen Sie sich den gesamten Netzwerkdurchsatz an, indem Sie den Durchsatz pro Anwendungsprotokoll und das Ausmaß der hohen TCP-Roundtrip-Zeiten überprüfen.
Netzwerk-L3-Metriken
Zeigen Sie den Datendurchsatz auf der Netzwerkebene (L3) an und sehen Sie sich Pakete und Verkehr nach TCP/IP-Protokollen an.
DSCP
Sehen Sie sich eine Aufschlüsselung der Pakete und des Datenverkehrs nach Differentiated Services-Codepunkten an, die Teil der DiffServ-Netzwerkarchitektur sind. Jedes IP-Paket enthält ein Feld, in dem die Priorität angegeben wird, wie das Paket behandelt werden soll. Dies wird als differenzierte Dienste bezeichnet. Die Werte für die Prioritäten werden Codepunkte genannt.
Multicast-Gruppen
Zeigen Sie den Verkehr an, der in einer einzigen Übertragung an mehrere Empfänger gesendet wird, und sehen Sie sich Pakete und Verkehr jeder Empfängergruppe an. Der Multicast-Verkehr in einem Netzwerk ist auf der Grundlage von Zieladressen in Gruppen organisiert.

Dashboard zur Erhöhung der Sicherheit

Mit dem Security Hardening-Dashboard können Sie allgemeine Informationen über potenzielle Sicherheitsbedrohungen in Ihrem Netzwerk überwachen.

Jedes Diagramm im Security Hardening-Dashboard enthält Visualisierungen von Sicherheitsdaten, die über den ausgewähltes Zeitintervall, nach Region organisiert.
Video:Sehen Sie sich die entsprechende Schulung an: Sicherheits-Dashboard
Hinweis:Von einer Konsole aus können Sie das Security Hardening-Dashboard für jeden Paketsensor anzeigen. Klicken Sie in der Navigationsleiste neben dem Namen des Sensor auf den Abwärtspfeil, um das Security Hardening-Dashboard für andere Sensoren anzuzeigen.

Das Security Hardening-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder einer gemeinsamen Sammlung hinzufügen können. Sie können jedoch ein Diagramm kopieren aus dem Security Hardening-Dashboard und füge es zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie es, um Kennzahlen zu überwachen, die für Sie relevant sind.

Die folgenden Informationen fassen jede Region und ihre Diagramme zusammen.

Bedrohungsinformationen
Beobachten Sie die Anzahl der Verbindungen und Transaktionen, die verdächtige Hostnamen, IP-Adressen oder URIs enthalten, die in Bedrohungsinformationen. Klicken Sie in der Legende auf einen blauen Metrikwert oder einen Metriknamen, um nach einer verdächtigen Metrik zu suchen. Eine Detailseite mit einem roten Kamerasymbol wird angezeigt neben dem verdächtigen Objekt. Klicken Sie auf das rote Kamerasymbol, um mehr über die Quelle der Bedrohungsinformationen zu erfahren.
Hinweis: Bedrohungsanalyse-Metriken zeigen aus einem oder mehreren der folgenden Gründe einen Nullwert an:
  • Ihr ExtraHop Reveal (x) -Abonnement beinhaltet keine Bedrohungsinformationen.
  • Sie haben die Bedrohungsinformationen für Ihr ExtraHop Reveal (x) -System nicht aktiviert.
  • Sie haben benutzerdefinierte Bedrohungssammlungen nicht direkt in Ihre hochgeladen Sensoren. Wenden Sie sich an den ExtraHop-Support, wenn Sie Hilfe beim Hochladen einer benutzerdefinierten Bedrohungssammlung auf Ihre von ExtraHop verwaltete Sammlung benötigen Sensoren.
  • Es wurden keine verdächtigen Gegenstände gefunden.
SSL - Sitzungen
Beobachten Sie die Anzahl der aktiven SSL-Sitzungen mit Schwache Verschlüsselung Verschlüsselungssammlungen in Ihrem Netzwerk. Sie können sehen, welche Clients und Server an diesen Sitzungen teilnehmen und mit welchen Verschlüsselungssammlungen diese Sitzungen verschlüsselt sind. DES-, 3DES-, MD5-, RC4-, Null-, Anonym- und Export-Cipher Suites gelten als schwach, da sie einen Verschlüsselungsalgorithmus enthalten, der bekanntermaßen anfällig ist. Daten, die mit einer Schwache Verschlüsselung Verschlüsselungssuite verschlüsselt wurden, sind potenziell unsicher.

Sie können auch die Anzahl der SSL-Sitzungen beobachten, die mit TLS v1.0 eingerichtet wurden, und welche Clients an diesen Sitzungen teilnehmen. Bekannte Sicherheitslücken stehen im Zusammenhang mit TLS v1.0. Wenn Sie eine hohe Anzahl von TLS v1.0-Sitzungen haben, sollten Sie erwägen, Server so zu konfigurieren, dass sie die neueste Version von TLS unterstützen.

SSL - Zertifikate
Beobachten Sie, welche SSL-Zertifikate in Ihrem Netzwerk selbstsigniert sind, Platzhalter sind, abgelaufen sind und bald ablaufen. Selbstsignierte Zertifikate werden von der Entität signiert, die das Zertifikat ausstellt, und nicht von einer vertrauenswürdigen Zertifizierungsstelle. Selbstsignierte Zertifikate sind zwar günstiger als Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden, aber sie sind auch anfällig für Man-in-the-Middle-Angriffe.

Ein Platzhalterzertifikat gilt für alle Subdomains der ersten Ebene eines bestimmten Domänenname. Das Platzhalterzertifikat *.company.com schützt beispielsweise www.company.com, docs.company.com und customer.company.com. Wildcard-Zertifikate sind zwar günstiger als Einzelzertifikate, aber Wildcard-Zertifikate bergen ein höheres Risiko, wenn sie kompromittiert werden, da sie für eine beliebige Anzahl von Domänen gelten können.

Schwachstellen-Scans
Beobachten Sie, welche Geräte Anwendungen und Systeme in Ihrem Netzwerk scannen, um nach Schwachstellen und potenziellen Zielen, wie z. B. hoher Wert Geräten, zu suchen. In der linken Tabelle können Sie erkennen, welche Geräte die meisten Scananfragen senden. Dabei handelt es sich um HTTP-Anfragen, die mit bekannten Scanneraktivitäten verknüpft sind. Im rechten Diagramm können Sie sehen, welche Benutzeragenten mit den Scananfragen verknüpft sind. Der User-Agent kann Ihnen dabei helfen, festzustellen, ob Scananfragen mit bekannten Schwachstellenscannern wie Nessus und Qualys verknüpft sind.
DNS
Beobachten Sie, welche DNS-Server in Ihrem Netzwerk am aktivsten sind und wie viele Reverse-DNS-Lookup-Fehler auf diesen Servern insgesamt aufgetreten sind. Ein Reverse-DNS-Lookup-Fehler tritt auf, wenn ein Server als Antwort auf eine Client-Anfrage nach einem Pointer-Record (PTR) einen Fehler ausgibt. Fehler bei Reverse-DNS-Lookups sind normal, aber eine plötzliche oder stetige Zunahme von Ausfällen auf einem bestimmten Host kann darauf hindeuten, dass ein Angreifer Ihr Netzwerk scannt.

Sie können auch die Anzahl der Adresszuordnungs- und Textdatensatzabfragen in Ihrem Netzwerk beobachten. Ein starker oder plötzlicher Anstieg dieser Arten von Abfragen kann ein Indikator für einen potenziellen DNS-Tunnel sein.

Dashboard mit generativen KI-Tools

Mit dem Generative AI-Dashboard können Sie den Datenverkehr von OpenAI-Tools in Ihrem Netzwerk überwachen.

Jedes Diagramm im Generative AI Tools-Dashboard enthält Visualisierungen des Datenverkehrs im Zusammenhang mit dem OpenAI-Cloud-Dienst für Tools wie ChatGPT. Traffic anzeigen, der während eines generiert wurde ausgewähltes Zeitintervall, nach Region organisiert.

Hinweis:Von einer Konsole aus können Sie das Generative AI Tools-Dashboard für jede verbundene Standort anzeigen. Der Site-Name wird in der Navigationsleiste angezeigt. Klicken Sie auf den Abwärtspfeil neben dem Namen, um die Anzeige auf andere Sites auszurichten.

Das Generative AI Tools-Dashboard ist ein integriertes System-Dashboard, und Sie können System-Dashboards nicht bearbeiten, löschen oder zu einer Sammlung hinzufügen. Sie können jedoch ein Diagramm kopieren aus dem Generative AI Tools-Dashboard und füge das Diagramm zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie das Dashboard, um für Sie relevante Kennzahlen zu überwachen.

Die folgenden Informationen fassen jede Region und ihre Diagramme zusammen.

Generative KI-Tools
Überwachen Sie den in Ihrem Netzwerk beobachteten Datenverkehr zu OpenAI-basierten Tools. Erfahren Sie, wann der Verkehr auftrat, wie viele Daten übertragen wurden und welche internen Endpunkte beteiligt waren.

Active Directory Directory-Dashboard

Mit dem Active Directory Directory-Dashboard können Sie die Kerberos-Serveraktivität für Active Directory Directory-Benutzer- und Computerkonten sowie für Dienste wie globale Kataloge und Gruppenrichtlinien verfolgen.

Jedes Diagramm im Active Directory Directory-Dashboard enthält Visualisierungen von Active Directory-Kontodaten, die über die ausgewähltes Zeitintervall, nach Region organisiert.

Das Active Directory Directory-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder zu einer gemeinsam genutzten Sammlung hinzufügen können. Sie können jedoch ein Diagramm kopieren aus dem Active Directory Directory-Dashboard und fügen Sie es zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie es, um für Sie relevante Kennzahlen zu überwachen.

Hinweis:Von einer Konsole aus können Sie das Active Directory Directory-Dashboard für jeden verbundenen Standort anzeigen. Der Site-Name wird in der Navigationsleiste angezeigt. Klicken Sie auf den Abwärtspfeil neben dem Namen, um die Anzeige auf andere Sites auszurichten.

Die folgenden Informationen fassen jede Region und ihre Diagramme zusammen.

Zusammenfassung des Benutzerkontos
Sehen Sie sich die Anzahl der Active Directory Directory-Konten in Ihrer Umgebung in den folgenden Diagrammen an:

Konten insgesamt: Gesamtzahl der Benutzerkonten und Computerkonten.

Privilegierte Konten: Gesamtzahl der privilegierten Konten, die sich erfolgreich angemeldet haben, bei denen ein Anmeldefehler aufgetreten ist und die eine Servicezugriffsanfrage gesendet haben.

Fehler bei der Authentifizierung
Beachten Sie die Anzahl der Active Directory Directory-Konten mit Authentifizierungsfehlern in den folgenden Diagrammen:

Benutzerkontofehler: Gesamtzahl der Anmeldefehler Benutzerkonto aufgrund ungültiger Passwörter, abgelaufener Passwörter und deaktivierter Konten. Wird als Liniendiagramm und Listendiagramm angezeigt.

Computerkontofehler: Gesamtzahl der Anmeldefehler bei Computerkonten aufgrund ungültiger Passwörter, abgelaufener Passwörter und deaktivierter Konten. Wird als Liniendiagramm und Listendiagramm angezeigt.

Fehler im Konto: Gesamtzahl der Fehler für jeden Kontotyp aufgrund von Kontosperrungen und Zeitfehlern. Wird als Liniendiagramm und Listendiagramm angezeigt.

Details zu Authentifizierungsfehlern
Einzelheiten zu Active Directory Directory-Konten, bei denen Authentifizierungsfehler auftraten, finden Sie in den folgenden Diagrammen:

Benutzerkonten: Benutzernamen, die Benutzerkonten zugeordnet sind, bei denen die Anmeldung fehlgeschlagen ist. In diesem Diagramm wird auch angezeigt, wie oft jedes Benutzerkonto aufgrund eines ungültigen Passworts oder eines abgelaufenen Kontos einen Fehler erhalten hat.

Computerkonten: Client-IP-Adressen und Hostnamen, die Benutzerkonten zugeordnet sind, bei denen die Anmeldung fehlgeschlagen ist. In diesem Diagramm wird auch angezeigt, wie oft jedes Benutzerkonto aufgrund eines ungültigen Passworts oder eines abgelaufenen Kontos einen Fehler erhalten hat.

Service zur Erteilung von Tickets
Sehen Sie sich die Transaktionsdaten im Zusammenhang mit dem Kerberos-Ticketgewährungsdienst in den folgenden Diagrammen an:

Transaktionen: Gesamtzahl der Serviceticket-Anfragen und Anzahl unbekannter SPN-Fehler ( Service Principal Name).

Transaktionen: Gesamtzahl der Serviceticket-Anfragen.

Unbekannte SPN-Fehler von SPN: Anzahl der unbekannten SPN-Fehler, die von dem SPN aufgeführt wurden, der den Fehler gesendet hat.

Unbekannte SPN-Fehler vom Client: Anzahl der unbekannten SPN-Fehler, die von dem Client aufgeführt wurden, der den Fehler erhalten hat.

Gesamtzahl unbekannter SPN-Fehler: Gesamtzahl unbekannter SPN-Fehler.

Gruppenrichtlinie
Beachten Sie die mit der Gruppenrichtlinie verknüpften CIFS/SMB-Transaktionsdaten in den folgenden Diagrammen:

Transaktionen: Gesamtzahl der Gruppenrichtlinienantworten und der Gruppenrichtlinienfehler.

Transaktionen: Gesamtzahl der Gruppenrichtlinienantworten und der Gruppenrichtlinienfehler, zusätzlich zu der Serververarbeitungszeit, die benötigt wurde, um das erste Paket als Antwort zu senden, nachdem das letzte Paket der Gruppenrichtlinienanforderung empfangen wurde.

LDAP
Beobachten Sie die LDAP-Transaktionsdaten anhand der folgenden Diagramme:

Transaktionen: Gesamtzahl der LDAP-Antworten und Fehler.

Transaktionen: Gesamtzahl der LDAP-Antworten und -Fehler, zusätzlich zur Serververarbeitungszeit, die benötigt wurde, um das erste Paket als Antwort zu senden, nachdem das letzte Paket der Anfrage empfangen wurde.

Unsichere LDAP-Anmeldeinformationen : Gesamtzahl der Klartext-Bindungsanfragen. Wird als Liniendiagramm und Listendiagramm angezeigt.

Globaler Katalog
Sehen Sie sich die mit dem globalen Katalog verknüpften Transaktionsdaten in den folgenden Diagrammen an:

Transaktionen: Gesamtzahl der Antworten und Fehler im globalen Katalog.

Transaktionen: Gesamtzahl der Antworten und Fehler im globalen Katalog, zusätzlich zur Serververarbeitungszeit, die benötigt wurde, um das erste Paket als Antwort zu senden, nachdem das letzte Paket der globalen Kataloganforderung empfangen wurde.

DNS-Dienstaufzeichnungen
Beachten Sie die Transaktionsdaten der DNS-Dienstaufzeichnungen in den folgenden Diagrammen:

Transaktionen: Gesamtzahl der Antworten und Fehler in Serviceaufzeichnungen.

Transaktionen: Gesamtzahl der Antworten und Fehler von Servicedatensätzen, zusätzlich zur Serververarbeitungszeit, die benötigt wurde, um das erste Paket als Antwort zu senden, nachdem das letzte Paket der Anfrage empfangen wurde.

Systemintegritäts-Dashboard

Das Systemstatus-Dashboard bietet eine große Sammlung von Diagrammen, mit denen Sie sicherstellen können, dass Ihr ExtraHop-System wie erwartet läuft, Probleme beheben und Bereiche bewerten können, die die Leistung beeinträchtigen. Sie können beispielsweise die Anzahl der vom ExtraHop-System verarbeiteten Pakete überwachen, um sicherzustellen, dass Pakete kontinuierlich erfasst werden.

Jedes Diagramm im Network Performance Dashboard enthält Visualisierungen von Systemleistungsdaten, die über die ausgewähltes Zeitintervall, nach Region organisiert.

Das Systemintegritäts-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder zu einer gemeinsamen Sammlung hinzufügen können. Sie können jedoch ein Diagramm kopieren aus dem System Health Dashboard und füge es zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie es, um für Sie relevante Kennzahlen zu überwachen.

Hinweis:Die Seite mit den Administrationseinstellungen bietet auch Statusinformationen und Diagnosetools für alle ExtraHop-Systeme.

Rufen Sie die Seite Systemstatus auf, indem Sie auf das Symbol Systemeinstellungen klicken oder durch Anklicken Armaturenbretter von oben auf der Seite. Das Systemstatus-Dashboard zeigt automatisch Informationen über das ExtraHop-System an, mit dem Sie verbunden sind. Wenn Sie das Systemintegritäts-Dashboard von einer Konsole aus aufrufen, können Sie oben auf der Seite auf die Seitenauswahl klicken, um Daten für eine bestimmte Standort oder für alle Sites in Ihrer Umgebung anzuzeigen.

Die Diagramme im Systemstatus-Dashboard sind in die folgenden Abschnitte unterteilt:

Gerätesuche
Sehen Sie sich die Gesamtanzahl der Geräte in Ihrem Netzwerk an. Sehen Sie, welche Geräte entdeckt wurden und wie viele dieser Geräte derzeit aktiv sind.
Datenfeed
Beurteilen Sie die Effizienz der Kabeldatenerfassung anhand von Diagrammen zu Durchsatz, Paketrate, Desynchronisierung und Erfassungsverlusten.
Rekorde
Zeigt die Gesamtanzahl der Datensätze an, die an einen angehängten Recordstore gesendet werden.
Auslöser
Überwachen Sie die Auswirkungen von Triggern auf Ihr ExtraHop-System. Sehen Sie, wie oft Trigger ausgeführt werden, wie oft sie ausfallen und welche Trigger Ihre CPU am stärksten belasten.
Öffnen Sie Data Stream und Recordstore
Verfolgen Sie die Aktivitäten von Open Data Stream (ODS) -Übertragungen zu und von Ihrem System. Zeigen Sie die Gesamtzahl der Remoteverbindungen, den Nachrichtendurchsatz und Details zu bestimmten Remote-Zielen an.
SSL Zertifikate
Überprüfen Sie die Statusinformationen für alle SSL-Zertifikate auf Ihrem ExtraHop-System.
Paketerfassung aus der Ferne (RPCAP)
Zeigen Sie die Anzahl der Pakete und Frames an, die von RPCAP-Peers gesendet und empfangen werden.
Fortgeschrittene Gesundheitsmetriken
Verfolgen Sie die Heap-Zuweisung im Zusammenhang mit der Datenerfassung, dem Systemdatenspeicher, Triggern und Fernübertragungen. Überwachen Sie den Schreibdurchsatz, die Größe des Arbeitssets und die Triggeraktivität im Systemdatenspeicher.
Gerätesuche

Das Gerätesuche Der Abschnitt des Systemstatus-Dashboards bietet einen Überblick über die Gesamtzahl der Geräte in Ihrem Netzwerk. Sehen Sie, welche Gerätetypen angeschlossen sind und wie viele dieser Geräte derzeit aktiv sind.

Das Gerätesuche Abschnitt enthält die folgenden Diagramme:

Aktive Geräte

Ein Flächendiagramm, das die Anzahl der L2-, L3-, Gateway- und benutzerdefinierten Geräte anzeigt, die während des ausgewählten Zeitintervalls aktiv im Netzwerk kommuniziert haben. Neben dem Flächendiagramm zeigt ein Wertdiagramm die Anzahl der L2-, L3-, Gateway- und benutzerdefinierten Geräte an, die im ausgewählten Zeitintervall aktiv waren.

Wie diese Informationen Ihnen helfen können

Überwachen Sie dieses Diagramm, nachdem Sie Änderungen an der SPAN-Konfiguration vorgenommen haben, um sicherzustellen, dass keine unbeabsichtigten Folgen auftreten, die das ExtraHop-System in einen schlechten Zustand versetzen könnten. Beispielsweise kann die versehentliche Einbindung eines Netzwerk die Kapazität der ExtraHop-Systemfunktionen belasten, da mehr Ressourcen verbraucht und mehr Paketverarbeitung erforderlich ist, was zu einer schlechten Leistung führt. Vergewissern Sie sich, dass das ExtraHop-System die erwartete Anzahl aktiver Geräte überwacht.

Datenfeed

Das Datenfeed In einem Abschnitt des Systemstatus-Dashboards können Sie anhand von Diagrammen zu Durchsatz, Paketrate, Desynchronisierungen und Erfassungsabbrüchen die Effizienz des Datenerfassungsprozesses über Kabel beobachten.

Das Datenfeed Abschnitt enthält die folgenden Diagramme:

Durchsatz

Ein Flächendiagramm, das den Durchsatz eingehender Pakete im ausgewählten Zeitintervall darstellt, ausgedrückt in Byte pro Sekunde. Das Diagramm zeigt Durchsatzinformationen für analysierte und gefilterte Pakete sowie L2- und L3-Duplikate an.

Wie diese Informationen Ihnen helfen können

Das Überschreiten der Produktgrenzwerte kann zu Datenverlust führen. Eine hohe Durchsatzrate kann beispielsweise dazu führen, dass Pakete an der Span-Quelle oder an einem Span-Aggregator verworfen werden. In ähnlicher Weise kann eine große Anzahl von L2- oder L3-Duplikaten auch auf ein Problem an der Span-Quelle oder dem Span-Aggregator hinweisen und zu verzerrten oder falschen Metriken führen.

Die akzeptable Rate von Byte pro Sekunde hängt von Ihrem Produkt ab. Beziehen Sie sich auf die Datenblatt für ExtraHop-Sensoren um herauszufinden, welche Grenzwerte für Ihr ExtraHop-System gelten, und um festzustellen, ob die Byte-Rate pro Sekunde zu hoch ist.

Durchsatz nach Schnittstelle

Ein Liniendiagramm, das den Durchsatz eingehender Pakete darstellt und von jeder auf dem Sensor konfigurierten Schnittstelle aufgeführt ist. Der Durchsatz wird während des ausgewählten Zeitintervalls in Byte pro Sekunde ausgedrückt. Das Diagramm zeigt Durchsatzinformationen für analysierte und gefilterte Pakete sowie L2- und L3-Duplikate an.

Wenn Sie mehrere Sensoren von einer ExtraHop-Konsole aus betrachten, zeigt das Diagramm die aggregierte durchschnittliche Übertragungsrate von Schnittstellen mit derselben Nummer.

Wie diese Informationen Ihnen helfen können

Das Überschreiten der Produktschwellenwerte kann zu Datenverlust führen. Beispielsweise kann eine hohe Durchsatzrate dazu führen, dass Pakete an der Span-Quelle oder an einem Span-Aggregator verloren gehen. In ähnlicher Weise können große Mengen an L2- oder L3-Duplikaten auch auf ein Problem an der Span-Quelle oder am Span-Aggregator hinweisen und zu verzerrten oder falschen Metriken führen.

Die akzeptable Rate von Paket pro Sekunde hängt von Ihrem Produkt ab. Beziehen Sie sich auf die Datenblatt für ExtraHop-Sensoren um herauszufinden, welche Grenzwerte für Ihr ExtraHop-System gelten und um festzustellen, ob die Rate der Pakete pro Sekunde zu hoch ist.

Überwachen Sie dieses Diagramm, um Probleme mit dem Paketdurchsatz auf detaillierter Ebene zu beheben und bei Bedarf Anpassungen der Schnittstellenkonfiguration vorzunehmen.

Paket-Rate

Ein Flächendiagramm, das die Rate eingehender Pakete, ausgedrückt in Paketen pro Sekunde, anzeigt. In der Tabelle werden Informationen zur Paketrate für analysierte und gefilterte Pakete sowie für L2- und L3-Duplikate angezeigt.

Wie diese Informationen Ihnen helfen können Das Überschreiten der Produktgrenzwerte kann zu Datenverlust führen. Eine hohe Paketrate kann beispielsweise dazu führen, dass Pakete an der Span-Quelle oder an einem Span-Aggregator verworfen werden. In ähnlicher Weise können große Mengen von L2- oder L3-Duplikaten auch auf ein Problem an der Span-Quelle oder dem Span-Aggregator hinweisen und zu verzerrten oder falschen Metriken führen.

Die akzeptable Paketrate pro Sekunde hängt von Ihrem Produkt ab. Weitere Informationen finden Sie in Datenblatt für ExtraHop-Sensoren um herauszufinden, welche Grenzwerte für Ihr ExtraHop-System gelten, und um festzustellen, ob die Rate der Pakete pro Sekunde zu hoch ist.

Paketrate nach Schnittstelle

Ein Liniendiagramm, das die Rate eingehender Pakete anzeigt, und ein Säulendiagramm, das die Anzahl der verworfenen Pakete anzeigt, aufgeführt nach jeder auf dem Sensor konfigurierten Schnittstelle. Die Paketrate wird in Paketen ausgedrückt, die während des ausgewählten Zeitintervalls pro Sekunde empfangen wurden. Das Diagramm zeigt Paketrateninformationen für analysierte und gefilterte Pakete sowie L2 - und L3-Duplikate an.

Wenn Sie mehrere Sensoren von einer ExtraHop-Konsole aus betrachten, zeigt das Diagramm die aggregierte Paketrate und die Anzahl der Pakete, die von Schnittstellen mit derselben Nummer verworfen wurden.

Wie diese Informationen Ihnen helfen können

Das Überschreiten der Produktschwellenwerte kann zu Datenverlust führen. Beispielsweise kann eine hohe Paketrate dazu führen, dass Pakete an der Span-Quelle oder an einem Span-Aggregator verloren gehen. In ähnlicher Weise können große Mengen an L2- oder L3-Duplikaten auch auf ein Problem an der Span-Quelle oder am Span-Aggregator hinweisen und zu verzerrten oder falschen Metriken führen.

Die akzeptable Rate von Paket pro Sekunde hängt von Ihrem Produkt ab. Beziehen Sie sich auf die Datenblatt für ExtraHop-Sensoren um herauszufinden, welche Grenzwerte für Ihr ExtraHop-System gelten und um festzustellen, ob die Rate der Pakete pro Sekunde zu hoch ist.

Überwachen Sie dieses Diagramm, um Probleme mit der Paketrate auf detaillierter Ebene zu beheben und bei Bedarf Anpassungen der Schnittstellenkonfiguration vorzunehmen.

Paketfehler nach Schnittstelle

Ein Liniendiagramm, das die Anzahl der während des ausgewählten Zeitintervalls empfangenen Paketfehler anzeigt und von jeder auf dem Sensor konfigurierten Schnittstelle aufgeführt wird. Das Diagramm zeigt Paketfehlerinformationen für analysierte und gefilterte Pakete sowie L2- und L3-Duplikate an.

Wenn Sie mehrere Sensoren von einer ExtraHop-Konsole aus betrachten, zeigt das Diagramm die aggregierte Anzahl von Paketfehlern, die auf Schnittstellen mit derselben Anzahl aufgetreten sind.

Wie diese Informationen Ihnen helfen können

Überwachen Sie dieses Diagramm, um Paketfehler auf granularer Ebene zu beheben. Vermehrte Paketfehler können zu Datenverlust führen. Stellen Sie sicher, dass Pakete wie erwartet gesendet werden, und nehmen Sie bei Bedarf Anpassungen der Schnittstellenkonfiguration vor.

Analysierte Ströme

Ein Liniendiagramm, das die Anzahl der Flows anzeigt, die das ExtraHop-System im ausgewählten Zeitintervall analysiert hat. Das Diagramm zeigt auch, wie viele unidirektionale Flüsse im gleichen Zeitraum aufgetreten sind. Neben dem Liniendiagramm wird in einem Wertdiagramm die Gesamtzahl der analysierten und unidirektionalen Flüsse angezeigt, die im ausgewählten Zeitintervall aufgetreten sind. Ein Fluss ist ein Satz von Paketen, die Teil einer Transaktion zwischen zwei Endpunkten über ein Protokoll wie TCP, UDP oder ICMP sind.

Wie diese Informationen Ihnen helfen können Das Überschreiten der Produktgrenzwerte kann zu Datenverlust führen. Beispielsweise könnte eine hohe Anzahl analysierter Datenflüsse dazu führen, dass Pakete an der Span-Quelle oder an einem Span-Aggregator verworfen werden.
Desynchronisierungen

Ein Liniendiagramm, das das Auftreten systemweiter Desynchronisierungen auf dem ExtraHop-System im ausgewählten Zeitintervall anzeigt. Neben dem Liniendiagramm wird in einem Wertdiagramm die Gesamtzahl der Desynchronisierungen angezeigt, die im ausgewählten Zeitintervall aufgetreten sind. Eine Desynchronisierung liegt vor, wenn der ExtraHop-Datenfeed ein TCP-Paket verwirft und daher nicht mehr mit einer TCP-Verbindung synchronisiert wird.

Wie diese Informationen Ihnen helfen können Eine große Anzahl von Desynchronisierungen kann auf verworfene Pakete auf der Überwachungsschnittstelle, dem SPAN oder dem Netzwerk-Tap hinweisen.

Wenn Anpassungen an Ihrem SPAN eine große Anzahl von Desynchronisierungen nicht reduzieren, wenden Sie sich an ExtraHop-Unterstützung .

Verkürzte Pakete

Ein Liniendiagramm, das das Auftreten von gekürzten Paketen auf dem ExtraHop-System im ausgewählten Zeitintervall anzeigt. Neben dem Liniendiagramm wird in einem Wertdiagramm die Gesamtzahl der gekürzten Pakete angezeigt, die im ausgewählten Zeitintervall aufgetreten sind. Ein abgeschnittenes Paket liegt vor, wenn die tatsächliche Gesamtlänge des Paket geringer ist als die Gesamtlänge, die im IP-Header angegeben ist.

Wie diese Informationen Ihnen helfen können Verkürzte Pakete deuten möglicherweise auf Paket Slicing hin. Ein Sensor verwirft alle abgeschnittenen Pakete, die er empfängt, was dazu führen kann Desynchronisierungen auftreten.
Drop-Rate erfassen

Ein Liniendiagramm, das den Prozentsatz der Pakete anzeigt, die während des ausgewählten Zeitintervalls an der Netzwerkkartenschnittstelle eines ExtraHop-Systems verworfen wurden.

Wie diese Informationen Ihnen helfen können Paketverluste treten häufig auf, wenn Sensorschwellenwerte überschritten werden. Beziehen Sie sich auf die Datenblatt für ExtraHop-Sensoren um herauszufinden, wo die Grenzen Ihres ExtraHop-Systems liegen.
Ladung erfassen

Ein Liniendiagramm, das den Prozentsatz der Zyklen auf dem ExtraHop-System anzeigt, die von aktiven Capture-Threads im ausgewählten Zeitintervall verbraucht wurden, basierend auf der gesamten Capture-Thread-Zeit. Klicken Sie auf das zugehörige Durchschnittliche Aufnahmelast Diagramm, um nach Threads aufzuschlüsseln und festzustellen, welche Threads die meisten Ressourcen verbrauchen.

Wie diese Informationen Ihnen helfen können Achten Sie auf Spitzen oder ein steigendes Wachstum der Fanglast, um zu überwachen, ob Sie sich den Sensorgrenzwerten nähern. Beziehen Sie sich auf die Datenblatt für ExtraHop-Sensoren um die Grenzen Ihres ExtraHop-Systems zu entdecken.
Auf die Festplatte geschriebene Metriken (Log-Skala)

Ein Liniendiagramm, das den Speicherverbrauch von Messwerten, die während des ausgewählten Zeitintervalls auf die Festplatte geschrieben wurden, in Byte pro Sekunde anzeigt. Da zwischen den Datenpunkten ein großer Bereich besteht, wird die Festplattennutzung in logarithmischer Skala angezeigt.

Wie diese Informationen Ihnen helfen können Es ist wichtig, dass Sie sich darüber im Klaren sind, wie viel Speicherplatz die Metriken in Ihrem Datenspeicher beanspruchen. Die Größe des Speicherplatzes in Ihrem Datenspeicher wirkt sich auf die Menge des verfügbaren Lookbacks aus. Wenn einige Metriken zu viel Speicherplatz beanspruchen, können Sie die zugehörigen Trigger untersuchen, um zu sehen, ob Sie den Auslöser ändern können, um ihn effizienter zu gestalten.
Lookback-Schätzungen für metrische Daten

Zeigt die geschätzten Datenspeicher-Lookback-Metriken auf dem ExtraHop-System an. Lookback-Metriken sind in Zeitintervallen von 24 Stunden, 1 Stunde, 5 Minuten und 30 Sekunden verfügbar, basierend auf der Schreibdurchsatzrate, die in Byte pro Sekunde ausgedrückt wird.

Wie diese Informationen Ihnen helfen können

Anhand dieser Tabelle können Sie ermitteln, wie weit Sie historische Daten für bestimmte Zeitintervalle zurückverfolgen können. Beispielsweise können Sie Daten in Intervallen von 1 Stunde bis zu 9 Tagen nachschlagen.

Rekorde

Die Rekorde In einem Bereich des Systemstatus-Dashboards können Sie die Effizienz der Kabeldatenerfassung anhand von Diagrammen zur Anzahl der Datensatz und zum Durchsatz beobachten.

Die Datenfeed Dieser Abschnitt enthält die folgenden Diagramme:

Anzahl der Datensätze

Ein Liniendiagramm, das die Anzahl der Datensätze anzeigt, die im ausgewählten Zeitintervall an einen Recordstore gesendet wurden. Neben dem Liniendiagramm wird in einem Wertdiagramm die Gesamtzahl der im ausgewählten Zeitintervall gesendeten Datensätze angezeigt.

Wie diese Informationen Ihnen helfen können

Eine extrem hohe Anzahl von Datensätzen, die an einen Recordstore gesendet werden, kann zu langen Nachrichtenwarteschlangen und verworfenen Nachrichten im Recordstore führen. Sehen Sie sich Diagramme in der Öffnen Sie Data Stream und Recordstore Im Abschnitt Systemintegritäts-Dashboard finden Sie weitere Informationen zu Recordstore-Übertragungen.

Durchsatz aufzeichnen

Ein Liniendiagramm, das die Anzahl der Datensätze in Byte anzeigt, die an einen Recordstore gesendet wurden. Neben dem Liniendiagramm wird in einem Wertdiagramm die Gesamtmenge der im ausgewählten Zeitintervall gesendeten Datensätze in Byte angezeigt.

Wie diese Informationen Ihnen helfen können

Dieses Diagramm spiegelt keine Größenanpassungen auf der Grundlage von Komprimierung oder Datendeduplikation wider und sollte nicht zur Schätzung der Recordstore-Kosten verwendet werden. Ein extrem hoher Datensatzdurchsatz kann zu langen Warteschlangenlängen und verworfenen Nachrichten im Recordstore führen. Sehen Sie sich Diagramme in der Öffnen Sie Data Stream und Recordstore Im Abschnitt Systemintegritäts-Dashboard finden Sie weitere Informationen zu Recordstore-Übertragungen.

Auslöser

Die Auslöser In einem Bereich des Systemstatus-Dashboards können Sie die Auswirkungen von Triggern auf Ihr System überwachen. Sehen Sie, wie oft Trigger ausgeführt werden, wie oft sie ausfallen und welche Trigger Ihre CPU am stärksten belasten.

Die Auslöser Dieser Abschnitt enthält die folgenden Diagramme:

Last auslösen

Ein Liniendiagramm, das den Prozentsatz der CPU-Zyklen anzeigt , die Triggerprozessen zugewiesen wurden und während des ausgewählten Zeitintervalls von Triggern verbraucht wurden.

Wie diese Informationen Ihnen helfen können Achten Sie auf Spitzen oder ein steigendes Wachstum der Triggerlast, insbesondere nach dem Erstellen eines neuen Auslöser oder dem Ändern eines vorhandenen Auslöser. Wenn Sie eine der beiden Bedingungen bemerken, sehen Sie sich die Laden nach Trigger auslösen Diagramm, um zu sehen, welche Trigger die meisten Ressourcen verbrauchen.
Triggerverzögerung

Ein Säulendiagramm, das die maximalen Triggerverzögerungen, die während des ausgewählten Zeitintervalls aufgetreten sind, in Millisekunden anzeigt. Neben dem Säulendiagramm wird in einem Wertdiagramm die längste Triggerverzögerung angezeigt, die im ausgewählten Zeitintervall aufgetreten ist. Eine Triggerverzögerung ist die Zeitspanne zwischen der Erfassung eines Triggerereignisses und der Erstellung eines Trigger-Threads für das Ereignis.

Wie diese Informationen Ihnen helfen können

Lange Auslöseverzögerungen können auf Verarbeitungsprobleme hinweisen. Sehen Sie sich die Ausnahmen nach Trigger auslösenund Laden nach Trigger auslösen Diagramme, um zu sehen, welcher Auslöser die meisten unbehandelten Ausnahmen auslöst und welcher die meisten Ressourcen verbraucht.

Trigger wird ausgeführt und gelöscht

Ein Linien- und Säulendiagramm, in dem das Liniendiagramm anzeigt, wie oft Trigger ausgeführt wurden, und das dazugehörige Säulendiagramm zeigt, wie oft Trigger im ausgewählten Zeitintervall gelöscht wurden. Neben dem Linien- und Säulendiagramm zeigt ein Wertdiagramm die Gesamtzahl der Triggerausführungen und Drops an, die im ausgewählten Zeitintervall aufgetreten sind. Diese Diagramme bieten einen allgemeinen Überblick über alle Trigger, die derzeit auf dem ExtraHop-System ausgeführt werden.

Wie diese Informationen Ihnen helfen können Suchen Sie im Linien- und Säulendiagramm nach Spitzen und untersuchen Sie alle Auslöser, die zu dem Anstieg geführt haben. Möglicherweise stellen Sie beispielsweise eine erhöhte Aktivität fest, wenn ein Auslöser geändert oder ein neuer Auslöser aktiviert wurde. Sehen Sie sich das an Trigger wird von Trigger ausgeführt Diagramm, um zu sehen , welche Trigger am häufigsten ausgeführt werden.
Einzelheiten zum Auslöser

Ein Listendiagramm, das einzelne Trigger und die Anzahl der Zyklen, Ausführungen und Ausnahmen anzeigt, die den einzelnen Triggern im ausgewählten Zeitintervall zugewiesen wurden. Standardmäßig ist die Liste der Trigger in absteigender Reihenfolge nach Triggerzyklen sortiert.

Wie diese Informationen Ihnen helfen können Identifizieren Sie, welche Auslöser die meisten Zyklen verbrauchen. Trigger, die zu häufig ausgeführt werden oder auf andere Weise mehr Zyklen verbrauchen, als sie sollten, können mehr Quellen als nötig zugewiesen werden. Stellen Sie sicher, dass jeder überaktive Auslöser nur der spezifischen Quelle zugewiesen ist, aus der Sie Daten sammeln müssen.
Laden nach Trigger auslösen

Ein Liniendiagramm, das den Prozentsatz der CPU-Zyklen anzeigt , die Triggerprozessen zugewiesen sind und während des ausgewählten Zeitintervalls von Triggern verbraucht wurden, aufgelistet nach Triggernamen.

Wie diese Informationen Ihnen helfen können Identifizieren Sie, welche Auslöser die meisten Zyklen verbrauchen. Trigger, die mehr Zyklen verbrauchen, als sie sollten, können mehr Quellen als nötig zugewiesen werden. Stellen Sie sicher, dass jeder überaktive Auslöser nur der spezifischen Quelle zugewiesen ist, aus der Sie Daten sammeln müssen.
Trigger wird von Trigger ausgeführt

Ein Liniendiagramm, das anzeigt, wie oft jeder aktive Auslöser im ausgewählten Zeitintervall ausgeführt wurde.

Wie diese Informationen Ihnen helfen können Suchen Sie nach Triggern, die häufiger als erwartet ausgeführt werden, was darauf hindeuten könnte, dass der Auslöser zu breit zugewiesen ist. Ein Auslöser, der allen Anwendungen oder allen Geräten zugewiesen ist, kann hohe Leistungseinbußen nach sich ziehen. Ein Auslöser, der einer erweiterten Gerätegruppe zugewiesen ist, sammelt möglicherweise Messwerte, die Sie nicht möchten. Um die Auswirkungen auf die Leistung zu minimieren, sollte ein Auslöser nur den spezifischen Quellen zugewiesen werden, aus denen Sie Daten sammeln müssen.

Eine hohe Aktivität kann auch darauf hindeuten, dass ein Auslöser härter arbeitet, als er muss. Beispielsweise kann ein Auslöser bei mehreren Ereignissen ausgeführt werden, bei denen es effizienter wäre, separate Trigger zu erstellen, oder ein Trigger-Skript entspricht möglicherweise nicht den empfohlenen Skriptrichtlinien, wie in der Leitfaden mit bewährten Methoden für Trigger.

Ausnahmen nach Trigger auslösen

Ein Liniendiagramm, das die Anzahl der unbehandelten Ausnahmen, sortiert nach Auslöser, anzeigt, die im ausgewählten Zeitintervall auf dem ExtraHop-System aufgetreten sind.

Wie diese Informationen Ihnen helfen können Trigger-Ausnahmen sind die Hauptursache für Leistungsprobleme bei Triggern. Wenn dieses Diagramm darauf hinweist, dass eine Trigger-Ausnahme aufgetreten ist, sollten Sie den Auslöser sofort untersuchen.
Zyklen nach Thread auslösen

Ein Liniendiagramm, das die Anzahl der Triggerzyklen anzeigt, die von Triggern für einen Thread verbraucht wurden.

Wie diese Informationen Ihnen helfen können Triggerverluste können auftreten, wenn der Verbrauch eines Threads erheblich höher ist als der der anderen, auch wenn der Thread-Verbrauch gering ist. Achten Sie auf einen gleichmäßigen Zyklusverbrauch zwischen den Threads.
Öffnen Sie Data Stream und Recordstore

Im Bereich Open Data Stream (ODS) und Recordstore des Systems Health Dashboard können Sie die Aktivitäten von ODS- und Recordstore-Übertragungen zu und von Ihrem System verfolgen. Sie können auch die Gesamtzahl der Remoteverbindungen, den Nachrichtendurchsatz und Details zu bestimmten Remote-Zielen anzeigen.

Die Open Data Stream (ODS) und Recordstore Dieser Abschnitt enthält die folgenden Diagramme:

Nachrichtendurchsatz

Ein Liniendiagramm, das den Durchsatz von Fernmeldungsdaten in Byte anzeigt. Neben dem Liniendiagramm zeigt ein Wertdiagramm die durchschnittliche Durchsatzrate von Fernmeldungsdaten über das ausgewählte Zeitintervall an. Fernnachrichten sind Übertragungen, die vom ExtraHop-System über einen offenen Datenstrom (ODS) an einen Recordstore oder an Systeme von Drittanbietern gesendet werden.

Wie diese Informationen Ihnen helfen können Überwachen Sie dieses Diagramm, um sicherzustellen, dass die Byte wie erwartet übertragen werden. Wenn Sie niedrige Durchsatzzahlen feststellen, liegt möglicherweise ein Problem mit der Konfiguration eines ODS oder eines angeschlossenen Recordstore vor. Signifikante Durchsatzeinbrüche können auf Probleme mit Ihren Datenströmen hinweisen.
Gesendete Nachrichten

Ein Liniendiagramm, das die durchschnittliche Rate anzeigt, mit der Remote-Nachrichten vom ExtraHop-System an ein Recordstore- oder ODS-Ziel (Open Data Stream) gesendet wurden. Neben dem Liniendiagramm zeigt ein Wertdiagramm die Gesamtzahl der Nachrichten an, die im ausgewählten Zeitintervall gesendet wurden.

Wie diese Informationen Ihnen helfen können Überwachen Sie dieses Diagramm, um sicherzustellen, dass Pakete wie erwartet gesendet werden. Wenn keine Pakete gesendet werden, liegt möglicherweise ein Problem mit der Konfiguration eines ODS oder eines angehängten Recordstore vor.
Nach Remotetyp verworfene Nachrichten

Ein Liniendiagramm, das die durchschnittliche Rate von Remotenachrichten anzeigt, die gelöscht wurden, bevor sie einen Recordstore oder ein ODS-Ziel erreichten.

Wie diese Informationen Ihnen helfen können Verworfene Nachrichten weisen auf Verbindungsprobleme mit dem Remote-Ziel hin. Eine hohe Anzahl von Drops könnte auch darauf hinweisen, dass der Nachrichtendurchsatz zu hoch ist, um vom ExtraHop-System oder dem Zielserver verarbeitet zu werden.
Fehler beim Senden von Nachrichten

Ein Liniendiagramm, das die Anzahl der Fehler anzeigt, die beim Senden einer Remote-Nachricht an einen Recordstore oder ein ODS-Ziel aufgetreten sind. Überwachen Sie dieses Diagramm, um sicherzustellen, dass Pakete wie erwartet gesendet werden. Übertragungsfehler können Folgendes beinhalten:

Fehler auf dem Zielserver
Die Anzahl der Fehler, die von Recordstores oder ODS-Zielen an das ExtraHop-System zurückgegeben werden. Diese Fehler sind auf dem Zielserver aufgetreten und deuten nicht auf ein Problem mit dem ExtraHop-System hin.
Verworfene Nachrichten in voller Warteschlange
Die Anzahl der an Datensatzspeicher und ODS-Ziele gesendeten Nachrichten, die gelöscht wurden, weil die Nachrichtenwarteschlange auf dem Zielserver voll war. Eine hohe Anzahl verworfener Nachrichten kann darauf hindeuten, dass der Nachrichtendurchsatz zu hoch ist, um vom ExtraHop-System oder dem Zielserver verarbeitet zu werden. Schau dir das an Länge der Exremote-Nachrichtenwarteschlange nach Ziel und der Einzelheiten zum Ziel Diagramme, um festzustellen, ob Ihre Übertragungsfehler möglicherweise auf eine lange Nachrichtenwarteschlange zurückzuführen sind.
Nicht übereinstimmende Zielmeldungen
Die Anzahl der gelöschten Remote-Nachrichten, weil das im Open Data Stream (ODS) -Triggerskript angegebene Remotesystem nicht mit dem Namen übereinstimmt, der auf der Seite Open Data Streams in den Administrationseinstellungen konfiguriert wurde. Stellen Sie sicher, dass die Namen der Remotesysteme in den Triggerskripten und den Administrationseinstellungen konsistent sind.
Fehler beim Dekodieren gelöschter Nachrichten
Die Anzahl der Nachrichten, die aufgrund interner Kodierungsprobleme zwischen ExtraHop Capture (excap) und ExtraHop Remote (exremote) verloren gegangen sind.
Verbindungen

Ein Linien- und Säulendiagramm, in dem das Liniendiagramm die Anzahl der Versuche anzeigt, die das System unternommen hat, eine Verbindung zu einem Remote-Zielserver herzustellen, und das dazugehörige Säulendiagramm die Anzahl der Fehler anzeigt, die als Ergebnis dieser Versuche aufgetreten sind. Neben dem Linien- und Säulendiagramm zeigt ein Wertdiagramm die Gesamtzahl der Verbindungsversuche und Verbindungsfehler an, die im ausgewählten Zeitintervall aufgetreten sind.

Wie diese Informationen Ihnen helfen können Identifizieren Sie Zielserver, die ungewöhnlich viele Verbindungsversuche erfordern oder unverhältnismäßig viele Verbindungsfehler verursachen. Ein Anstieg der Verbindungsversuche könnte darauf hindeuten, dass der Zielserver nicht verfügbar ist.
Länge der Exremote-Nachrichtenwarteschlange nach Ziel

Ein Liniendiagramm, das die Anzahl der Nachrichten in der ExtraHop Remote (exremote) -Warteschlange anzeigt, die darauf warten, vom ExtraHop-System verarbeitet zu werden.

Wie diese Informationen Ihnen helfen können
Eine hohe Anzahl von Nachrichten in der Warteschlange kann darauf hindeuten, dass der Nachrichtendurchsatz zu hoch ist, um vom ExtraHop-System oder dem Zielserver verarbeitet zu werden. Beziehen Sie sich auf den Wert Exremote Full Queue Dropped Messages in der Fehler beim Senden von Nachrichten Diagramm, um festzustellen, ob Nachrichtenabbrüche aufgetreten sind.
Länge der Nachrichtenwarteschlange nach Remote-Typ ausschließen

Ein Liniendiagramm, das die Anzahl der Remote-Zielnachrichten in der ExtraHop Capture (Excap) -Warteschlange anzeigt, die darauf warten, vom ExtraHop-System verarbeitet zu werden.

Wie diese Informationen Ihnen helfen können Eine hohe Anzahl von Nachrichten in der Warteschlange kann darauf hindeuten, dass der Nachrichtendurchsatz zu hoch ist, um vom ExtraHop-System oder dem Zielserver verarbeitet zu werden.

Beziehen Sie sich auf die Nach Remotetyp verworfene Nachrichten Diagramm, um festzustellen, ob Nachrichtenabbrüche aufgetreten sind.

Einzelheiten zum Ziel

Ein Listendiagramm, das die folgenden Metriken zu Recordstore- oder ODS-Remote-Zielen im ausgewählten Zeitintervall anzeigt: Zielname, Zielnachrichten-Bytes out, gesendete Zielnachrichten, Zielserverfehler, gelöschte Nachrichten in voller Warteschlange, Dekodierungsfehler, gelöschte Nachrichten, Zielserver-Verbindungsversuche und Zielserver-Verbindungsfehler.

Wie diese Informationen Ihnen helfen können Wenn Sie Nachrichtenfehler sehen, die in der Gesendete Nachrichten Diagramm, die Details in diesem Diagramm können Ihnen helfen, die Hauptursache von Fernmeldungsfehlern zu ermitteln.
SSL Zertifikate

Im Bereich SSL-Zertifikate des Systemstatus-Dashboards können Sie die Statusinformationen für alle SSL-Zertifikate auf Ihrem System überprüfen.

Die SSL Zertifikate Dieser Abschnitt enthält die folgende Tabelle:

Einzelheiten zum Zertifikat

Ein Listendiagramm, das die folgenden Informationen für jedes Zertifikat anzeigt:

Entschlüsselte Sitzungen
Die Anzahl der Sitzungen, die erfolgreich entschlüsselt wurden.
Nicht unterstützte Sitzungen
Die Anzahl der Sitzungen, die mit passiver Analyse nicht entschlüsselt werden konnten, z. B. beim DHE-Schlüsselaustausch.
Getrennte Sitzungen
Die Anzahl der Sitzungen, die aufgrund von Desynchronisierungen nicht oder nur teilweise entschlüsselt wurden.
Passthrough-Sitzungen
Die Anzahl der Sitzungen, die aufgrund von Hardwarefehlern nicht entschlüsselt wurden, z. B. aufgrund von Fehlern, die durch Überschreitung der Spezifikationen der SSL-Beschleunigungshardware verursacht wurden.
Mit Shared Secret entschlüsselte Sitzungen
Die Anzahl der Sitzungen, die mit einem gemeinsamen geheimen Schlüssel entschlüsselt wurden.
Wie diese Informationen Ihnen helfen können Überwachen Sie dieses Diagramm, um sicherzustellen, dass die richtigen SSL-Zertifikate auf dem ExtraHop-System installiert sind und die Entschlüsselung wie erwartet durchgeführt wird.
Paketerfassung aus der Ferne (RPCAP)

Im Bereich Remote Packet Capture (RPCAP) des Systemstatus-Dashboards können Sie die Anzahl der Pakete und Frames anzeigen, die von RPCAP-Peers gesendet und vom ExtraHop-System empfangen wurden.

Die Paketerfassung aus der Ferne (RPCAP) Dieser Abschnitt enthält die folgenden Diagramme:

Weitergeleitet von Peer

Ein Listendiagramm, das die folgenden Informationen zu Paketen und Frames anzeigt, die von einem RPCAP-Peer weitergeleitet werden:

Weitergeleitete Pakete
Die Anzahl der Pakete, die ein RPCAP-Peer versucht hat, an ein ExtraHop-System weiterzuleiten.
Forwarder-Schnittstellenpakete
Die Gesamtzahl der Pakete, die vom Forwarder angesehen wurden. Forwarder auf RPCAP-Geräten koordinieren sich miteinander, um zu verhindern, dass mehrere Geräte dasselbe Paket senden. Dies ist die Anzahl der Pakete, die angesehen wurden, bevor Frames entfernt wurden, um den weitergeleiteten Verkehr zu reduzieren, und bevor Frames durch benutzerdefinierte Filter entfernt wurden.
Forwarder-Kernel-Frame-Drops
Die Anzahl der Frames, die gelöscht wurden, weil der Kernel des RPCAP-Peers mit dem Stream ungefilterter Frames überlastet war. Ungefilterte Frames wurden vom Kernel nicht gefiltert, um doppelte Pakete oder Pakete zu entfernen, die aufgrund benutzerdefinierter Regeln nicht weitergeleitet werden sollten.
Die Forwarder-Schnittstelle wird unterbrochen
Die Anzahl der Pakete, die verworfen wurden, weil der RPCAP-Forwarder mit dem Stream ungefilterter Frames überlastet war. Ungefilterte Frames wurden nicht gefiltert, um doppelte Pakete oder Pakete zu entfernen, die aufgrund benutzerdefinierter Regeln nicht weitergeleitet werden sollten.
Wie diese Informationen Ihnen helfen können Jedes Mal, wenn Sie Pakete sehen, die vom RPCAP-Peer verworfen wurden, deutet dies darauf hin, dass ein Problem mit der RPCAP-Software vorliegt.
Vom ExtraHop-System empfangen

Ein Listendiagramm, das die folgenden Informationen zu Paketen und Frames anzeigt, die von einem ExtraHop-System von einem Remote Packet Capture (RPCAP) -Peer empfangen werden:

Gekapselte Bytes
Die Gesamtgröße aller Pakete, die sich auf den UDP-Fluss vom RPCAP-Gerät zum ExtraHop-System beziehen, in Byte. Diese Information zeigt Ihnen, wie viel Traffic der RPCAP-Forwarder Ihrem Netzwerk hinzufügt.
Gekapselte Pakete
Die Anzahl der Pakete, die sich auf den UDP-Fluss vom RPCAP-Gerät zum ExtraHop-System beziehen.
Tunnel-Bytes
Die Gesamtgröße der Pakete, ohne Kapselungsheader, die das ExtraHop-System von einem RPCAP-Gerät empfangen hat, in Byte.
Tunnel-Pakete
Die Anzahl der Pakete, die das ExtraHop-System von einem RPCAP-Peer empfangen hat. Diese Zahl sollte der Zahl der weitergeleiteten Pakete in der Tabelle Vom Remote-Gerät gesendet sehr ähnlich sein. Wenn zwischen diesen beiden Zahlen eine große Lücke besteht, fallen Pakete zwischen dem RPCAP-Gerät und dem ExtraHop-System ab.
Wie diese Informationen Ihnen helfen können

Die Verfolgung der gekapselten Pakete und Bytes ist eine gute Methode, um sicherzustellen, dass RPCAP-Forwarder Ihr Netzwerk nicht unnötig belasten. Sie können Tunnelpakete und Bytes überwachen, um sicherzustellen, dass das ExtraHop-System alles empfängt, was das RPCAP-Gerät sendet.

Fortgeschrittene Gesundheitsmetriken

Im Bereich Advanced Health Metrics des Systems Health Dashboard können Sie die Heap-Zuweisung im Zusammenhang mit der Datenerfassung, dem Systemdatenspeicher, Triggern und Fernübertragungen verfolgen. Überwachen Sie den Schreibdurchsatz, die Größe des Arbeitssets und die Triggeraktivität im Systemdatenspeicher.

Die Fortgeschrittene Gesundheitsmetriken Dieser Abschnitt enthält die folgenden Diagramme:

Erfassung und Datenspeicher-Heap-Zuweisung

Ein Liniendiagramm, das die Speichermenge anzeigt, die das ExtraHop-System für die Erfassung von Netzwerkpaketen und für den Datenspeicher reserviert.

Wie diese Informationen Ihnen helfen können Die Daten in dieser Tabelle dienen internen Zwecken und können angefordert werden von ExtraHop-Unterstützung um Ihnen bei der Diagnose eines Problems zu helfen.
Trigger- und Remote-Heap-Zuweisung

Ein Liniendiagramm, das die Speichermenge, ausgedrückt in Byte, anzeigt, die das ExtraHop-System der Verarbeitung von Capture-Triggern und Open Data Streams (ODS) widmet.

Wie diese Informationen Ihnen helfen können Die Daten in dieser Tabelle dienen internen Zwecken und können angefordert werden von ExtraHop-Unterstützung um Ihnen bei der Diagnose eines Problems zu helfen.
Schreibdurchsatz speichern

Ein Flächendiagramm, das den Datenspeicher-Schreibdurchsatz, ausgedrückt in Byte, auf dem ExtraHop-System anzeigt. Das Diagramm zeigt Daten für das ausgewählte Zeitintervall und für Intervalle von 24 Stunden, 1 Stunde, 5 Minuten und 30 Sekunden an.

Wie diese Informationen Ihnen helfen können Die Daten in dieser Tabelle dienen internen Zwecken und können angefordert werden von ExtraHop-Unterstützung um Ihnen bei der Diagnose eines Problems zu helfen.
Größe des Arbeitssets

Ein Flächendiagramm, das die Größe des Schreib-Cache-Arbeitssets für Metriken auf dem ExtraHop-System anzeigt. Die Größe des Arbeitssets gibt an, wie viele Metriken für das ausgewählte Zeitintervall und für Intervalle von 24 Stunden, 1 Stunde, 5 Minuten und 30 Sekunden in den Cache geschrieben werden können.

Wie diese Informationen Ihnen helfen können Die Daten in diesem Diagramm können nach der Erstellung oder Änderung des Auslöser stark ansteigen, wenn das Trigger-Skript Metriken nicht effizient sammelt.
Laden des Datenspeicher-Triggers

Ein Liniendiagramm, das den Prozentsatz der Zyklen anzeigt, die von datenspeicherspezifischen Triggern auf dem ExtraHop-System verbraucht wurden, basierend auf der gesamten Capture-Thread-Zeit.

Wie diese Informationen Ihnen helfen können Achten Sie auf Spitzen oder ein steigendes Wachstum der Datenspeicher-Triggerlast, insbesondere nach dem Erstellen eines neuen Datenspeicher-Triggers oder dem Ändern eines vorhandenen Datenspeicher-Triggers. Wenn Sie beides bemerken, klicken Sie auf Last auslösen Metriklabel, um eine Aufschlüsselung durchzuführen und zu sehen, welche Datenspeicher-Trigger die meisten Ressourcen verbrauchen.
Der Datenspeicher-Trigger wird ausgeführt und gelöscht

Ein Linien- und Säulendiagramm, in dem das Liniendiagramm anzeigt, wie oft datenspeicherspezifische Trigger auf dem ExtraHop-System während des ausgewählten Zeitintervalls ausgeführt wurden, und das dazugehörige Säulendiagramm die Anzahl der datenspeicherspezifischen Trigger anzeigt, die während des ausgewählten Zeitintervalls aus der Warteschlange der Trigger gelöscht wurden, die darauf warten, auf dem ExtraHop-System ausgeführt zu werden.

Wie diese Informationen Ihnen helfen können Ein einzelner Datenspeicher-Trigger, der häufig ausgeführt wird, kann darauf hinweisen, dass der Auslöser allen Quellen zugewiesen wurde, z. B. Anwendungen oder Geräten. Um die Auswirkungen auf die Leistung zu minimieren, sollte ein Auslöser nur den spezifischen Quellen zugewiesen werden, aus denen Sie Daten sammeln müssen.

Aus dem Laden des Datenspeicher-Triggers Diagramm, klicken Sie auf Last auslösen Metriklabel, um eine Aufschlüsselung durchzuführen und zu sehen, welche Datenspeicher-Trigger am häufigsten ausgeführt werden.

Alle Drop-Daten, die im Säulendiagramm angezeigt werden, weisen darauf hin, dass es zu Drops von Datenspeicher-Triggern kommt und dass Trigger-Warteschlangen gesichert werden .

Das System stellt Triggeroperationen in die Warteschlange, wenn ein Trigger-Thread überlastet ist. Wenn die Datenspeicher-Trigger-Warteschlange zu lang wird, beendet das System das Hinzufügen von Trigger-Vorgängen zur Warteschlange und löscht die Trigger. Aktuell ausgeführte Trigger sind davon nicht betroffen.

Die Hauptursache für lange Warteschlangen und nachfolgende Triggerausfälle ist ein Trigger mit langer Laufzeit im Datenspeicher.

Datenspeicherauslöserausnahmen nach Trigger

Ein Listendiagramm, das die Anzahl der unbehandelten Ausnahmen anzeigt, die durch datenspeicherspezifische Trigger im ExtraHop-System verursacht wurden.

Wie diese Informationen Ihnen helfen können Ausnahmen für Datenspeicher-Trigger sind die Hauptursache für Leistungsprobleme bei Auslöser. Wenn dieses Diagramm darauf hinweist, dass eine Trigger-Ausnahme aufgetreten ist, sollte der Datenspeicher-Trigger sofort korrigiert werden.
Status- und Diagnosetools in den Administrationseinstellungen

Die Administrationseinstellungen sind eine weitere Quelle für Systeminformationen und Diagnosen.

Für weitere Messwerte zum allgemeinen Zustand des ExtraHop-Systems und für Diagnosetools, die ExtraHop-Unterstützung um Systemfehler zu beheben, schauen Sie sich die Status und Diagnose Abschnitt der Administrationseinstellungen.

Dashboard zur Systemnutzung

Mit dem Systemnutzungs-Dashboard können Sie überwachen, wie Benutzer mit dem ExtraHop-System interagieren.

Jedes Diagramm im Systemnutzungs-Dashboard enthält Visualisierungen von Benutzerinteraktionen mit dem ExtraHop-System und Erkennungen, die über das ausgewähltes Zeitintervall, nach Region organisiert.

Hinweis:Das Systemnutzungs-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder zu einer gemeinsamen Sammlung hinzufügen können. Sie können keine Kopie des Systemnutzungs-Dashboards erstellen oder Diagramme in benutzerdefinierte Dashboards kopieren.

Before you begin

Das Systemnutzungs-Dashboard kann nur von Benutzern mit System- und Zugriffsadministration von einer Konsole aus angezeigt werden. Privilegien.

Die folgenden Informationen fassen jede Region und ihre Diagramme zusammen.

ExtraHop-Benutzer
Beobachten Sie die Benutzeranmeldeaktivitäten und die aktuelle Anzahl der aktiven Benutzer auf dem ExtraHop-System.

Aktive Benutzer und Logins: Die Häufigkeit, mit der sich Benutzer beim ExtraHop-System angemeldet haben, und aktuelle Schnappschüsse von aktiven Benutzern. Das Liniendiagramm zeigt die aktuell aktiven Benutzer und das Säulendiagramm zeigt die Anzahl der Benutzeranmeldungen im Laufe der Zeit. Eine Anmeldung wird jedes Mal gezählt, wenn sich ein Benutzer am System anmeldet, einschließlich mehrerer Anmeldungen durch einen einzelnen Benutzer.

Die häufigsten Benutzeranmeldungen: Benutzer mit den meisten Anmeldungen auf dem ExtraHop-System im ausgewählten Zeitintervall.

Aktive Benutzer und Logins: Die Anzahl der Benutzer, die derzeit auf dem ExtraHop-System aktiv sind, und die Gesamtzahl der Benutzeranmeldungen im ausgewählten Zeitintervall.

Armaturenbretter
Beobachten Sie, wie oft Benutzer sie ansehen Dashboards und welche Dashboards am häufigsten angesehen werden.

Dashboard-Ansichten: Gesamtzahl der Dashboard-Ansichten im Laufe der Zeit. Eine Dashboard-Ansicht wird gezählt, wenn ein Dashboard nach einer Benutzeranmeldung, einem Klick oder einer direkten Navigation über eine gemeinsam genutzte URL angezeigt wird.

Am häufigsten aufgerufene Dashboards: Dashboards mit der höchsten Anzahl von Ansichten.

Gesamtzahl der Dashboard-Ansichten: Die Gesamtzahl der Dashboard-Ansichten im ausgewählten Zeitintervall.

Erkennungen
Beachten Sie Informationen über Erkennungen die vom ExtraHop-System generiert werden und wie Benutzer sie betrachten und Verfolgung Erkennungen.

Erkennungsansichten: In diesem Liniendiagramm werden zwei Werte angezeigt: Erkennungslistenansichten zählen die Anzahl der Klicks auf die Erkennungsliste, wenn gruppiert nach Erkennungstyp, und Detection Detail Views zählt, wie oft ein Detailseite zur Erkennung erscheint nach einer Benutzeranmeldung, einem Klick oder einer direkten Navigation durch eine gemeinsam genutzte URL. Klicken Sie in der Legende auf einen der Metriknamen, um eine Aufschlüsselung nach Erkennungstyp vorzunehmen.

Am häufigsten aufgerufene Erkennungen: Die Erkennungstypen, die im ausgewählten Zeitintervall am häufigsten angesehen wurden.

Gesamtzahl der Erkennungsansichten: Die Gesamtwerte für Erkennungslistenansichten und Erkennungsdetailansichten über das ausgewählte Zeitintervall.

Erkennungsverfolgung (Liniendiagramm): Die Anzahl der Entdeckungen, die mit und ohne ergriffene Maßnahmen abgeschlossen wurden, und die Anzahl der Untersuchungen, die im Laufe der Zeit eingeleitet wurden.

Erkennungsverfolgung (Listendiagramm): Die Gesamtzahl der Entdeckungen, die mit und ohne ergriffene Maßnahmen geschlossen wurden, die Anzahl der erstellten Untersuchungen und die Gesamtzahl der Entdeckungen, die im ausgewählten Zeitintervall auf den Status Bestätigt gesetzt wurden. Die Liste enthält auch die Anzahl der Erkennungen, die derzeit auf den Status In Bearbeitung gesetzt sind.

Gesamtzahl geschlossener Erkennungen: Die Gesamtzahl der Erkennungen, die im ausgewählten Zeitintervall mit und ohne ergriffene Maßnahmen geschlossen wurden. Die Werte für „Gesamtzahl geschlossener Erkennungen" schließen Erkennungen ein, die ausgeblendet wurden, nachdem der Erkennungsstatus festgelegt wurde.

Erkennungstypen
Beobachten Sie, welche Erkennungstypen am häufigsten vom ExtraHop-System generiert wurden und wie Benutzer mit diesen Erkennungen interagieren.

Am häufigsten aufgerufene Erkennungstypen: Die Anzahl der Erkennungslistenansichten und Erkennungsdetailansichten für die Erkennungstypen, die im ausgewählten Zeitintervall aufgetreten sind.

Erstellen Sie ein Dashboard

Dashboards bieten einen zentralen Ort für wichtige Kennzahlen, die Ihnen wichtig sind. Wenn Sie ein benutzerdefiniertes Dashboard erstellen, wird ein Dashboard-Layout geöffnet, das eine einzelne Region mit einem leeren Diagramm-Widget und einem leeren Textfeld-Widget enthält. Bearbeiten Sie ein Diagramm, um Echtzeitmetriken in Ihr Dashboard zu integrieren, und bearbeiten Sie ein Textfeld, um Informationen bereitzustellen. Passen Sie abschließend das Layout an und fügen Sie weitere Widgets hinzu, um Ihr Dashboard zu vervollständigen und mit der Überwachung Ihres Netzwerk zu beginnen.

Before you begin

Bestimmen Sie, welche Metriken Sie auf Ihrem Dashboard überwachen möchten. Stellen Sie sich die folgenden Fragen:
  • Möchte ich nachverfolgen, ob mein Server offline oder nicht verfügbar ist? Fügen Sie Verfügbarkeitsmetriken wie Anfragen und Antworten zu Ihren Dashboard-Diagrammen hinzu.
  • Funktioniert mein Server richtig? Fügen Sie Zuverlässigkeitsmetriken wie Fehler zu Ihren Dashboard-Diagrammen hinzu.
  • Ist mein Server richtig ausgestattet? Fügen Sie Leistungskennzahlen wie die Serververarbeitungszeit zu Ihren Dashboard-Diagrammen hinzu.

Erstellen Sie das Dashboard-Layout

Die folgenden Schritte zeigen Ihnen, wie Sie das Framework für Ihr Dashboard erstellen, das zwei leere Widget-Typen umfasst: ein Diagramm und ein Textfeld. Ihr neues Dashboard wird im Modus „ Layout bearbeiten" geöffnet (der in der oberen rechten Ecke angezeigt wird). Im Modus „Layout bearbeiten" können Sie Ihr Diagramm und Ihr Textfeld schnell bearbeiten und die Platzierung von Widgets und Bereichen auf einem Dashboard anordnen.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Führen Sie auf der Seite Dashboards einen der folgenden Schritte aus:
    • klicken Armaturenbretter im Dashboard-Dock und dann klicken Dashboard erstellen am unteren Rand des Docks.
    • Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite und wählen Neues Dashboard.
  4. Geben Sie im Fenster Dashboard-Eigenschaften einen Namen für Ihr Dashboard ein.
  5. Geben Sie weitere Metadaten für Ihr Dashboard ein, z. B. einen Namen für den Autor oder eine Beschreibung. Beachten Sie, dass der Permalink eine direkte URL zu Ihrem Dashboard für alle Benutzer bereitstellt, die Freigabeberechtigungen für dein Dashboard.
  6. klicken Erstellen.

Bearbeiten Sie ein einfaches Diagramm

Die folgenden Schritte zeigen den allgemeinen Fluss für die Bearbeitung eines Diagramm-Widgets im Metric Explorer-Tool. Geben Sie zunächst Quellen und Metriken an, um Daten zu Ihrem Diagramm hinzuzufügen. Sie können jetzt beispielsweise die Verfügbarkeits-, Zuverlässigkeits- oder Leistungskennzahlen, die Sie zu Beginn dieses Verfahrens berücksichtigt haben, zu Ihrem Dashboard hinzufügen. Wählen Sie dann einen Diagrammtyp aus, um die Daten zu visualisieren.

  1. Klicken Sie auf das Diagramm, um das zu starten Metric Explorer.
  2. klicken Quelle hinzufügen.
  3. Geben Sie im Quellensuchfeld den Namen einer Quelle ein und wählen Sie dann Quelle aus den Suchergebnissen.
  4. Geben Sie in das Metrik-Suchfeld das Protokoll und den Metriknamen ein und wählen Sie dann aus den Suchergebnissen die Metrik aus, die Sie dem Diagramm hinzufügen möchten. Um beispielsweise die Zuverlässigkeit von Webtransaktionen zu überwachen, geben Sie HTTP-Fehler und wählen Sie dann HTTP-Fehler aus den Suchergebnissen.
  5. Wählen Sie unten im Metric Explorer einen Diagrammtyp aus.
    Einige Diagramme sind möglicherweise nicht mit den von Ihnen ausgewählten Kennzahlen kompatibel. Das Heatmap-Diagramm kann beispielsweise nur angezeigt werden Datensatz Metrikdaten, z. B. Serververarbeitungszeit. Weitere Informationen zu Diagrammen und kompatiblen Messwerten finden Sie unter Diagrammtypen.
  6. Optional: Wählen Sie einen Drilldown-Schlüssel aus, um detaillierte Metriken anzuzeigen. klicken Drilldown nach <None>, wo <None> ist der Name des Detailmetrikschlüssels, der derzeit in Ihrem Diagramm angezeigt wird. Sie können bis zu 20 Top-Keywerte in einem Diagramm für ein bestimmtes Zeitintervall anzeigen.
  7. klicken Speichern.

Nächste Maßnahme

Bearbeiten Sie ein einfaches Textfeld-Widget

Die folgenden Schritte zeigen Ihnen, wie Sie benutzerdefinierten Text in einem Dashboard-Bereich anzeigen. Dies ist ein hilfreiches Tool zum Hinzufügen von Notizen zu einem Diagramm oder Daten in einem Dashboard. Das Textfeld-Widget unterstützt die Markdown-Syntax. Ein neues Textfeld-Widget enthält Beispieltext, der bereits in Markdown formatiert ist, um Ihnen grundlegende Beispiele zu bieten.

  1. Klicken Sie auf das Textfeld.
  2. Text auf der linken Seite eingeben und bearbeiten Herausgeber Fensterscheibe. Der HTML-Ausgabetext wird dynamisch im rechten Vorschaufenster angezeigt. Weitere Formatierungsbeispiele finden Sie unter Text in Markdown formatieren.
  3. klicken Speichern.

Fügen Sie Ihrem Dashboard weitere Widgets und Regionen hinzu

Fügen Sie Regionen und Widgets hinzu und ordnen Sie deren Platzierung auf Ihren Dashboards an.

  1. Klicken Sie auf Dashboard-Komponenten, wie z. B. eine Region oder Widgets, und ziehen Sie sie vom unteren Seitenrand in den Arbeitsbereich.
  2. Um Dashboard-Komponenten anzuordnen, klicken Sie auf den Rand einer Region oder eines Widget und ziehen Sie sie, um deren Größe zu ändern. Wenn sich Dashboard-Komponenten überschneiden, werden sie rot umrandet. Sie müssen die Seiten der Widgets und Regionen anklicken und ziehen, um Platz zu schaffen.
  3. Optional: klicken Überflüssigen Speicherplatz entfernen um den leeren vertikalen weißen Bereich um Widgets zu entfernen. Leerer vertikaler Leerraum wird aus allen Bereichen des Dashboard entfernt.
  4. Nachdem Sie Ihre Änderungen vorgenommen haben, klicken Sie Layoutmodus verlassen.
    Hinweis:Wenn eine Fehlermeldung angezeigt wird, nimmt ein anderer Benutzer möglicherweise Änderungen vor. Es hat sich bewährt, dass jeder ExtraHop-Benutzer über ein eigenes Konto verfügt.

Nächste Maßnahme

Jetzt, da Ihr Dashboard fertig ist, können Sie die folgenden Schritte ausführen:

Tipps zur Bearbeitung von Diagrammen

Die folgenden Tipps helfen Ihnen bei der Erstellung eines Diagramms bei der Suche nach Metriken und deren Auswahl.

  • Filtern Sie die Suchergebnisse nach einem bestimmten Quelltyp oder Protokoll, indem Sie auf Beliebiger Typ oder Beliebiges Protokoll unter den Suchfeldern.
  • Sie können nur denselben Quelltyp auswählen, der derzeit in Ihrem Metriksatz enthalten ist. Ein Metriksatz enthält einen Quelltyp und Metriken. Wenn Sie beispielsweise die Anwendung „Alle Aktivitäten" als Quelle auswählen, können Sie diesem Metriksatz nur weitere Anwendungen hinzufügen.
  • Erstellen Sie eine Ad-hoc-Gruppe mit mehr als einer Quelle in Ihrem Diagramm, indem Sie Quellen kombinieren. Sie können beispielsweise zwei Anwendungen kombinieren und dann einen einzelnen Metrikwert im Diagramm für diese beiden Anwendungen anzeigen.
  • Wenn Sie eine Gerätegruppe als Quelle auswählen, können Sie Aufschlüsselung nach Gruppenmitglied um einzelne Metriken für bis zu 20 Geräte innerhalb der Gruppe anzuzeigen.

Erstellen Sie ein Dashboard mit dynamischen Quellen

Sie können ein Dashboard mit dynamischen Quellen erstellen, damit Benutzer die Quelle des Dashboard jederzeit ändern können. Wenn Sie eine große Anzahl von Dashboards erstellt haben , die alle dieselben Metriken, aber unterschiedliche Quellen haben, sollten Sie erwägen, diese Dashboards durch ein einzelnes Dashboard mit dynamischen Quelle zu ersetzen.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Wählen Sie im Dashboard-Dock ein Dashboard aus, das Sie bearbeiten möchten.
  4. Stellen Sie die Quelle jedes Diagramms auf eine Quelltypvariable ein.
    1. Klicken Sie auf den Namen eines Diagramms und dann auf Bearbeiten.
    2. In der Quellen Feld, Typ $.
      Die Variablen des Quelltyps Liste wird angezeigt.
    3. Aus dem Variablen des Quelltyps Liste, wählen Sie den Quelltyp aus, den Sie ersetzen möchten. Wenn Sie beispielsweise eine Gerätequelle austauschen, wählen Sie $device.
  5. klicken Speichern.
    Am oberen Rand des Dashboard befindet sich der Quelltext ansehen Ein Drop-down-Menü wird angezeigt.
  6. Aus dem Quelltext ansehen Wählen Sie im Dropdownmenü die Quelle aus, für die Sie Kennzahlen anzeigen möchten.
    Wenn in den Dashboard-Diagrammen keine Daten angezeigt werden, versuchen Sie, die Seite zu aktualisieren.
Hinweis:Wenn Sie das dynamische Quellmenü in Ihrem Dashboard ausblenden möchten, fügen Sie den folgenden Parameter an das Ende der URL der Dashboard-Seite an: &hideTemplatePanel=true.

Vorher

Nach

Zum Beispiel:

https://eda/extrahop/#/Dashboard/XYFwM/?$device=16&from=30&interval_type=MIN&until=0&hideTemplatePanel=true

Nächste Maßnahme

Ein Dashboard kopieren

Wenn Sie ein nützliches Dashboard duplizieren möchten, können Sie ein Dashboard kopieren und dann Quellen ersetzen oder ändern, um andere Anwendung-, Gerät- oder Netzwerkdaten anzuzeigen. Sie können jeweils nur ein Dashboard kopieren.

Hinweis:Wenn Sie nur ein Dashboard kopieren möchten, damit Sie die Quelle im gesamten Dashboard ändern können, sollten Sie Folgendes in Betracht ziehen Erstellen eines Dashboard mit dynamischen Quellen anstatt mehrere Kopien eines einzelnen Dashboard zu erstellen.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Wählen Sie im Dashboard-Dock ein Dashboard aus, das Sie kopieren möchten.
  4. Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Dashboard-Seite.
  5. klicken Kopieren und führen Sie einen der folgenden Schritte aus:
    • klicken Quellen behalten um die ursprünglichen Datenkonfigurationen im neuen Dashboard beizubehalten.
      Hinweis:Wenn Sie ein Dashboard mit dynamischen Quellen kopieren, werden die ursprünglichen Datenkonfigurationen automatisch beibehalten.
    • klicken Quellen ändern, was Ihnen hilft, jede Region, jedes Diagramm und jedes Widget innerhalb des kopierten Dashboard sofort mit einer anderen Quelle zu aktualisieren und dann die folgenden Schritte durchzuführen:
      1. Im rechten Bereich des Quellen ändern Fenster, klicken Sie auf einen Quellnamen. Ein Suchfeld öffnet sich.
      2. Geben Sie den Namen einer neuen Quelle ein und wählen Sie dann die Quelle aus der Dropdownliste aus. Wiederholen Sie diesen Schritt, wenn das Dashboard mehr als eine Quelle enthält, die Sie ersetzen möchten.
      3. klicken Dashboard erstellen.
    Ein kopiertes Dashboard mit einer geänderten Version des Originaltitels wird erstellt.
  6. Gehen Sie wie folgt vor, um das kopierte Dashboard umzubenennen:
    1. Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke und auf der Seite.
    2. Wählen Dashboard-Eigenschaften.
    3. Geben Sie im Feld Titel einen neuen Namen ein.
    4. klicken Speichern.

Ein Dashboard-Layout bearbeiten

Versetzen Sie Ihr Dashboard in den Modus „Layout bearbeiten", um Widgets und Bereiche in Ihrem Dashboard-Layout hinzuzufügen, zu löschen oder neu anzuordnen. Sie können Widgets oder Regionen nur hinzufügen oder löschen, wenn sich das Dashboard im Modus „Layout bearbeiten" befindet.

Wenn Sie ein neues Dashboard erstellen, wird das Dashboard automatisch in den Layoutbearbeitungsmodus versetzt. Gehen Sie wie folgt vor, um das Layout eines vorhandenen Dashboard zu bearbeiten:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Wählen Sie im Dashboard-Dock ein Dashboard aus, das Sie bearbeiten möchten.
  4. Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite, und wählen Sie dann Layout bearbeiten.
  5. Wählen Sie im Modus „Layout bearbeiten" aus den folgenden Optionen:
    Widgets und Regionen hinzufügen

    Klicken und ziehen Sie ein Widget oder eine Region vom unteren Rand der Seite und platzieren Sie sie auf dem Dashboard.

    Widgets sind konfigurierbare Dashboard-Komponenten, die die folgenden Funktionen bieten:

    Diagramm : Fügen Sie Metriken hinzu und wählen Sie Diagrammtypen aus, um Daten zu visualisieren

    Textfeld : Fügen Sie Ihrem Dashboard Erklärungen, Links und Bilder hinzu

    Alerts : scannt bis zu 40 aktuelle Warnmeldungen, sortiert nach Schweregrad

    Aktivitätsgruppe: Geräte überwachen, die im ExtraHop-System automatisch nach Protokollaktivitäten gruppiert sind

    Regionen enthalten Widgets und gruppieren sie logisch. Klicken Sie auf Widgets und ziehen Sie sie in eine Region. Die Breite einer Region kann maximal sechs Widgets enthalten. Die Länge einer Region und eines Dashboard ist unbegrenzt.

    Widgets und Regionen löschen
    Um eine Region zu löschen, klicken Sie auf Löschen in der Kopfzeile der Region. Um ein Widget zu löschen, klicken Sie auf den Titel und wählen Sie dann Löschen aus dem Drop-down-Menü.
    Ordnen Sie die Platzierung von Widgets und Regionen an

    Klicken Sie auf die Kopfzeile einer Region oder eines Widget, um sie an eine andere Position zu ziehen. Klicken und ziehen Sie den Rand einer Region oder eines Widget, um deren Größe zu ändern.

    Wenn sich Dashboard-Komponenten überschneiden, werden sie rot umrandet. Sie müssen die Seiten der Widgets und Regionen anklicken und ziehen, um Platz zu schaffen.

    Diagramme duplizieren
    klicken Duplizieren um eine Kopie eines Diagramms oder Textfeldes in derselben Region zu erstellen.
  6. Optional: klicken Überflüssigen Speicherplatz entfernen um den leeren vertikalen weißen Bereich um Widgets zu entfernen. Leere vertikale Leerräume werden aus allen Bereichen Region Dashboard entfernt.
  7. klicken Layoutmodus verlassen in der oberen rechten Ecke der Seite, um Ihre Änderungen zu speichern.
    Hinweis:Wenn eine Fehlermeldung angezeigt wird, nimmt ein anderer Benutzer möglicherweise Änderungen vor. Es hat sich bewährt, dass jeder ExtraHop-Benutzer über ein eigenes Konto verfügt.

Ein Diagramm mit dem Metric Explorer bearbeiten

Der Metric Explorer ist ein Tool zum Erstellen und Bearbeiten von Diagrammen, mit dem Sie dynamische Visualisierungen des Gerät- und Netzwerkverhaltens erstellen können.

Sie müssen ein persönliches Schreiben haben Privilegien oder höher und NPM-Modulzugriff zum Erstellen und Bearbeiten von Diagrammen in einem Dashboard.
Video:Sehen Sie sich die entsprechende Schulung an: Eine Metrik auswählen

Erstellen und bearbeiten Sie ein Basisdiagramm

Mit dem Metric Explorer können Sie Diagrammkomponenten wie Quellen, Metriken und Datenberechnungen bearbeiten und dann eine Vorschau anzeigen, wie Metrikdaten in verschiedenen Diagrammtypen angezeigt werden. Wenn Sie mit Ihrer Auswahl zufrieden sind, speichern Sie Ihr Diagramm in einem Dashboard.

Die folgenden Schritte zeigen Ihnen den grundlegenden Arbeitsablauf und die Mindestanforderungen für das Ausfüllen eines neuen Diagramms.

  1. klicken Quelle hinzufügen und wählen Sie dann eine Quelle aus.
    • Sie können eine statische Quelle für das Diagramm auswählen, indem Sie den Namen einer Anwendung, eines Gerät oder eines Netzwerk eingeben.
    • Sie können auch eine dynamische Quelle auswählen, die von Dashboard-Viewern dynamisch geändert werden kann, indem Sie Folgendes eingeben $ und Auswahl einer Variablen aus dem Quelltyp: Variable Liste. Weitere Informationen zu Quelltypvariablen und Dashboard-Vorlagen finden Sie unter Erstellen Sie ein Dashboard mit dynamischen Quellen.
  2. Wählen Sie die Quelle aus der Ergebnisliste aus.
  3. Geben Sie im Feld Metriken ein Protokoll und einen Metriknamen ein. Wählen Sie dann die Metrik aus der Ergebnisliste aus, wie in der folgenden Abbildung dargestellt.
  4. Wählen Sie unten im Metric Explorer ein Diagramm aus, wie in der folgenden Abbildung dargestellt.
  5. Optional: Klicken Sie auf den Dropdown-Link unter dem Metriknamen, um eine Zählung oder Rate anzeigen oder Perzentil.
  6. Führen Sie einen der folgenden Schritte aus:
    • klicken Speichern beim Erstellen oder Bearbeiten eines Diagramms von einem Dashboard aus. Ihr Dashboard wird mit Ihrem Basisdiagramm aktualisiert.
    • klicken Zum Dashboard hinzufügen wenn Sie ein Diagramm von einer Protokollseite aus erstellen oder bearbeiten. Wählen Sie dann ein vorhandenes Dashboard aus der Liste aus, oder wählen Sie Dashboard erstellen.

Konfigurieren Sie erweiterte Optionen für die Datenanalyse und Diagrammanpassung

Abhängig von den ausgewählten Metriken und dem ausgewählten Diagrammtyp können Sie erweiterte Optionen für die Erstellung anspruchsvoller Visualisierungen mit dem Metric Explorer konfigurieren, wie in der folgenden Abbildung dargestellt.

Sehen Sie sich Metrik Daten und Quellen genauer an, um Details anzuzeigen
Im Abschnitt „ Details" auf der Registerkarte „Metriken" können Sie Drilldown zur Anzeige detaillierter Metriken oder Drilldown zu einer Gerätegruppe um einzelne Geräte innerhalb des Diagramms anzuzeigen. Sie können auch Detailmetriken nach exakten Übereinstimmungen filtern oder eine erstellen Regex-Filter .
Fügen Sie auf der Registerkarte Analyse eine Basis- oder Schwellenwertlinie hinzu
Du eine Dynamische Basislinie hinzufügen oder statische Schwellenwertlinie zu deinem Diagramm. Basislinien werden berechnet, nachdem das Diagramm gespeichert wurde. Um eine Linie anzuzeigen, die einen Schwellenwert darstellt, z. B. einen SLA-Wert (Service Level Agreement), fügen Sie Ihrem Diagramm eine statische Schwellenwertlinie hinzu.
Legendenbeschriftungen und den Diagrammtitel umbenennen
Bei Diagrammen, in denen eine Legende angezeigt wird, können Sie einen Metriknamen in der Diagrammlegende mit einem ändern benutzerdefiniertes Etikett. Klicken Sie im Metric Explorer im Vorschaufenster auf die Bezeichnung und wählen Sie dann Umbenennen. Um ein Diagramm umzubenennen, klicken Sie auf den Diagrammtitel und wählen Umbenennen.
Passen Sie Ihr Diagramm auf der Registerkarte Optionen an
Sie können auf die folgenden Optionen zugreifen, um die Diagrammeigenschaften und die Anzeige von Metrikdaten in Ihrem Diagramm anzupassen:
  • Metrik Daten von Byte in Bits umwandeln
  • Metrik Daten von Basis 2 (Ki=1024) nach Basis 10 (K = 1000) konvertieren
  • Ändern Sie die Y-Achse in einem Zeitreihendiagramm von einer linearen auf eine logarithmische Skala
  • Metrikwerte in einem Diagramm abkürzen (z. B. 16.130.542 Byte auf 16,1 MB abkürzen)
  • Sortieren von Metrikdaten in aufsteigender oder absteigender Reihenfolge in einem Balken-, Listen- oder Wertediagramm
  • Ändern der Perzentilgenauigkeit in einem Tortendiagramm
  • Eine Diagrammlegende ein- oder ausblenden
  • Blenden Sie inaktive Metriken mit einem Wert von Null aus, sodass diese Metriken im Diagramm nicht sichtbar sind, einschließlich der Legende und der Bezeichnung
  • Sparkline in eine Liste oder ein Wertdiagramm einbeziehen
  • Den Warnstatus für Daten anzeigen, die in Listen- oder Wertediagrammen angezeigt werden (weitere Informationen finden Sie unter Warnmeldungen)
  • Schalten Sie die Farbanzeige für Metrik Daten auf Graustufen um (mit Ausnahme von Diagrammen , die einen Warnstatus anzeigen)
  • Zeigen Sie für IP-Adressbezeichnungen den Hostnamen (falls er anhand des DNS-Verkehrs in wire data erkannt wird) oder die Quell-IP-Adresse (wenn ein Proxy anhand von wire data erkannt wird) an
  • Zeigt die relative Zeit für ein Ablaufdatum an, z. B. die Anzahl der Tage, bis ein SSL-Zertifikat abläuft.
Hinweis:Einige Optionen sind nur für bestimmte Diagrammtypen verfügbar. Beispielsweise wird die Option, eine Sparkline einzubeziehen, nur auf der Registerkarte Optionen für Listen- und Wertediagramme angezeigt.
Erstellen Sie eine Ad-hoc-Gruppe, um Daten aus mehreren Quellen zu kombinieren
Auf der Registerkarte Metrik können Sie eine Ad-hoc-Gruppe mit mehreren Quellen innerhalb eines Sets erstellen, indem Sie Quellen kombinieren. Sie können beispielsweise zwei Anwendungen kombinieren und dann einen einzelnen Metrikwert im Diagramm für diese beiden Anwendungen anzeigen.

Nächste Maßnahme

Üben Sie das Erstellen von Diagrammen, indem Sie die folgenden exemplarischen Vorgehensweisen ausführen:

Filter für reguläre Ausdrücke

Filtern Sie Ihre Suchergebnisse, indem Sie reguläre Ausdrücke (Regex) in bestimmte Suchfelder im gesamten ExtraHop-System schreiben. Sie können beispielsweise nach Parametern in einem Detail-Metrik Metrikschlüssel filtern, z. B. nach einer Zahl innerhalb einer IP-Adresse. Sie können auch filtern, indem Sie bestimmte Schlüssel oder eine Kombination von Schlüsseln aus Diagrammen ausschließen.

Regex-fähige Suchfelder verfügen im gesamten System über visuelle Indikatoren und akzeptieren die Standardsyntax.
Suchfelder mit einem Sternchen
Klicken Sie auf das Sternchen, um Regex-Strings zu aktivieren.

Dieser Feldtyp ist auf den folgenden Systemseiten verfügbar:
  • Eine Tabelle mit Geräten filtern
  • Filterkriterien für eine dynamische Gerätegruppe erstellen
Bestimmte Suchfelder mit einem Dreifeld-Operator
Klicken Sie auf das Operator-Dropdown-Menü, um die Regex-Option auszuwählen.

Dieser Feldtyp ist auf der folgenden Systemseite verfügbar:
  • Bearbeiten eines Diagramms im Metric Explorer
Bestimmte Suchfelder mit einem Tooltip
Bewegen Sie den Mauszeiger über den Tooltip im Feld, um zu sehen, wann Regex erforderlich ist.

Dieser Feldtyp ist auf der folgenden Systemseite verfügbar:
  • Hinzufügen von Datensatzbeziehungen zu einer benutzerdefinierten Metrik

Die folgende Tabelle enthält Beispiele für die Standard-Regex-Syntax.

Chart-Szenario Regex-Filter So funktionierts
HTTP-Statuscodes vergleichen 200 zu 404. (200|404) Das vertikale Balkensymbol (|) ist der OR-Operator. Dieser Filter passt 200, oder 404, oder beide Statuscodes.
Zeigt einen beliebigen HTTP-Statuscode an, der eine enthält 4. [41] Eckige Klammern ([und]) kennzeichnen einen Zeichenbereich. Der Filter sucht nach jedem Zeichen innerhalb der Klammern, unabhängig von der Reihenfolge. Dieser Filter entspricht jedem Wert, der eine enthält 4 oder ein 1. Dieser Filter kann beispielsweise zurückgeben 204, 400, 101, oder 201 Statuscodes.
Alle anzeigen 500HTTP-Statuscodes auf -Ebene. ^ [5] Das Caret-Zeichen (^) außerhalb der eckigen Klammern ([und]) bedeutet „beginnt mit". Dieser Filter entspricht jedem Wert, der mit a beginnt 5. Dieser Filter kann beispielsweise zurückgeben 500 und 502 Statuscodes.
Alle anzeigen 400 und 500 HTTP-Statuscodes auf -Ebene. ^ [45] Mehrere Werte in eckigen Klammern ([und]) werden einzeln gesucht, auch wenn ihnen das Caret-Symbol (^) vorangestellt ist. Dieser Filter sucht nicht nach Werten, die beginnen mit 45, entspricht aber allen Werten, die mit a beginnen 4 oder 5. Dieser Filter kann beispielsweise zurückgeben 400, 403, und 500 Statuscodes.
Zeigt alle HTTP-Statuscodes an, außer 200 Statuscodes auf -Ebene. ^ (?! 2) Ein Fragezeichen (? ) und Ausrufezeichen (! ) in Klammern geben einen auszuschließenden Wert an. Dieser Filter entspricht allen Werten außer Werten, die mit a beginnen 2. Dieser Filter kann beispielsweise zurückgeben 400, 500, und 302 Statuscodes.
Zeigen Sie eine beliebige IP-Adresse mit einem 187. 187. Spiele 1, 8, und 7 Zeichen in der IP-Adresse. Dieser Filter gibt keine IP-Adressen zurück, die auf 187 enden, da der letzte Zeitraum angibt, dass hinter den Werten etwas stehen muss. Wenn Sie den Punkt als Literalwert durchsuchen möchten, müssen Sie ihm einen umgekehrten Schrägstrich ( \) voranstellen.
Überprüfen Sie alle IP-Adressen, die 187.18. 187\ ,18. Spiele 187.18 und alles, was folgt. Der erste Punkt wird wörtlich behandelt, da ihm ein umgekehrter Schrägstrich (\) vorangestellt ist. Die zweite Periode wird als Platzhalter behandelt. Dieser Filter gibt beispielsweise Ergebnisse für 187.18.0.0, 180.187.0.0, oder 187.180.0.0/16. Dieser Filter gibt keine Adresse zurück, die endet mit 187.18, weil der Platzhalter erfordert, dass Zeichen den angegebenen Werten folgen.
Zeigen Sie eine beliebige IP-Adresse an, außer 187.18.197.150. ^ (?! 187\ .18\ .197\ .150) Passt zu allem außer 187.18.197.150, wo ^(?!) gibt den auszuschließenden Wert an.
Schließt eine Liste bestimmter IP-Adressen aus. ^(?!187\.18\.197\.15[012]) Passt zu allem außer 187.18.197.150, 187.18.197.151, und 187.18.197.152, wo ^(?!) gibt den auszuschließenden Wert an und die eckigen Klammern ([und]) geben mehrere Werte an.
Zusätzliche Filter

Wenn du eine benutzerdefinierte Detail-Metrik erstellen im Metrikkatalog können Sie dem Suchfeld Zusätzliche Filter im Bereich Datensatzbeziehungen erweiterte Regex-Syntax hinzufügen.

Der Tooltip wird angezeigt, nachdem Sie ausgewählt haben Detail: Metrik und ist nicht verfügbar, wenn Basismetrik ist ausgewählt.

Die Regex-Syntax in diesem Feld muss die folgenden Anforderungen erfüllen:
  • Wenn Ihr Schlüssel mehrere Werte enthält, muss Ihre Regex-Syntax eine einzelne Capture-Gruppe enthalten. Eine Capture-Gruppe wird durch Klammern gekennzeichnet. Ihre Erfassungsgruppe bestimmt den Filterwert.

  • Wenn Sie einen bestimmten Wert aus einem Detail-Metrik Metrikschlüssel zurückgeben möchten, der mehrere Datensatzfeldwerte enthält, muss die Regex der folgenden Syntax folgen:

    $SCHLÜSSEL:/ <regex> /

    Wenn Ihr Detail-Metrik Metrikschlüssel beispielsweise ipaddr:host:cipher lautet und Sie nur den IP-Adresswert zurückgeben möchten, würden Sie Folgendes eingeben:

    $SCHLÜSSEL: /^ ([^:] +): . +/

  • Wenn Ihr Schlüssel mehrere Datensatzfeldwerte enthält, werden die Werte durch ein Trennzeichen getrennt, das in dem Auslöser angegeben ist, der den Schlüssel generiert. Die Platzierung der Trennzeichen in Ihrer Regex-Syntax muss mit den Trennzeichen im Detailschlüssel übereinstimmen. Wenn Sie beispielsweise einen Schlüssel mit drei Werten haben, die durch ein Trennzeichen getrennt sind, das ein Doppelpunkt ist, müssen die drei Werte für den Schlüssel in Ihrer Regex-Syntax durch zwei Doppelpunkte getrennt werden.
Hinweis:Wenn Sie alle Datensatzfeldwerte in einem detaillierten Metrikschlüssel zurückgeben möchten, geben Sie ein $-SCHLÜSSEL. Wenn Ihr Detail-Metrik Metrikschlüssel beispielsweise ipaddr:host:cipher lautet, geben Sie ein $-SCHLÜSSEL im Suchfeld , um alle drei dieser Felddatensatzwerte (IP-Adresse, Hostname und SSL-Verschlüsselungssuite) zurückzugeben.

Ein Textfeld-Widget bearbeiten

Wenn Sie erläuternden Text neben Ihren Dashboard-Diagrammen einfügen oder ein Firmenlogo in Ihrem Dashboard anzeigen möchten, können Sie ein Textfeld-Widget bearbeiten. Mit dem Textfeld-Widget können Sie Text, Links, Bilder oder Beispielmetriken in Ihrem Dashboard anzeigen.

Video:Sehen Sie sich die entsprechende Schulung an: Kontext mit Textfeld-Widgets bereitstellen

Das Textfeld-Widget unterstützt Markdown, eine einfache Formatierungssyntax, die einfachen Text in HTML mit nicht alphabetischen Zeichen wie „#" oder „*" konvertiert. Neue Textfeld-Widgets enthalten Markdown-Beispiele. Jedes Mal wird automatisch ein Textfeld-Widget bereitgestellt ein Dashboard erstellen. Du kannst auch fügen Sie Ihrem Dashboard-Layout ein Textfeld-Widget Widget.

Gehen Sie wie folgt vor, um ein vorhandenes Textfeld-Widget zu bearbeiten:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Wählen Sie im Dashboard-Dock ein Dashboard aus, das das Textfeld enthält, das Sie bearbeiten möchten.
  4. Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke und wähle Layout bearbeiten.
  5. Klicken Sie auf das Textfeld.
  6. Geben Sie links Text ein und bearbeiten Sie ihn Redakteur Scheibe.
    Der HTML-Ausgabetext wird dynamisch rechts angezeigt Vorschau Scheibe. Mit Markdown können Sie die folgenden Arten von Inhalten formatieren:
  7. Klicken Sie Speichern um den Metric Explorer zu schließen.

Text in Markdown formatieren

Die folgende Tabelle zeigt gängige Markdown-Formate, die im Textfeld-Widget unterstützt werden.

Hinweis:Weitere Beispiele für das Markdown-Format finden Sie im GitHub-Anleitungen: Markdown beherrschen und in der CommonMark-Spezifikation .
Format Beschreibung Beispiel
Überschriften Platzieren Sie ein Nummernzeichen (#) und ein Leerzeichen vor Ihrem Text, um Überschriften zu formatieren. Die Ebene der Überschrift wird durch die Anzahl der Nummernzeichen bestimmt. #### Example H4 heading
Ungeordnete Listen Platzieren Sie ein einzelnes Sternchen (*) vor Ihrem Text. Wenn möglich, fügen Sie jedes Listenelement in eine separate Zeile ein. * First example

* Second example

Geordnete Listen Platzieren Sie für jeden Zeileneintrag eine Zahl 1 und einen Punkt (1.) vor Ihrem Text. Markdown erhöht automatisch die Listennummer. Wenn möglich, fügen Sie jedes Listenelement in eine separate Zeile ein. 1. First example

1. Second example

Mutig Platzieren Sie doppelte Sternchen vor und nach Ihrem Text. **bold text**
Kursivschrift Platzieren Sie einen Unterstrich vor und nach Ihrem Text. _italicized text_
Hyperlinks

Platzieren Sie den Linktext in Klammern vor der URL in Klammern. Oder geben Sie Ihre URL ein.

Links zu externen Websites werden in einem neuen Browser-Tab geöffnet. Links innerhalb des ExtraHop-Systems, wie z. B. Dashboards, werden im aktuellen Browser-Tab geöffnet.

[Visit our home page](https://www.extrahop.com)

https://www.extrahop.com

Anführungszeichen blockieren Platzieren Sie eine rechtwinklige Klammer und ein Leerzeichen vor Ihrem Text.

On the ExtraHop website:

> Access the live demo and review case studies.

Monospace-Schrift Platziere einen Backtick (`) vor und nach deinem Text. `example code block`
Emojis Kopieren Sie ein Emoji-Bild und fügen Sie es in das Textfeld ein. Sehen Sie die Unicode-Emoji-Diagramm Website für Bilder.

Die Markdown-Syntax unterstützt keine Emoji-Shortcodes.

 

Bilder in Markdown hinzufügen

Sie können dem Textfeld-Widget Bilder hinzufügen, indem Sie sie verlinken. Stellen Sie sicher, dass Ihr Bild in einem Netzwerk gehostet wird, auf das das ExtraHop-System zugreifen kann.

Links zu Bildern müssen im folgenden Format angegeben werden:

![<alt_text>](<file_path>)

Wo <alt_text> ist der alternative Text für den Bildnamen und <file_path> ist der Pfad des Bildes. Zum Beispiel:

![Graph](/images/graph_1.jpg)
Hinweis:Sie können Bilder auch hinzufügen, indem Sie sie mit Base64 codieren. Weitere Informationen finden Sie im folgenden Beitrag im ExtraHop-Forum:"Bilder in Textfelder einfügen."

Fügen Sie Metrikbeispiele in Markdown hinzu

Sie können eine Metrikabfrage schreiben, um einen Metrikwert in das Textfeld-Widget einzubeziehen. Um beispielsweise zu zeigen, wie viele Webserver einen 404-Fehler zurückgegeben haben, können Sie einem Satz eine Metrikabfrage hinzufügen und der Wert wird im Text aktualisiert.

Das folgende Beispiel zeigt das grundlegende Format für das Schreiben von Metrikabfragen:

%%metric:{
    "metric_category": "<metric_category>",
    "object_type": "<object_type>",
    "object_ids": [object_id],
    "metric_specs": [
        {
            "name": "<metric_spec>"
        }
    ]
}%%

Um das zu finden object_type, metric_spec, und metric_category Werte für eine Metrik, führen Sie die folgenden Schritte aus:

  1. klicken Einstellungen
  2. klicken Metrischer Katalog.
  3. Geben Sie den Metriknamen in das Suchfeld Feld.
  4. Wählen Sie die Metrik aus und notieren Sie sich die Werte für metric_category, object_type, und metric_spec in der REST-API-Parameter Abschnitt.
Die folgende Abbildung zeigt Werte für NFS-Server — TCP-Anfragen nach Client.

Um das zu finden object_id Führen Sie für ein Gerät, eine Gerätegruppe oder ein anderes Asset die folgenden Schritte aus:

  1. klicken Vermögenswerte, und klicken Sie dann im linken Bereich auf einen Asset-Typ.
  2. Klicken Sie auf den Namen des gewünschten Asset, und öffnen Sie dann das Eigenschaftenfenster.
  3. Notieren Sie sich den Wert, der für die REST-API-ID angezeigt wird.
Die folgende Abbildung zeigt die Eigenschaften für ein Gerät mit der ID 18697.

Nachdem Sie die Werte für die Metrik gefunden haben, die Sie anzeigen möchten, fügen Sie sie der Metrikabfrage im Texteditor hinzu. Der Wert wird im Text-Widget angezeigt.

Das folgende Beispiel-Markup zeigt die Anzahl der empfangenen TCP-Anfragen, aufgelistet nach Client-IP-Adresse, für einen NFS-Server mit der Objekt-ID 18697 an.

Hinweis:Die folgenden Metrikabfragen werden im Textfeld-Widget nicht unterstützt:
  • Zeitreihenabfragen
  • Mittelwertberechnungen
  • Mehrere object_ids
  • Mehrere metric_spec
  • Mehrere Perzentile
Beispiele für metrische Abfragen für das Textfeld-Widget

Die folgenden Beispiele zeigen Ihnen, wie Sie Metrikabfragen der obersten Ebene oder Basis für Anwendung-, Gerät- und Netzwerkobjekte schreiben. Sie können auch eine Abfrage für Detailmetriken schreiben.

Anwendungsmetriken

Um das Objekt All Activity zu spezifizieren, object_ids ist "0".

Diese Beispielabfrage zeigt, wie Sie HTTP-Metriken aus dem Anwendungsobjekt All Activity abrufen können, und zeigt die folgende Ausgabe an:"Getting [value] HTTP requests and [value] HTTP responses from All Activity."

Getting
%%metric:{
"object_type": "application",
"object_ids": [0],
"metric_category": "http",
"metric_specs": [{"name":"req"}]
}%%HTTP requests and
%%metric:{
"object_type": "application",
"object_ids": [0],
"metric_category": "http",
"metric_specs": [{"name":"rsp"}]
}%%
HTTP responses from All Activity.
Geräte-Metriken

Sie müssen entweder einen Client angeben ("_client") oder Server ("_server") in der metric_category. Um Metriken für ein bestimmtes Gerät abzurufen, geben Sie die Geräteobjekt-ID-Nummer in object_ids. Um die Geräteobjekt-ID abzurufen (deviceOid), suchen Sie in der globalen ExtraHop-Suche nach dem Geräteobjekt. Wählen Sie das Gerät aus Ihren Suchergebnissen aus. Das "deviceOid=" Der Wert wird in die URL-Abfragezeichenfolge eingebettet.

Diese Beispielabfrage zeigt, wie Metriken von einem Geräteclient-Objekt abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] CLIENT DNS response errors from a specific device."

Getting
%%metric:{"object_type": "device",
"object_ids": [8],
"metric_category": "dns_client",
"metric_specs": [{"name":"rsp_error"}]
}%%
CLIENT DNS response errors from a specific device.

Diese Beispielabfrage zeigt, wie Metriken von einem Geräteserverobjekt abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] SERVER DNS response errors from a specific device."

Getting
%%metric:{
"object_type": "device",
"object_ids": [156],
"metric_category": "dns_server",
"metric_specs": [{"name":"rsp_error"}]
}%%
SERVER DNS response errors from a specific device.
Netzwerk-Metriken

Um Alle Netzwerke anzugeben, object_type ist"capture" und die object_ids ist"0." Um ein bestimmtes VLAN anzugeben, object_type ist"vlan" und die object_ids ist die VLAN-Nummer.

Diese Beispielabfrage zeigt, wie Metriken für alle Netzwerke abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] broadcast packets from all networks."

Getting
%%metric:{
"object_type": "capture",
"object_ids": [0],
"metric_category": "net","metric_specs": [{"name":"frame_cast_broadcast_pkts"}]
}%%
broadcast packets from all networks.

Diese Beispielabfrage zeigt, wie Metriken für ein bestimmtes VLAN abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] broadcast packets from VLAN 3."

Getting
%%metric:{
"object_type": "vlan",
"object_ids": [3],
"metric_category": "net",
"metric_specs": [{"name":"frame_cast_broadcast_pkts"}]
}%%
broadcast packets from VLAN 3.
Kennzahlen für Gruppen

Um eine Gruppe anzugeben, object_type ist"device_group." Sie müssen entweder einen Client angeben ("_client") oder Server ("_server") in der metric_category. Die object_ids für die spezifische Gruppe muss aus dem REST API Explorer abgerufen werden.

Diese Beispielabfrage zeigt, wie Metriken für alle Netzwerke abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] HTTP responses from the HTTP Client Device Group."

Getting
%%metric:{
"object_type": "device_group",
"object_ids": [17],
"metric_category": "http_client",
"metric_specs": [{"name":"req"}]
}%%
HTTP responses from the HTTP Client Device Group.
Metriken im Detail

Wenn Sie Detailmetriken abrufen möchten, sollte Ihre Metrikabfrage zusätzliche Schlüsselparameter wie Schlüssel1 und Schlüssel2 enthalten:

  • Objekttyp
  • Objekt-IDs
  • metrik_kategorie
  • metrische Spezifikation
    • Name
    • Schlüssel 1
    • Schlüssel 2
Die Schlüsselparameter dienen als Filter für die Anzeige Detail-Metrik Ergebnisse. Für nicht benutzerdefinierte Detailmetriken können Sie Detail-Metrik Metrikparameter aus dem Metrikkatalog abrufen. Geben Sie beispielsweise HTTP-Antworten nach URI, und schauen Sie sich dann die Parameterwerte im Abschnitt REST-API-Parameter an.
Wichtig:Sie müssen die liefern object_ids in Ihrer Anfrage.

Dieses Beispiel zeigt, wie HTTP-Anfragen per URI für die All Activity-Anwendung abgerufen werden (object_ids ist"0"):

%%metric:{ 
"object_type": "application", 
"object_ids": [0],  
"metric_category": "http_uri_detail", 
"metric_specs": [{"name":"req"}] 
}%%

Diese Beispielabfrage zeigt Ihnen, wie Sie HTTP-Anfragen anhand von URIs abrufen, die einen Schlüsselwert für"pagead2" für die All Activity-Anwendung (object_ids ist"0"):

%%metric:{ 
"metric_category": "http_uri_detail", 
"object_type": "application",
"object_ids": [0], 
"metric_specs": [ 
{ 
"name": "req", 
"key1": "/pagead2/" 
} 
] 
}%%

Diese Beispielabfrage zeigt, wie Zählmetriken für alle Netzwerke abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] detail ICA metrics on all networks."

Getting
%%metric:{
"object_type": "capture",
"object_ids": [0],
"metric_category": "custom_detail",
"metric_specs": [{
"name":"custom_count",
"key1":"network-app-byte-detail-ICA"
}]
}%%
detail ICA metrics on all networks.

Diese Beispielabfrage zeigt, wie eine benutzerdefinierte Datensatzstatistik mit Topn-Schlüsseln und Perzentilen abgerufen wird, und zeigt die folgende Ausgabe an:"The fifth percentile is: [value]."

The fifth percentile is:
%%metric:{
"object_type": "vlan",
"object_ids": [1],
"metric_category": "custom_detail",
"metric_specs": [{
"name": "custom_dset",
"key1": "myCustomDatasetDetail",
"key2": "/10.10.7/",
"calc_type": "percentiles",
"percentiles": [5]
}]
}%%
.
Hinweis: Beispielsatz-Metriken werden im Textfeld-Widget nicht unterstützt. Zum Beispiel das Hinzufügen von "calc_type": "mean" Der Parameter für Ihre Textfeld-Abfrage wird nicht unterstützt.

Eine Dashboard-Region bearbeiten

Dashboard-Bereiche, die Diagramme und Widgets enthalten, sind hochgradig anpassbar. Bei der Arbeit mit Dashboards müssen Sie eine Region möglicherweise häufig ändern oder kopieren. Sie können einen Region nur löschen, seine Größe ändern oder neu anordnen, indem Sie das Dashboard-Layout bearbeiten.

Gehen Sie wie folgt vor, um grundlegende Eigenschaften einer Region in einem Dashboard zu bearbeiten:
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Wählen Sie im Dashboard-Dock ein Dashboard mit der Region aus, die Sie bearbeiten möchten.
  4. Klicken Sie auf die Kopfzeile der Region, um auf die folgenden Optionen zuzugreifen:
    Eine Region umbenennen
    Fügen Sie der Region einen benutzerdefinierten Namen hinzu.
    Quellen ändern
    Ersetzen Sie danach schnell die Datenquellen für jedes Diagramm in einer Region durch eine andere Quelle Diagramm kopieren, Region oder Dashboards.
    Eine Region kopieren
    Bewegen Sie den Mauszeiger darüber Kopieren nach... und treffen Sie eine der folgenden Auswahlen:
    • Wählen Sie den Namen eines vorhandenen Dashboard aus der Liste aus. Die Dashboard-Seite wird geöffnet und zeigt den Speicherort der kopierten Region an.
      Hinweis:Die Dashboard-Liste ist von den zuletzt erstellten Dashboards ( unten) bis zu den ältesten Dashboards ( oben) geordnet.
    • Wählen Dashboard erstellen. Geben Sie im Fenster Dashboard-Eigenschaften einen Namen für das neue Dashboard ein.
    Ändern Sie das Zeitintervall der Region
    Wenden Sie ein Zeitintervall an für die gesamte Region, indem Sie den Region Zeitselektor aktivieren.
    Vollbild
    Erweitern Sie den Inhalt der Region zu einer Vollbildanzeige.

Ändern Sie das Zeitintervall für eine Dashboard-Region

In einem Dashboard können Sie mit der Global Time Selector ein Zeitintervall auf ein ganzes Dashboard anwenden oder mit der Region Zeitselektor ein anderes Zeitintervall pro Region anwenden.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Wählen Sie ein Dashboard aus.
  4. Klicken Sie auf die Kopfzeile der Region und wählen Sie dann Region Time Selector verwenden.
  5. klicken Letzte 30 Minuten und führen Sie einen der folgenden Schritte aus:
    • Wählen Sie auf der Registerkarte Zeitintervall eine der folgenden Optionen aus:
      • Wählen Sie ein anderes Zeitintervall (z. B. Letzte 30 Minuten, Letzte 6 Stunden, Letzter Tag, oder Letzte Woche).
      • Geben Sie eine benutzerdefinierte Zeiteinheit an.
      • Wählen Sie einen benutzerdefinierten Zeitraum aus. Klicken Sie auf einen Tag, um das Startdatum für den Bereich anzugeben. Mit einem Klick wird ein einzelner Tag angegeben. Klicken Sie auf einen anderen Tag, um das Enddatum für den Bereich anzugeben.
      • Metrik Deltas vergleichen aus zwei verschiedenen Zeitintervallen.
    • Wählen Sie auf der Registerkarte Verlauf aus bis zu fünf aktuellen Zeitintervallen aus, die in einer vorherigen Anmeldesitzung ausgewählt wurden.
  6. klicken Speichern um den Region Zeitselektor zu schließen.
    Das neue Zeitintervall wird auf alle Diagramme und Widgets innerhalb der Region angewendet.
  7. Um das Zeitintervall für die Region zu entfernen, klicken Sie auf die Überschrift der Region und wählen Sie Verwenden Sie Global Zeitselektor.
    Wenn das Zeitintervall aus dem Region-Header verschwindet, wird das globale Zeitintervall auf die Region angewendet.

Dashboard-Eigenschaften bearbeiten

Um ein Dashboard umzubenennen, das Design zu ändern oder die URL zu ändern, müssen Sie die Dashboard-Eigenschaften bearbeiten. Wenn Sie ein Dashboard erstellen, haben Sie die Möglichkeit, Dashboard-Eigenschaften anzugeben. Sie können die Dashboard-Eigenschaften jedoch jederzeit ändern.

Sie können jeweils nur die Eigenschaften für ein Dashboard ändern. Sie können Dashboards nicht mehrfach auswählen und eine Eigenschaft ändern, z. B. den Dashboard-Autor.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Dashboards.
  3. Wählen Sie im Dashboard-Dock das Dashboard aus, das Sie bearbeiten möchten.
  4. Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite und wählen Sie dann Eigenschaften des Dashboards.
  5. In der Eigenschaften des Dashboards In diesem Fenster können Sie die folgenden Felder ändern:
    Titel
    Benennen Sie das Dashboard um.
    Autor
    Ändern Sie den Namen des Autors.
    Beschreibung
    Ändern Sie die Beschreibung des Dashboard. Beachten Sie, dass die Beschreibung nur angezeigt wird , wenn Sie die Dashboard-Eigenschaften bearbeiten.
    Permalink
    Ändern Sie die URL für das Dashboard. Standardmäßig ist der Permalink, auch Kurzcode genannt, ein fünfstelliger eindeutiger Bezeichner, der danach angezeigt wird /Dashboard in der URL. Sie können den Permalink in einen benutzerfreundlicheren Namen ändern.
    Hinweis:Der Permalink kann aus bis zu 100 Zeichen bestehen, die Buchstaben, Zahlen und die folgenden Symbole kombinieren: Punkt (.), Unterstrich (_), Bindestrich (-), Pluszeichen (+), Klammern () und Klammern ([]). Andere alphanumerische Zeichen werden nicht unterstützt. Der Permalink darf keine Leerzeichen enthalten.
    Teilen
    Um ein Dashboard mit Benutzern zu teilen, die es anzeigen und bearbeiten können, klicken Sie auf den Link. Weitere Informationen finden Sie unter Ein Dashboard teilen.
    Redakteure
    Sehen Sie sich die Liste der ExtraHop-Benutzer mit Bearbeitungszugriff auf das Dashboard an. Um die Benutzer zu ändern, klicken Sie auf Teilen.
  6. klicken Speichern.

Präsentieren Sie ein Dashboard

Sie können Ihr Dashboard so einrichten, dass es für Präsentationen oder für die Bildschirme Ihres Netzwerk Operation Centers im Vollbildmodus angezeigt wird.

Der Vollbildmodus bietet die folgenden Anzeigeoptionen:

  • Im Präsentationsmodus können Sie das gesamte Dashboard anzeigen und mit ihm interagieren.
  • Sie können einen kontinuierlichen Zyklus jedes Diagramms im Dashboard in einer Widget-Diashow anzeigen.
  • Sie können eine ansehen einzelne Region in der Vollbildanzeige.

Gehen Sie wie folgt vor, um ein ganzes Dashboard im Vollbildmodus anzuzeigen:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Wählen Sie im Dashboard-Dock das Dashboard aus, das Sie präsentieren möchten.
  4. Klicken Sie in der oberen rechten Ecke der Seite auf das Befehlsmenü und wählen Sie eine der folgenden Optionen:
    Präsentationsmodus
    Das Dashboard-Dock und die oberen Navigationsmenüs werden zusammengeklappt. Im Präsentationsmodus können Sie mit den Komponenten Zeitintervall und Dashboard interagieren.
    Widget-Diashow
    Ein kontinuierlicher Zyklus von Diagrammen und Widgets in der Vollbildanzeige beginnt. Wählen Sie aus, wie lange jedes Widget angezeigt werden soll ( z. B. 20 Sekunden, 15 Sekundenusw.). Klicken Sie auf x Symbol in der oberen rechten Ecke des Bildschirms, um zum Dashboard zurückzukehren.
    Hinweis:Um ein Dashboard im Präsentationsmodus zu öffnen, fügen Sie hinzu /presentation an das Ende der URL und dann bookmarken . Zum Beispiel:

    https://<extrahop_ip>/extrahop/#/Dashboard/437/presentation

Ein Dashboard teilen

Standardmäßig sind alle benutzerdefinierten Dashboards, die Sie erstellen, privat, was bedeutet, dass keine ExtraHop-Benutzer Ihr Dashboard anzeigen oder bearbeiten können. Sie können Ihr Dashboard jedoch teilen, indem Sie anderen ExtraHop-Benutzern und -Gruppen Ansichts- oder Bearbeitungszugriff gewähren.

Hier sind einige wichtige Überlegungen zum Teilen von Dashboards:

  • Wie ein Benutzer mit einem gemeinsam genutzten Dashboard interagiert und welche Informationen er im ExtraHop-System einsehen kann, hängt von den Benutzerrechten ab. Sie können zum Beispiel einen Benutzer mit eingeschränktem Nur-Lese-Recht hinzufügen, wodurch dieser Benutzer nur die Dashboards sehen kann, die Sie mit ihm im ExtraHop-System teilen. Weitere Informationen finden Sie in der Benutzerrechte Abschnitt im ExtraHop-Administratorhandbuch.
  • Wenn Sie einem Benutzer die Bearbeitungsberechtigung gewähren, kann dieser Benutzer das Dashboard ändern und mit anderen teilen und es einer Sammlung hinzufügen. Andere Benutzer können das Dashboard jedoch nicht löschen. Nur der Dashboard-Besitzer kann ein Dashboard löschen.
  • Gruppeninformationen werden aus LDAP (wie OpenLDAP oder Active Directory) in das ExtraHop-System importiert. Benutzerinformationen sind verfügbar, nachdem sich ein ExtraHop-Benutzer bei seinem Konto angemeldet hat.
  • Um ein Dashboard mit einem Nicht-ExtraHop-Benutzer zu teilen, können Sie eine PDF-Datei des Dashboard erstellen.
  • Du kannst einen geplanten Dashboard-Bericht erstellen, das die PDF-Datei des Dashboard regelmäßig an jeden E-Mail-Empfänger sendet. (Nur Konsolen.)
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Wählen Sie im Dashboard-Dock ein Dashboard aus, das Sie teilen möchten.
    Sie können keine System-Dashboards oder Dashboards teilen, für die Sie keinen Bearbeitungszugriff haben.
  4. Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Dashboard-Seite und wählen Sie Teilen.
  5. Um jedem Benutzer die Leseberechtigung zu gewähren, wählen Sie Allen Benutzern erlauben, dieses Dashboard zu sehen.
  6. Gehen Sie wie folgt vor, um bestimmten Benutzern und Gruppen Anzeige- oder Bearbeitungsberechtigungen zu erteilen:
    1. Geben Sie den Namen eines Benutzers oder einer Gruppe ein, und wählen Sie dann den Namen aus der Dropdownliste aus.
    2. Wählen Sie neben dem Namen Kann ansehen oder wählen Kann bearbeiten.
  7. klicken Speichern.
    Wenn du dein Dashboard geteilt hast, erscheint ein kleines graues Symbol neben deinem Dashboard im Dock.

Zugriff auf ein Dashboard entfernen

Sie können den Dashboard-Zugriff, den Sie Benutzern und Gruppen gewährt haben, entfernen oder ändern.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Wählen Sie im Dashboard-Dock das benutzerdefinierte Dashboard aus, das Sie ändern möchten.
  4. Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite und wählen Teilen.
  5. Entfernen Sie den Zugriff für Benutzer oder Gruppen, indem Sie einen der folgenden Schritte ausführen:
    • Entfernen Sie den gesamten Zugriff für einen Benutzer oder eine Gruppe, indem Sie auf das rote Löschen klicken (x) Symbol neben dem Benutzer- oder Gruppennamen.
    • Entfernen Sie den Bearbeitungszugriff, indem Sie Kann ansehen aus der Dropdownliste neben dem Benutzer- oder Gruppennamen.
  6. klicken Speichern.

Eine Dashboard-Sammlung erstellen

Sie können eine Sammlung erstellen, um Dashboards zu organisieren, die Ihnen gehören und die mit Ihnen geteilt wurden.

Im Folgenden finden Sie einige wichtige Überlegungen zu Dashboard-Sammlungen:

  • Ihr Benutzerrechte bestimmen Sie , ob Sie Sammlungen erstellen und teilen können.
  • Sie können einer Sammlung jedes Dashboard hinzufügen, das Ihnen gehört oder das Sie anzeigen oder bearbeiten dürfen.
  • Sie können ein Dashboard zu mehreren Sammlungen hinzufügen.
  • Sie können eine Sammlung teilen, wenn Sie Eigentümer aller Dashboards in dieser Sammlung sind oder über Bearbeitungsberechtigungen verfügen.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Dashboards.
  3. klicken Sammlungen oben im Dashboard-Dock und dann klicken Sammlung erstellen am unteren Rand des Docks.
  4. In der Name Feld, geben Sie einen eindeutigen Namen für die Sammlung ein.
  5. Optional: In der Beschreibung Feld, füge Informationen über die Sammlung hinzu.
  6. Optional: Geben Sie den Namen eines Benutzers oder einer Gruppe in das Teilen Dropdownliste, wählen Sie aus den Suchergebnissen aus, und klicken Sie dann auf Hinzufügen.
  7. Geben Sie den Namen eines Dashboard in das Inhalt Drop-down-Liste und wählen Sie dann aus den Suchergebnissen aus.
    Der Name des Besitzers wird für jedes hinzugefügte Dashboard angezeigt.
    Hinweis:Das Dashboard oben in der Liste wird standardmäßig angezeigt, wenn die Sammlung im Dashboard-Dock ausgewählt wird. Klicken Sie auf das Symbol neben einem Dashboard-Namen und ziehen Sie es, um die Liste neu zu ordnen.

  8. klicken Speichern.
    Die Sammlung wird dem Dashboard-Dock hinzugefügt.

Eine Dashboard-Sammlung teilen

Standardmäßig sind alle Dashboard-Sammlungen privat, was bedeutet, dass keine anderen Benutzer Ihre Sammlung ansehen oder bearbeiten können. Sie können Ihre Sammlung jedoch mit anderen Benutzern und Gruppen teilen.

Hier sind einige wichtige Überlegungen zum Teilen von Dashboard-Sammlungen:

  • Sie können eine Sammlung nur teilen, wenn Sie Eigentümer aller Dashboards in der Sammlung sind oder die Berechtigung haben, sie zu bearbeiten.
  • Benutzer können nur die Dashboards in einer geteilten Sammlung anzeigen; sie können keine Sammlungseigenschaften bearbeiten.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. klicken Sammlungen oben im Armaturenbrett-Dock.
  4. Klicken Sie auf die Sammlung, die Sie teilen möchten, und klicken Sie dann auf Bearbeiten.
  5. Geben Sie den Namen eines Benutzers oder einer Gruppe in das Teilen Drop-down-Liste und wählen Sie dann aus den Suchergebnissen aus.
  6. klicken Hinzufügen.
    Der Benutzer oder die Gruppe wird in einer Liste von gemeinsam genutzten Benutzern angezeigt.

    Hinweis:Entfernen Sie einen Benutzer oder eine Gruppe, indem Sie auf das Entfernen-Symbol (X) neben dem Namen klicken.
  7. klicken Speichern.
    Die Sammlung wird für jeden geteilten Benutzer im Dashboard-Dock angezeigt.

Daten exportieren

Sie können Diagrammdaten aus dem ExtraHop-System in den Formaten CSV und XLSX exportieren.

Du kannst auch PDFs erstellen von ExtraHop-Diagrammen, Seiten und Dashboards.

Daten nach Excel exportieren

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Navigieren Sie zu einem Dashboard oder Protokollseite.
  3. Klicken Sie mit der rechten Maustaste auf ein Diagramm, eine Tabelle oder eine Metrik und wählen Sie Nach Excel exportieren.

Daten nach CSV exportieren

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Navigieren Sie zu einem Dashboard oder Protokollseite.
  3. Klicken Sie mit der rechten Maustaste auf ein Diagramm, eine Tabelle oder eine Metrik und wählen Sie In CSV exportieren.

Erstellen Sie eine PDF-Datei

Sie können Daten aus einem Dashboard, einer Protokollseite oder einem einzelnen Diagramm als PDF-Datei exportieren.

  1. Suchen Sie das Dashboard oder die Protokollseite, die die Daten enthält, die Sie exportieren möchten, und führen Sie einen der folgenden Schritte aus:
    • Um eine PDF-Datei der gesamten Seite zu erstellen, klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite und wählen Drucken von einem Sensor oder Als PDF exportieren von einer Konsole aus.
    • Um eine PDF-Datei eines einzelnen Diagramms oder Widget zu erstellen, klicken Sie auf den Diagrammtitel und wählen Sie Drucken von einem Sensor oder wählen Als PDF exportieren aus dem Drop-down-Menü auf einer Konsole.
  2. Ein PDF-Vorschaufenster wird geöffnet. Führen Sie einen der folgenden Schritte aus:
    • Klicken Sie Seite drucken und wählen Sie dann PDF als Ziel aus den Druckeinstellungen in Ihrem Browser.
    • Klicken Sie von einem Sensor aus auf Widget drucken und wähle PDF als Ziel aus den Druckeinstellungen in Ihrem Browser.
    • Wählen Sie auf einer Konsole Anpassungen im PDF-Format und klicken Sie dann Als PDF exportieren. Das Generieren einer PDF-Datei kann mehrere Sekunden dauern.

Passen Sie das Format einer PDF-Datei an

Beim Erstellen einer PDF-Datei einer Dashboard- oder Protokollseite aus einem Konsole, haben Sie mehrere Möglichkeiten, das Erscheinungsbild Ihrer PDF-Datei anzupassen.

  1. Geben Sie einen benutzerdefinierten Namen für Ihre PDF-Datei ein oder akzeptieren Sie den Standardnamen.
  2. Wählen Sie eine der folgenden Optionen für die Seitenbreite:
    Schmal
    Zeigt großen Text in Diagrammtiteln und Beschriftungen an, bietet jedoch weniger Platz für die Anzeige von Diagrammdaten. Lange Diagrammtitel und Beschriftungen werden möglicherweise gekürzt.
    Mittel
    (Empfohlen) Zeigt eine Ansicht von Diagrammtiteln, Legenden und Daten an, die für die Seitenausrichtung im Hochformat optimiert ist.
    Breit
    Zeigt kleinen Text in Diagrammtiteln und Beschriftungen an, bietet jedoch mehr Platz für die Anzeige von Diagrammdaten.
  3. Wählen Sie eine der folgenden Optionen für den Seitenumbruch:
    Einzelne Seite
    Zeigt das gesamte Dashboard oder die Protokollseite auf einer einzigen, fortlaufenden Seite an. Mit dieser Einstellung wird möglicherweise eine PDF-Datei generiert, die größer als die Standardseitenformate für Drucker ist.
    Seitenumbruch pro Region
    Zeigt jeden Diagrammbereich auf einer einzelnen Seite an.
  4. Wählen Sie eines der folgenden Themen:
    Licht
    Weißer Hintergrund mit dunklem Text.
    Dunkel
    Schwarzer Hintergrund mit weißem Text.
    Weltall
    Dunkler Hintergrund mit stilisiertem Hintergrundbild und Text.
  5. klicken Als PDF exportieren.
    Das Generieren einer PDF-Datei kann mehrere Sekunden dauern.

Nächste Maßnahme

Die PDF-Datei wird auf Ihren lokalen Computer heruntergeladen. Jede PDF-Datei enthält den Titel und das Zeitintervall des Dashboard. klicken Bericht auf ExtraHop ansehen um das ursprüngliche Dashboard zu öffnen, das auf das in der PDF-Datei angegebene Zeitintervall eingestellt ist.

Einen geplanten Bericht erstellen

Von einem Konsole, können Sie festlegen, dass Berichte, die Informationen über Aktivitäten auf Ihrem ExtraHop-System enthalten, per E-Mail an bestimmte Empfänger gesendet werden. Erstellen Sie einen geplanten Dashboard-Bericht, um eine PDF-Datei mit ausgewählten Dashboard-Informationen, einschließlich Diagrammen und Metriken, per E-Mail zu senden. Erstellen Sie einen geplanten Vorstandsbericht, um ihn per E-Mail als PDF mit einer Zusammenfassung der wichtigsten Erkennungen und Risiken für Ihr Netzwerk per E-Mail zu versenden.

Einen geplanten Dashboard-Bericht erstellen

Wenn Sie einen geplanten Dashboard-Bericht erstellen, können Sie angeben, wie oft der Bericht per E-Mail gesendet wird und in welchem Zeitintervall die Dashboard-Daten in der PDF-Datei enthalten sind.

Before you begin

  • Ihr Benutzerkonto muss über eine beschränkte Schreibfähigkeit oder mehr verfügen Privilegien.
  • Ihr ExtraHop-System muss konfiguriert für den Versand von E-Mails. (Nur Reveal (x) Enterprise)
  • Sie müssen sich an einer Konsole auf dem ExtraHop-System anmelden.
  • Sie können einen Bericht nur für Dashboards erstellen, die Sie besitzen oder auf die Sie gemeinsamen Zugriff haben.
  • Wenn Sie einen Bericht für ein Dashboard erstellen, das später gelöscht wird oder auf das Sie nicht mehr zugreifen können, wird trotzdem eine E-Mail an die Empfänger gesendet. Die E-Mail enthält jedoch nicht die PDF-Datei und einen Hinweis, dass das Dashboard für den Berichtsbesitzer nicht verfügbar ist.
Gehen Sie wie folgt vor, um einen geplanten Dashboard-Bericht zu erstellen:
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie auf das Symbol Systemeinstellungen und klicken Sie dann auf Geplante Berichte.
  3. Klicken Sie Erstellen.
  4. Geben Sie einen eindeutigen Namen für den Bericht in das Name des Berichts Feld.
  5. Optional: In der Beschreibung Feld, geben Sie Informationen zum Bericht ein. Die Beschreibung erscheint nicht im Abschlussbericht, sondern nur in den Berichtseinstellungen.
  6. Wählen Sie im Abschnitt Berichtstyp die Option Armaturenbrett.
  7. Aus dem Inhalt des Berichts Drop-down-Liste, wählen Sie ein Dashboard aus.
    • Wenn Ihre Umgebung mehrere Standorte hat, müssen Sie eine Standort auswählen.
    • Wenn das Dashboard, das Sie auswählen, eine dynamische Quelle hat, müssen Sie eine Quelle auswählen.
  8. Optional: Aus dem Inhalt des Berichts Wählen Sie in der Dropdownliste zusätzliche Dashboards aus, die Sie dem Bericht hinzufügen möchten.
  9. Aus dem Zeitplan Führen Sie im Abschnitt die folgenden Schritte aus, um einen Zeitplan für den Bericht zu konfigurieren:
    1. Aus dem Zeitintervall Abschnitt, wählen Sie den Zeitraum der Daten aus, die Sie in den Bericht aufnehmen möchten.
      Letzte... Geben Sie ein Zeitintervall relativ zu dem Zeitpunkt an, zu dem Sie den Bericht angeben, der per E-Mail gesendet werden soll.
      Vorige Kalenderwoche Wählen Sie diese Option, um Daten aus der gesamten Kalenderwoche vor dem Zeitpunkt zu senden, zu dem Sie den Bericht angeben, der per E-Mail gesendet werden soll. Eine volle Kalenderwoche beginnt am Sonntag und endet am Samstag. Wenn Ihr Bericht beispielsweise an einem Mittwoch per E-Mail gesendet wird, enthält der Bericht Daten vom vorherigen Sonntag bis Samstag und nicht vom vorherigen Mittwoch bis Dienstag.
      Voriger Kalendermonat Wählen Sie diese Option, um Daten aus dem gesamten Kalendermonat vor dem Zeitpunkt zu senden, zu dem Sie den Bericht angeben, der per E-Mail gesendet werden soll. Wenn Ihr Bericht beispielsweise am 15. eines jeden Monats per E-Mail versendet wird, enthält der Bericht Daten vom 1. bis zum letzten Tag des Vormonats und nicht vom 15. des Vormonats bis zum 15. des aktuellen Monats.
    2. Aus dem Häufigkeit melden Abschnitt, legen Sie den Zeitplan für die E-Mail-Zustellung fest, indem Sie eine der folgenden Optionen auswählen:
      Hinweis:Die verfügbaren Optionen hängen von den angegebenen ab Zeitintervall. Wenn Sie beispielsweise Daten aus der vorherigen Kalenderwoche angegeben haben, können Sie keine tägliche Häufigkeit auswählen.

      Die Häufigkeit der Berichte basiert auf Standardsystemzeit von Ihrem ExtraHop-Administrator festgelegt.

      Stündlich Senden Sie den Bericht jede Stunde per E-Mail.
      täglich Geben Sie die Uhrzeit an, zu der der Bericht per E-Mail versendet werden soll. klicken Zeitplan hinzufügen um den Bericht mehrmals täglich per E-Mail zu versenden.
      Wöchentlich Geben Sie einen oder mehrere Wochentage sowie die Uhrzeit an, zu der der Bericht per E-Mail versendet werden soll. Klicken Sie Zeitplan hinzufügen um Berichts-E-Mails mehrmals täglich oder zu unterschiedlichen Zeiten pro Woche zu versenden.
      Monatlich Geben Sie den Tag des Monats an, an dem der Bericht per E-Mail gesendet werden soll. klicken Zeitplan hinzufügen um Berichts-E-Mails mehrmals pro Monat zu senden.
  10. Aus dem Format Führen Sie im Abschnitt die folgenden Schritte aus, um das Berichtsformat zu konfigurieren:
    1. Legen Sie das Inhaltslayout fest, indem Sie eine der folgenden Optionen aus der ersten auswählen Stil Dropdownliste:
      Schmal Zeigt großen Text in Diagrammtiteln und Beschriftungen an, bietet jedoch weniger Platz für die Anzeige von Diagrammdaten. Lange Diagrammtitel und Beschriftungen werden möglicherweise gekürzt.
      Mittel (Standard) Zeigt eine Ansicht von Diagrammtiteln, Legenden und Daten an, die für die Seitenausrichtung im Hochformat optimiert ist.
      Breit Zeigt kleinen Text in Diagrammtiteln und Beschriftungen an, bietet jedoch mehr Platz für die Anzeige von Diagrammdaten.
    2. Stellen Sie die Anzahl der Seitenumbrüche in der PDF-Datei ein, indem Sie eine der folgenden Optionen aus der zweiten auswählen Stil Dropdownliste:
      Einzelne Seite (Standard) Zeigt das gesamte Dashboard oder die gesamte Protokollseite auf einer einzigen, fortlaufenden Seite an. Diese Einstellung generiert möglicherweise eine PDF-Datei, die größer als die Standarddruckerseitengrößen ist.
      Seitenumbruch pro Region Zeigt jeden Diagrammbereich auf einer einzelnen Seite an. Wählen Sie diese Option, wenn Ihr Dashboard eine Tabelle oder Liste enthält, in der mehr als 20 Detailmetrikwerte angezeigt werden.
    3. Stellen Sie das Anzeigedesign ein, indem Sie eine der folgenden Optionen auswählen Thema Optionen:
      Licht (Standard) Zeigt Dashboard-Daten als dunklen Text vor hellem Hintergrund an.
      Dunkel oder Weltraum Zeigt Dashboard-Daten als hellen Text vor dunklem Hintergrund an.
      Kontrast Zeigt Dashboard-Daten mit einer begrenzten Farbpalette und kontrastierenden Farben an.
  11. Aus dem E-Mail senden Führen Sie im Abschnitt die folgenden Schritte aus , um E-Mail-Benachrichtigungen zu konfigurieren:
    1. Optional: (Reveal (x) Nur für Enterprise-Benutzer) Aus dem Benachrichtigungsgruppen Wählen Sie in der Dropdownliste eine Gruppe von Empfängern aus.
      Wenn Sie die E-Mail-Gruppe, nach der Sie suchen, nicht finden, können Sie E-Mail-Gruppen in den ExtraHop-Administrationseinstellungen oder über die REST-API konfigurieren. Wenden Sie sich an Ihren ExtraHop Reveal (x) Enterprise-Administrator, um einen hinzuzufügen E-Mail-Benachrichtigungsgruppe.
    2. In der Empfänger In diesem Feld geben Sie die E-Mail-Adresse für jeden Empfänger ein, getrennt durch ein Komma.
    3. Aus dem Betreff Abschnitt, klicken Benutzerdefiniert um Ihre eigene Betreffzeile für die E-Mail zu schreiben. Die automatische Betreffzeile ist der Berichtsname.
    4. Optional: In der Nachricht Feld, geben Sie die Informationen, die Sie senden möchten, in den Text der Berichts-E-Mail ein.
  12. Führen Sie einen der folgenden Schritte aus, um Ihren Bericht zu speichern:
    • klicken Jetzt senden um eine Testbericht-E-Mail an die E-Mail-Adressen zu senden, und klicken Sie dann auf Erledigt. Ihr Bericht wurde gespeichert und geplant.
    • klicken Speichern. Ihr Bericht ist geplant und wird entsprechend der von Ihnen angegebenen Berichtshäufigkeit an die Empfänger gesendet.

Nächste Maßnahme

  • Um das Senden eines geplanten Berichts zu beenden, löschen Sie das Bericht aktivieren Markieren oder löschen Sie den Bericht.

Erstellen Sie einen geplanten Executive Report

Wenn Sie einen geplanten Geschäftsbericht erstellen, können Sie angeben, wie oft eine PDF-Datei des Berichts per E-Mail gesendet wird und in welchem Zeitintervall die im Bericht enthaltenen Daten verwendet werden sollen.

Before you begin

  • Ihr Benutzerkonto muss über eine beschränkte Schreibrechte oder eine höhere Anzahl verfügen Privilegien.
  • Ihr ExtraHop-System muss das Network Detection and Response (NDR) -Modul enthalten.
  • Sie müssen sich an einer Konsole auf dem ExtraHop-System anmelden.
  • Ihr ExtraHop-System muss konfiguriert für den Versand von E-Mails. (Nur Reveal (x) Enterprise)
Gehen Sie wie folgt vor, um einen geplanten Vorstandsbericht zu erstellen:
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie auf das Symbol Systemeinstellungen und klicken Sie dann Geplante Berichte.
  3. Klicken Sie Erstellen.
  4. Geben Sie einen eindeutigen Namen für den Bericht in das Name des Berichts Feld.
  5. Optional: In der Beschreibung Feld, geben Sie Informationen zum Bericht ein. Die Beschreibung erscheint nicht im Abschlussbericht, sondern nur in den Berichtseinstellungen.
  6. Wählen Sie im Abschnitt Berichtstyp Exekutive.
  7. Aus dem Websites Wählen Sie im Dropdownmenü die Websites aus, die Sie in den Bericht aufnehmen möchten.
  8. Aus dem Zeitplan Führen Sie im Abschnitt die folgenden Schritte aus, um einen Zeitplan für den Bericht zu konfigurieren:
    1. Aus dem Zeitintervall Abschnitt, wählen Sie den Zeitraum der Daten aus, die Sie in den Bericht aufnehmen möchten.
      Letzte N Tage Wählen Sie diese Option, um Daten aus einem Zeitintervall zu senden, das sich auf die Uhrzeit bezieht, zu der Sie den Bericht per E-Mail versenden möchten.
      Vorige Kalenderwoche Wählen Sie diese Option, um Daten aus der gesamten Kalenderwoche vor dem Zeitpunkt zu senden, zu dem Sie den Bericht angeben, der per E-Mail gesendet werden soll. Eine volle Kalenderwoche beginnt am Sonntag und endet am Samstag. Wenn Ihr Bericht beispielsweise an einem Mittwoch per E-Mail gesendet wird, enthält der Bericht Daten vom vorherigen Sonntag bis Samstag und nicht vom vorherigen Mittwoch bis Dienstag.
      Voriger Kalendermonat Wählen Sie diese Option, um Daten aus dem gesamten Kalendermonat vor dem Zeitpunkt zu senden, zu dem Sie den Bericht angeben, der per E-Mail gesendet werden soll. Wenn Ihr Bericht beispielsweise am 15. eines jeden Monats per E-Mail versendet wird, enthält der Bericht Daten vom 1. bis zum letzten Tag des Vormonats und nicht vom 15. des Vormonats bis zum 15. des aktuellen Monats.
    2. Aus dem Häufigkeit melden Abschnitt, legen Sie den Zeitplan für die E-Mail-Zustellung fest, indem Sie eine der folgenden Optionen auswählen:
      Hinweis:Die verfügbaren Optionen hängen von den angegebenen ab Zeitintervall. Wenn Sie beispielsweise Daten aus der vorherigen Kalenderwoche angegeben haben, können Sie keine tägliche Häufigkeit auswählen.

      Die Häufigkeit der Berichte basiert auf Standardsystemzeit von Ihrem ExtraHop-Administrator festgelegt.

      Stündlich Senden Sie den Bericht jede Stunde per E-Mail.
      täglich Geben Sie die Uhrzeit an, zu der der Bericht per E-Mail versendet werden soll. klicken Zeitplan hinzufügen um den Bericht mehrmals täglich per E-Mail zu versenden.
      Wöchentlich Geben Sie einen oder mehrere Wochentage sowie die Uhrzeit an, zu der der Bericht per E-Mail versendet werden soll. Klicken Sie Zeitplan hinzufügen um Berichts-E-Mails mehrmals täglich oder zu unterschiedlichen Zeiten pro Woche zu versenden.
      Monatlich Geben Sie den Tag des Monats an, an dem der Bericht per E-Mail gesendet werden soll. klicken Zeitplan hinzufügen um Berichts-E-Mails mehrmals pro Monat zu senden.
  9. Aus dem E-Mail senden Führen Sie im Abschnitt die folgenden Schritte aus , um E-Mail-Benachrichtigungen zu konfigurieren:
    1. Optional: (Reveal (x) Nur für Enterprise-Benutzer) Aus dem Benachrichtigungsgruppen Wählen Sie in der Dropdownliste eine Gruppe von Empfängern aus.
      Wenn Sie die E-Mail-Gruppe, nach der Sie suchen, nicht finden, können Sie E-Mail-Gruppen in den ExtraHop-Administrationseinstellungen oder über die REST-API konfigurieren. Wenden Sie sich an Ihren ExtraHop Reveal (x) Enterprise-Administrator, um einen hinzuzufügen E-Mail-Benachrichtigungsgruppe.
    2. In der Empfänger In diesem Feld geben Sie die E-Mail-Adresse für jeden Empfänger ein, getrennt durch ein Komma.
    3. Aus dem Betreff Abschnitt, klicken Benutzerdefiniert um Ihre eigene Betreffzeile für die E-Mail zu schreiben. Die automatische Betreffzeile ist der Berichtsname.
    4. Optional: In der Nachricht Feld, geben Sie die Informationen, die Sie senden möchten, in den Text der Berichts-E-Mail ein.
  10. Führen Sie einen der folgenden Schritte aus, um Ihren Bericht zu speichern:
    • klicken Jetzt senden um eine Testbericht-E-Mail an die E-Mail-Adressen zu senden, und klicken Sie dann auf Erledigt. Ihr Bericht wurde gespeichert und geplant.
    • klicken Speichern. Ihr Bericht ist geplant und wird entsprechend der von Ihnen angegebenen Berichtshäufigkeit an die Empfänger gesendet.

Nächste Maßnahme

  • Um das Senden eines geplanten Berichts zu beenden, löschen Sie das Bericht aktivieren Markieren oder löschen Sie den Bericht.

Diagrammtypen

Dashboard-Diagramme im ExtraHop-System bieten mehrere Möglichkeiten, Metrik Daten zu visualisieren, was Ihnen bei der Beantwortung von Fragen zu Ihrem Netzwerkverhalten helfen kann.

Sie wählen einen Diagrammtyp aus, wenn Sie Bearbeiten Sie ein Diagramm im Metric Explorer. Aber woher wissen Sie , welches Diagramm Sie auswählen müssen? Es hilft, zunächst zu entscheiden, welche Frage Sie beantworten möchten:
  • Um zu erfahren, wie sich eine Metrik im Laufe der Zeit ändert, wählen Sie ein Zeitreihendiagramm aus, z. B. das Flächen-, Säulen-, Linien-, Zeilen- und Säulendiagramm oder das Statusdiagramm.
  • Um zu erfahren, wie ein Metrikwert im Vergleich zu einem vollständigen Datensatz abschneidet, wählen Sie ein Verteilungsdiagramm aus, z. B. Boxplot, Candlestick, Heatmap oder Histogramm-Diagramm.
  • Um den genauen Metrikwert für einen Zeitraum zu ermitteln, wählen Sie ein Gesamtwertdiagramm aus, z. B. ein Balken-, Listen-, Kreis-, Tabellen- oder Wertdiagramm.
  • Um den Warnstatus dieser Metrik zu erfahren, wählen Sie die Liste, den Status oder das Wertdiagramm aus.

Weitere Antworten finden Sie in der Häufig gestellte Fragen zu Grafiken.

Die folgende Tabelle enthält eine Liste der Diagrammtypen und Beschreibungen. Klicken Sie auf den Diagrammtyp, um weitere Details und Beispiele zu sehen.

Diagrammtyp Beschreibung Typ
Flächendiagramm Zeigt Metrik Werte als Linie an, die Datenpunkte im Laufe der Zeit verbindet, wobei der Bereich zwischen der Linie und der Achse farbig ausgefüllt ist. Zeitreihen
Säulendiagramm Zeigt Metrikdaten als vertikale Spalten über ein ausgewähltes Zeitintervall an. Zeitreihen
Liniendiagramm Zeigt Metrikwerte als Datenpunkte in einer Linie im Zeitverlauf an. Zeitreihen
Linien- und Säulendiagramm Zeigt Metrikwerte als Linie an, die eine Reihe von Datenpunkten im Laufe der Zeit verbindet, mit der Option, eine weitere Metrik als Säulendiagramm unter dem Liniendiagramm anzuzeigen. Zeitreihen
Status-Diagramm Zeigt Metrikwerte in einem Säulendiagramm und den Status einer Alarm an, die sowohl der Quelle als auch der Metrik im Diagramm zugewiesen ist. Zeitreihen
Boxplot-Diagramm Zeigt die Variabilität für eine Verteilung metrischer Daten an. Jede horizontale Linie im Boxplot umfasst drei oder fünf Datenpunkte. Vertrieb
Candlestick-Diagramm Zeigt die Variabilität für eine Verteilung metrischer Daten über die Zeit an. Vertrieb
Heatmap-Diagramm Zeigt eine Verteilung metrischer Daten über die Zeit an, wobei Farbe für eine Datenkonzentration steht. Vertrieb
Histogramm-Diagramm Zeigt eine Verteilung metrischer Daten als vertikale Balken oder Fächer an. Vertrieb
Balkendiagramm Zeigt den Gesamtwert der Metrik Daten als horizontale Balken an. Gesamtwert
Diagramm auflisten Zeigt Metrik Daten als Liste mit optionalen Sparklines an, die Datenänderungen im Laufe der Zeit darstellen. Gesamtwert
Kreisdiagramm Zeigt Metrik Daten als Teil oder Prozentsatz eines Ganzen an. Gesamtwert
Tabellen-Diagramm Zeigt mehrere Metrikwerte in einer Tabelle an, die einfach sortiert werden können. Gesamtwert
Wertetabelle Zeigt den Gesamtwert für eine oder mehrere Metriken an. Gesamtwert

Flächendiagramm

Metrische Daten werden als Datenpunkte im Zeitverlauf angezeigt, die durch eine Linie verbunden sind, wobei der Bereich zwischen der Linie und der X-Achse farbig ausgefüllt ist.

Wenn Ihr Diagramm mehr als eine Metrik enthält, werden die Daten für jede Metrik als einzelne Linie oder als Reihe angezeigt. Jede Reihe ist zusammengestapelt, um den kumulativen Wert der Daten zu veranschaulichen.

Wählen Sie das Flächendiagramm aus, um zu sehen, wie die Akkumulation mehrerer Metrik Datenpunkte im Laufe der Zeit zu einem Gesamtwert beiträgt. Ein Flächendiagramm kann beispielsweise aufzeigen, wie verschiedene Protokolle zur gesamten Protokollaktivität beitragen.

Weitere Informationen zur Anzeige von Raten in Ihrem Diagramm finden Sie in der Tarife anzeigen Abschnitt.

Hinweis:Dieses Diagramm unterstützt Erkennungsmarker, die auf Erkennungen hinweisen, die mit Diagrammdaten verknüpft sind.
Hinweis:Erkennungen durch maschinelles Lernen erfordern eine Verbindung zu ExtraHop Cloud Services .

Die folgende Abbildung zeigt ein Beispiel für ein Flächendiagramm.



Balkendiagramm

Der Gesamtwert der Metrik Daten wird als horizontale Balken angezeigt.

Wählen Sie das Balkendiagramm aus, wenn Sie die Daten für mehr als eine Metrik für ein ausgewähltes Zeitintervall vergleichen möchten.

Die folgende Abbildung zeigt ein Beispiel für ein Balkendiagramm.



Boxplot-Diagramm

Das Boxplot-Diagramm zeigt die Variabilität für eine Verteilung Metrik Daten. In diesem Diagramm können Sie nur Daten aus Datensatzmetriken anzeigen, z. B. die Serververarbeitungszeit.

Jede horizontale Linie im Boxplot umfasst drei oder fünf Datenpunkte. Bei fünf Datenpunkten enthält die Linie einen Textbalken, ein vertikales Häkchen, eine obere Schattenlinie und eine untere Schattenlinie. Bei drei Datenpunkten enthält die Linie ein vertikales Häkchen, einen oberen Schatten und einen unteren Schatten. Weitere Informationen zur Anzeige bestimmter Perzentilwerte in Ihrem Diagramm finden Sie unter Perzentile anzeigen.

Die folgende Abbildung zeigt ein Beispiel für ein Boxplot-Diagramm.



Kerzendiagramm

Das Kerzen-Chart zeigt die Variabilität einer Verteilung metrischer Daten über die Zeit. Sie können nur Daten aus Datensatzmetriken oder hochpräzisen Netzwerk-Byte- und Paketmetriken (L2) anzeigen.

Vertikale Linien in jedem Zeitintervall zeigen drei oder fünf Datenpunkte an. Wenn die Linie fünf Datenpunkte hat, enthält sie einen Körper, ein mittleres Häkchen, eine obere Schattenlinie und eine untere Schattenlinie. Wenn die Linie drei Datenpunkte hat, enthält sie ein mittleres Häkchen. Weitere Informationen zur Anzeige bestimmter Perzentilwerte in Ihrem Diagramm finden Sie unter Perzentile anzeigen.

Wählen Sie das Kerzen-Chart aus, um die Variabilität der Datenberechnungen für einen bestimmten Zeitraum anzuzeigen.

Die folgende Abbildung zeigt ein Beispiel für ein Kerzen-Chart.



Säulendiagramm

Metrische Daten werden im Zeitverlauf als vertikale Spalten angezeigt. Wenn Ihr Diagramm mehr als eine Metrik enthält, werden die Daten für jede Metrik als einzelne Spalte oder als Reihe angezeigt. Jede Reihe ist zusammengestapelt, um den kumulativen Wert der Daten zu veranschaulichen.

Wählen Sie das Säulendiagramm aus, um zu vergleichen, wie die Akkumulation mehrerer Metrik Datenpunkte zu einem bestimmten Zeitpunkt zum Gesamtwert beiträgt.

Hinweis:Dieses Diagramm unterstützt Erkennungsmarker, die auf Erkennungen hinweisen, die mit Diagrammdaten verknüpft sind.

Die folgende Abbildung zeigt ein Beispiel für ein Säulendiagramm.



Heatmap-Diagramm

Das Heatmap-Diagramm zeigt eine Verteilung der Metrik Daten über die Zeit, wobei die Farbe eine Datenkonzentration darstellt. Sie können nur eine Dataset-Metrik auswählen, die im Diagramm angezeigt werden soll, z. B. Serververarbeitungszeit oder Roundtrip-Zeit.

Wählen Sie die Heatmap aus, wenn Sie Muster in der Datenverteilung identifizieren möchten.

Hier sind einige wichtige Überlegungen zum Heatmap-Diagramm:
  • Die Heatmap-Legende zeigt den Farbverlauf an, der dem Datenbereich im Diagramm entspricht. Beispielsweise weist die dunklere Farbe auf der Heatmap auf eine höhere Konzentration von Datenpunkten hin.
  • Der Standarddatenbereich liegt zwischen dem 5. und 95. Perzentil, wodurch Ausreißer aus der Verteilung herausgefiltert werden. Ausreißer können den Maßstab der in Ihrem Diagramm angezeigten Daten verzerren, wodurch es schwieriger wird, Trends und Muster für den Großteil Ihrer Daten zu erkennen. Sie können sich jedoch dafür entscheiden, den gesamten Datenbereich anzuzeigen, indem Sie den Standardfilter in der Optionen Registerkarte. Weitere Informationen finden Sie unter Ausreißer filtern.
  • Das ausgewählte Thema, z. B. Hell, Dunkel oder Raum, beeinflusst, ob eine dunkle oder helle Farbe auf eine höhere Konzentration von Datenpunkten hinweist.

Die folgende Abbildung zeigt ein Beispiel für ein Heatmap-Diagramm.



Histogramm-Diagramm

Das Histogramm-Diagramm zeigt eine Verteilung der Metrik Daten als vertikale Balken oder Abschnitte an. Sie können nur eine Dataset-Metrik auswählen, die in diesem Diagramm angezeigt werden soll, z. B. Serververarbeitungszeit oder Roundtrip-Zeit.

Wählen Sie das Histogramm-Diagramm aus, um die Form der Datenverteilung zu sehen.

Hier sind einige wichtige Überlegungen zum Histogramm-Diagramm:
  • Der Standarddatenbereich reicht vom 5. bis zum 95. Perzentil (5. bis 95), wodurch Ausreißer aus der Verteilung herausgefiltert werden. In der Ansicht Minimum bis Maximum (Min-Max) wird der gesamte Datenbereich angezeigt. Klicken Sie auf die Lupe in der oberen rechten Ecke des Diagramms, um zwischen den beiden Ansichten umzuschalten.
  • Die Daten werden je nach Datenbereich automatisch entweder auf linearer oder logarithmischer Skala in Fächer verteilt. Wenn sich der Datenbereich beispielsweise über mehrere Größenordnungen erstreckt, werden die Daten auf einer logarithmischen Skala in Abschnitte eingeteilt. Min-Max (log) wird in der oberen rechten Ecke des Diagramms angezeigt.
  • Klicken und ziehen Sie, um mehrere Fächer oder eine bestimmte Ablage zu vergrößern. Klicken Sie erneut auf die Lupe in der oberen rechten Ecke des Diagramms, um die ursprüngliche Ansicht zu verkleinern (entweder 5—95. oder Min bis Max).
    Hinweis:Durch das Heranzoomen, um ein benutzerdefiniertes Zeitintervall anzuzeigen, wird das globale oder Region Zeitintervall nicht geändert.
  • Ihre Umschaltoption (zwischen der 5. und 95. Ansicht und der Min-Max-Ansicht) bleibt für Ihr Diagramm bestehen, jedoch nicht für die Benutzer, mit denen Sie Ihr Dashboard und Ihr Diagramm geteilt haben. Informationen zum Festlegen einer dauerhaften Umschaltoption vor dem Teilen eines Dashboard finden Sie unter Ausreißer filtern.

Die folgende Abbildung zeigt ein Beispiel für ein Histogramm-Diagramm.



Hinweis:Dieses Diagramm unterstützt keine Grundlinien oder Schwellenwerte.

Liniendiagramm

Metrische Daten werden als Datenpunkte im Zeitverlauf angezeigt, die in einer Linie verbunden sind. Wenn Ihr Diagramm mehr als eine Metrik enthält, werden die Daten für jede Metrik als einzelne Linie oder als Reihe angezeigt. Jede Serie überschneidet sich.

Wählen Sie das Liniendiagramm aus, um Änderungen im Laufe der Zeit zu vergleichen.

Hinweis:Dieses Diagramm unterstützt Erkennungsmarker, die auf Erkennungen hinweisen, die mit Diagrammdaten verknüpft sind.

Die folgende Abbildung zeigt ein Beispiel für ein Liniendiagramm.



Linien- und Säulendiagramm

Metrische Daten werden als Datenpunkte im Zeitverlauf angezeigt, die durch eine Linie miteinander verbunden sind. Es besteht die Möglichkeit, ein Säulendiagramm unter dem Liniendiagramm anzuzeigen. Wenn Ihr Diagramm beispielsweise mehr als eine Metrik enthält (z. B. HTTP-Anfragen und HTTP-Fehler), können Sie auswählen Als Spalten anzeigen um eine der Metriken als Säulendiagramm unter dem Liniendiagramm anzuzeigen.

Spalten werden standardmäßig in der Farbe Rot angezeigt. Um die rote Farbe zu entfernen, klicken Sie auf Optionen und abwählen Spalten rot anzeigen.

Wählen Sie das Linien- und Säulendiagramm aus, um verschiedene Metriken auf verschiedenen Skalen in einem Diagramm zu vergleichen. Sie können beispielsweise die Fehlerraten und die Gesamtzahl der HTTP-Antworten in einem Diagramm anzeigen.

Hinweis:Dieses Diagramm unterstützt Erkennungsmarker, die auf Erkennungen hinweisen, die mit Diagrammdaten verknüpft sind.

Die folgende Abbildung zeigt ein Beispiel für ein Linien- und Säulendiagramm.



Diagramm auflisten

Metrische Daten werden als Liste angezeigt. Wählen Sie das Listendiagramm aus, um lange Listen mit Metrikwerten, z. B. Detailmetriken, anzuzeigen.

Dieses Diagramm enthält die folgenden Optionen:
  • Fügen Sie eine Sparkline hinzu, bei der es sich um ein einfaches Flächendiagramm handelt, das direkt neben dem Namen und Wert der Metrik platziert wird. Eine Sparkline zeigt, wie sich Daten im Laufe der Zeit verändert haben. Klicken Sie auf Optionen Tabulatortaste und wählen Sparklines einbeziehen.
  • Zeigt den Metrikwert in einer Farbe für den Warnstatus an. Verschiedene Farben geben den Schweregrad der konfigurierten Alarm an. Wenn beispielsweise ein Warnschwellenwert für eine Metrik überschritten wird, die im Listendiagramm angezeigt wird, wird der Wert für diese Metrik rot angezeigt. Klicken Sie auf Optionen Tabulatortaste und wählen Farbe zeigt den Alarmstatus an.
Hinweis:Dieses Diagramm unterstützt keine Grundlinien oder Schwellenwerte.

Die folgende Abbildung zeigt ein Beispiel für ein Listendiagramm.



Kreisdiagramm

Metrische Daten werden als Teil oder Prozentsatz eines Ganzen angezeigt. Wenn Ihr Diagramm mehr als eine Metrik enthält, werden die Daten für jede Metrik im Kreisdiagramm als einzelnes Segment oder Reihe dargestellt.

Wählen Sie das Tortendiagramm aus, um die Metrikwerte zu vergleichen, die sich gegenseitig ausschließen, z. B. Statuscode-Detailmetriken für die HTTP-Antwortmetrik der obersten Ebene.

Dieses Diagramm enthält die folgenden Optionen:
  • Als Ringdiagramm anzeigen. Klicken Sie auf Wahl Tabulatortaste und wählen Gesamtwert anzeigen.
  • Geben Sie die Dezimalgenauigkeit oder die Anzahl der Ziffern an, die in Ihrem Diagramm angezeigt werden. Die Perzentilgenauigkeit ist nützlich für die Darstellung von Datenverhältnissen, insbesondere für Service Level Agreements (SLAs), für die möglicherweise genaue Daten für die Berichterstattung erforderlich sind. Klicken Sie auf Optionen Registerkarte, und wählen Sie im Abschnitt Einheiten Prozentzahlen statt Zählungen anzeigen. Wählen Sie dann 0,00% oder 0,000% aus der Drop-down-Liste.

Die folgende Abbildung zeigt ein Beispiel für ein Tortendiagramm.



Status-Diagramm

Metrische Daten werden in einem Säulendiagramm angezeigt. Die Farbe jeder Spalte steht für den schwerwiegendsten Warnstatus der konfigurierten Alarm für die Metrik. Sie können nur eine Quelle und Metrik für die Anzeige in diesem Diagramm auswählen.

Um den Status aller Alerts anzuzeigen, die mit der ausgewählten Metrikkategorie verknüpft sind, klicken Sie auf Verwandte Benachrichtigungen anzeigen. Eine Liste von Warnungen wird dann unter dem Säulendiagramm angezeigt.

Wählen Sie das Statusdiagramm aus, um zu sehen, wie sich die Daten und der Warnstatus für Ihre Metrik im Laufe der Zeit ändern.

Hinweis:Dieses Diagramm unterstützt keine Basislinien.

Die folgende Abbildung zeigt ein Beispiel für ein Statusdiagramm.



Tabellen-Diagramm

Metrische Daten werden zeilen- und spaltenübergreifend in einer Tabelle angezeigt. Jede Zeile steht für eine Quelle. Jede Spalte steht für eine Metrik. Sie können einer Tabelle mehrere Quellen (desselben Typs) und Metriken hinzufügen.

Wählen Sie das Tabellendiagramm aus, wenn Sie Metrikdaten in einem Raster anzeigen und Werte einfach nach mehreren Metriken sortieren möchten.
Hinweis:Dieses Diagramm unterstützt keine Grundlinien oder Schwellenwerte .

Die folgende Abbildung zeigt ein Beispiel für ein Tabellendiagramm.



Wertetabelle

Der Gesamtwert für eine oder mehrere Metriken wird als Einzelwert angezeigt. Wenn Sie mehr als eine Metrik auswählen, werden die Metrikwerte nebeneinander angezeigt.

Wählen Sie das Wertdiagramm aus, um den Gesamtwert wichtiger Metriken anzuzeigen, z. B. die Gesamtzahl der in Ihrem Netzwerk aufgetretenen HTTP-Fehler.

Dieses Diagramm enthält die folgenden Optionen:
  • Fügen Sie Sparklines hinzu. Dabei handelt es sich um ein einfaches Flächendiagramm, das unter dem Metrikwert platziert wird. Eine Sparkline zeigt, wie sich Daten im Laufe der Zeit verändert haben. Klicken Sie auf Optionen Tabulatortaste und wählen Sparklines einbeziehen.
  • Zeigt den Metrikwert in einer Farbe für den Warnstatus an. Verschiedene Farben geben den Schweregrad der konfigurierten Alarm an. Wenn beispielsweise ein Warnschwellenwert für eine Metrik überschritten wird, wird der Wert rot angezeigt. Klicken Sie auf Optionen Tabulatortaste und wählen Farbe zeigt den Alarmstatus an.
Hinweis:Dieses Diagramm unterstützt keine Grundlinien oder Schwellenwerte.

Die folgende Abbildung zeigt ein Beispiel für ein Wertdiagramm.



Erstellen Sie ein Diagramm

Diagramme sind ein unverzichtbares Werkzeug zur Visualisierung, Analyse und zum Verständnis des Netzwerkverhaltens. Sie können von einem Dashboard oder einer Protokollseite aus ein benutzerdefiniertes Diagramm erstellen, um Daten aus den über 4.000 integrierten oder benutzerdefinierten Metriken zu visualisieren, die im ExtraHop-System verfügbar sind. Wenn Sie beispielsweise bei der Problembehandlung eine interessante Servermetrik beobachten, können Sie ein Diagramm erstellen, um diese Metrik zu visualisieren und weiter zu analysieren. Benutzerdefinierte Diagramme werden dann in Dashboards gespeichert.

Die folgenden Schritte zeigen Ihnen, wie Sie schnell ein leeres benutzerdefiniertes Diagramm erstellen können:
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Führen Sie einen der folgenden Schritte aus:
    • klicken Dashboards oben auf der Seite.
    • klicken Vermögenswerte oben auf der Seite. Wählen Sie im linken Bereich eine Quelle aus, und klicken Sie dann im mittleren Bereich auf den Namen einer Anwendung, eines Geräts, einer Gerätegruppe oder eines Netzwerk. Eine Protokollseite für die Quelle wird angezeigt.
  3. Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite und wählen Sie dann Diagramm erstellen.
  4. Bearbeiten Sie das Diagramm im Metric Explorer.
  5. Um Ihr Diagramm zu speichern, klicken Sie auf Zum Dashboard hinzufügen und führen Sie einen der folgenden Schritte aus:
    • Wählen Sie den Namen eines vorhandenen Dashboard aus der Liste aus. Die Dashboard-Liste ist von den zuletzt erstellten Dashboards (unten) bis zu den ältesten Dashboards (oben) geordnet.
    • Wählen Dashboard erstellen. In der Eigenschaften des Dashboards Fenster, geben Sie einen Namen für das neue Dashboard ein und klicken Sie dann auf Erstellen.
    Hinweis:Hier sind einige andere Möglichkeiten, ein Diagramm zu erstellen:
    • Wenn Sie auf einer Protokollseite oder einem Dashboard ein Diagramm finden, das Ihnen gefällt, können Sie dieses Diagramm neu erstellen und in Ihrem Dashboard speichern. Klicken Sie auf den Diagrammtitel und wählen Sie dann Diagramm erstellen aus....
    • Du kannst ein Dashboard-Layout bearbeiten und klicken und ziehen Sie ein neues Diagramm-Widget auf das Dashboard.

Nächste Maßnahme

Nachdem Sie ein Diagramm erstellt haben, erfahren Sie mehr über die Arbeit mit Dashboards:

Ein Diagramm kopieren

Sie können ein Diagramm von einer Dashboard- oder Protokollseite kopieren und das kopierte Diagramm dann in einem Dashboard speichern. Kopierte Widgets werden immer in einem neuen Region auf dem Dashboard platziert, den Sie später ändern können.

Hinweis:Wenn Sie ein Dashboard-Diagramm oder ein Textfeld kopieren möchten, ohne einen neuen Region zu erstellen, klicken Sie auf das Befehlsmenü. in der oberen rechten Ecke der Dashboard-Seite und klicken Sie auf Layout bearbeiten. Suchen Sie das Diagramm, das Sie kopieren möchten, und klicken Sie dann auf Duplizieren.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Wählen Sie ein Dashboard aus, das das Diagramm oder Widget enthält, das Sie kopieren möchten.
  4. Klicken Sie auf den Titel.
    Hinweis:Sie können nicht auf den Titel eines Textfeld-Widgets klicken. Um ein Text-Widget zu kopieren, müssen Sie zuerst das Dashboard-Layout bearbeiten. Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke des Textfeld-Widgets, und führen Sie dann Schritt 4 aus.
  5. Bewegen Sie den Mauszeiger darüber Kopieren nach... um eine Dropdownliste zu erweitern und dann eine der folgenden Auswahlen zu treffen:
    • Wählen Sie den Namen eines vorhandenen Dashboard aus der Liste aus. Die Dashboard-Liste ist von den zuletzt erstellten Dashboards (unten) bis zu den ältesten Dashboards (oben) geordnet.
    • Wählen Dashboard erstellen. In der Eigenschaften des Dashboards Fenster, geben Sie einen Namen für das neue Dashboard ein und klicken Sie dann auf Erstellen.

Nächste Maßnahme

Das Diagramm wird in einen neuen Region auf dem Dashboard kopiert, der sich im Modus „Layout bearbeiten" befindet. Sie können Ihr Dashboard oder Diagramm jetzt auf folgende Weise bearbeiten:

Drilldown

Eine interessante Metrik führt natürlich zu Fragen zu den Faktoren, die mit diesem Metrikwert verbunden sind. Wenn Sie beispielsweise in Ihrem Netzwerk eine große Anzahl von DNS-Anforderungs-Timeouts feststellen, fragen Sie sich möglicherweise, bei welchen DNS-Clients diese Timeouts auftreten. Im ExtraHop-System können Sie ganz einfach einen Drilldown von einer Top-Level-Metrik aus durchführen, um die Geräte, Methoden oder Ressourcen anzuzeigen, die mit dieser Metrik verknüpft sind.

Wenn Sie eine Metrik anhand eines Schlüssels (z. B. einer Client-IP-Adresse, Methode, URI oder Ressource) aufschlüsseln, berechnet das ExtraHop-System eine Topnset von bis zu 1.000 Schlüssel-Wert-Paaren. Anschließend können Sie diese Schlüssel-Wert-Paare untersuchen, die als Metriken detailliert, um zu erfahren, welche Faktoren mit der interessanten Aktivität zusammenhängen.

Drilldown von einem Dashboard oder einer Protokollseite aus

Wenn Sie in einem Diagramm oder einer Legende auf eine Metrik klicken, können Sie sehen, welcher Schlüssel, z. B. Client-IP-Adresse, Server-IP-Adresse, Methode oder Ressource, zu diesem Wert beigetragen hat.

In den folgenden Schritten erfahren Sie, wie Sie eine Metrik finden und anschließend eine Aufgliederung vornehmen können:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Finden Sie eine interessante Metrik, indem Sie einen der folgenden Schritte ausführen:
    • klicken Armaturenbrett, und wählen Sie dann im linken Bereich ein Dashboard aus. Ein Dashboard mit Metriken wird angezeigt.
    • klicken Vermögenswerte, klicken Gerät, Gerätegruppe, oder Bewerbung im linken Bereich. Wählen Sie dann ein Gerät, eine Gruppe oder eine Anwendung aus. Eine Protokollseite mit Metriken wird angezeigt.
    • klicken Vermögenswerte, klicken Netzwerke im linken Bereich, und wählen Sie dann ein Flow-Netzwerk aus. Eine Protokollseite mit Metriken wird angezeigt.
  3. Klicken Sie in der Diagrammlegende auf einen Metrikwert oder eine Metrikbezeichnung, wie in der folgenden Abbildung dargestellt. Es erscheint ein Menü.


    Hinweis:Auf einer Protokollseite können Sie auch auf eine Drilldown-Schaltfläche in der Drilldown Abschnitt, der sich in der oberen rechten Ecke der Seite befindet. Die Art der Tastenkombinationen variiert je nach Protokoll.


  4. In der Drilldown nach... Abschnitt, wählen Sie einen Schlüssel aus. Eine Seite mit detaillierten Metriken mit Topnset Es wird eine Liste der Metrikwerte nach Schlüssel angezeigt. Auf dieser Seite können Sie bis zu 1.000 Schlüssel-Werte-Paare anzeigen.
    Hinweis:Falls verfügbar, klicken Sie auf Mehr ansehen Link am unteren Rand eines Diagramms, um die im Diagramm angezeigte Metrik genauer zu untersuchen.

Detaillierter Überblick über Netzwerkerfassung und VLAN-Metriken

Klicken Sie auf eine interessante Top-Level-Metrik zur Netzwerkaktivität auf einem Netzwerk einfangen oder VLAN Seite, um zu ermitteln, welche Geräte mit dieser Aktivität verknüpft sind.

Hinweis:Informationen dazu, wie Sie Metriken von einer Seite mit einem Flussnetz oder einer Flow-Netzwerkschnittstelle aus aufschlüsseln können, finden Sie in Drilldown von einem Dashboard oder einer Protokollseite aus Abschnitt.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. klicken Vermögenswerte.
  3. klicken Netzwerke im linken Bereich.
  4. Klicken Sie auf einen Netzwerk-Capture- oder VLAN-Schnittstellennamen.
  5. Klicken Sie im linken Bereich auf einen Netzwerk-Layer, z. B. L3 oder L7-Protokolle. Es werden Diagramme angezeigt, die Metrikwerte für das ausgewählte Zeitintervall anzeigen. Für die meisten Protokolle und Metriken ist ein Gerät Die Tabelle wird auch unten auf der Seite angezeigt.
  6. Klicken Sie auf die Diagrammdaten, wodurch die Liste aktualisiert wird, sodass nur die Geräte angezeigt werden, die mit den Daten verknüpft sind.
  7. Klicken Sie auf einen Gerätenamen. EIN Gerät Eine Seite wird angezeigt, auf der der Datenverkehr und die Protokollaktivitäten im Zusammenhang mit dem ausgewählten Gerät angezeigt werden.

Drilldown von einer Erkennung aus

Bei bestimmten Erkennungen können Sie weitere Details zu der Metrik oder dem Schlüssel aufrufen , der zu dem ungewöhnlichen Verhalten beigetragen hat. Der Metrikname oder der Schlüssel wird als Link am Ende einer einzelnen Erkennung angezeigt.

Hinweis:Erkennungen mit Metriken oder Schlüsseln, die keine detaillierten Metriken enthalten, beinhalten keine Drilldown-Option. Erkennungen, die statt einer Metrik nur anomale Protokollaktivitäten anzeigen, beinhalten auch keine Metrik-Drilldown-Option. Sie können z. B. keinen Drilldown zu einer Erkennung von anomalen DNS-Client-Aktivitäten durchführen, wie in der Abbildung unten dargestellt. Klicken Sie stattdessen auf die Links für den Gerät- oder Anwendungsnamen. Karte der Aktivitäten, oder Rekorde um mehr über die anomale Aktivität zu erfahren.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. klicken Erkennungen oben auf der Seite.
  3. Suchen Sie nach einer interessanten Erkennung, die mit einer Metrik verknüpft ist, und klicken Sie auf den Namen oder Schlüssel der Metrik. In der folgenden Abbildung können wir durch Klicken auf den Antwortcode eine Aufschlüsselung aller Clients aufrufen, die DNS-Antworten mit NXDOMAIN/QUERY:A erhalten haben.


  4. In der Drilldown nach... Abschnitt, klicken Sie auf eine Taste wie Kunde.
    Es wird eine Seite mit Detail-Metrik angezeigt, auf der Sie nach Schlüsseln aufgelistete Metriken untersuchen.

Drilldown von einer Alarm aus

Klicken Sie in einer Schwellenwertwarnung auf den Metriknamen oder Schlüssel, um zu sehen, welcher Schlüssel, z. B. Client, Server, Methode oder Ressource, zu dem Metrikwert oder dem ungewöhnlichen Verhalten beigetragen hat.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. klicken Alerts oben auf der Seite.
    Hinweis:Sie können auf Benachrichtigungen auch über ein Alert-Widget in einem Dashboard oder unten auf den folgenden Protokollseiten zugreifen:
    • Seite „Anwendungsübersicht"
    • Seite „Gerätegruppen-Übersicht"
    • Seite „Netzwerkübersicht"
  3. Klicken Sie auf den Namen einer Schwellenwarnung.
    Warndetails werden angezeigt.
  4. Klicken Sie auf einen Metriknamen oder -schlüssel, wie in der folgenden Abbildung dargestellt.


  5. In der Drilldown nach Abschnitt, klicken Sie auf eine Taste, z. B. Kunde, Methode, Verweiser, Server, oder URI.
    Es wird eine Seite mit Detail-Metrik angezeigt, auf der Sie nach Schlüsseln aufgelistete Metriken untersuchen.

Untersuchen Sie detaillierte Metriken

Nachdem Sie eine Metrik von einem Dashboard, einer Protokollseite, einer Erkennung oder einer Alarm aus detailliert untersucht haben, können Sie die Metrikwerte anhand von Schlüsseln auf einer Seite mit den Detail-Metrik untersuchen. Filtern Sie Metrikdaten oder wählen Sie verschiedene Schlüssel wie Statuscodes oder URIs aus, um Daten aus verschiedenen Perspektiven anzuzeigen.

Die folgende Abbildung zeigt, wie Sie Daten auf einer Seite mit Detail-Metrik Metriken filtern, pivotieren, sortieren oder exportieren.



Wenn Sie eine Metrik nach IP, Client oder Server aufgeschlüsselt haben, werden IP-Adressen und Hostnamen (sofern sie anhand des DNS-Datenverkehrs beobachtet wurden) in der Tabelle angezeigt. Zusätzliche Optionen stehen Ihnen jetzt zur Verfügung. Sie können beispielsweise direkt zu einer Client- oder Serverprotokollseite navigieren, wie in der folgenden Abbildung dargestellt.



Ergebnisse filtern

Eine Detailseite kann bis zu 1.000 Schlüssel-Wert-Paare enthalten. Es gibt zwei Möglichkeiten, bestimmte Ergebnisse aus Daten zu finden: Filterergebnisse oder klicken Sie auf eine Taste in der Tabelle, um einen weiteren Drilldown-Filter zu erstellen.

Um die Ergebnisse zu filtern, klicken Sie auf Beliebiges Feld, und wählen Sie dann ein Feld aus, das je nach Schlüssel variiert. Zum Beispiel können Sie wählen Netzwerk-Lokalität für Client- oder Serverschlüssel. Wählen Sie dann einen der folgenden Operatoren aus:

  • Wählen Sie = um eine exakte Zeichenkettenübereinstimmung durchzuführen.
  • Wählen Sie um eine ungefähre Zeichenkettenübereinstimmung durchzuführen. Der Operator ≈ unterstützt reguläre Ausdrücke.
    Hinweis:Um ein Ergebnis auszuschließen, geben Sie einen regulären Ausdruck ein. Weitere Informationen finden Sie unter Filter für reguläre Ausdrücke erstellen.
  • Wählen Sie um eine ungefähre Zeichenkettenübereinstimmung aus Ihren Ergebnissen auszuschließen.
  • Wählen Sie > oder um eine Übereinstimmung mit Werten durchzuführen, die größer als (oder gleich) einem angegebenen Wert sind.
  • Wählen Sie < oder um eine Übereinstimmung mit Werten durchzuführen, die kleiner als (oder gleich) einem bestimmten Wert sind.
  • Klicken Sie Filter hinzufügen um die Filtereinstellungen zu speichern. Sie können mehrere Filter für eine Abfrage speichern. Gespeicherte Filter werden gelöscht, wenn Sie im Bereich Details im linken Bereich einen anderen Schlüssel auswählen.

Um den Filter abzuschließen, geben Sie einen Wert ein, nach dem Sie die Ergebnisse filtern möchten, oder wählen Sie einen Wert aus, und klicken Sie dann auf Filter hinzufügen.

Untersuchen Sie Bedrohungsdaten ( Nur ExtraHop Reveal (x) Premium und Ultra)
Klicken Sie auf das rote Kamerasymbol zum Ansehen Bedrohungsinformationen Details zu einem verdächtigen Host, einer IP-Adresse oder einer URI, die in Detail-Metrik Metrikdaten gefunden wurden.
Markieren Sie einen Metrikwert im oberen Diagramm
Wählen Sie eine einzelne Zeile oder mehrere Zeilen aus, um die Diagrammdaten im oberen Diagramm auf der Seite mit den Detail-Metrik zu ändern. Zeigen Sie mit der Maus auf Datenpunkte im Diagramm, um weitere Informationen zu den einzelnen Datenpunkten anzuzeigen.
Per Schlüssel zu mehr Daten wechseln
Klicken Sie auf die Schlüsselnamen in der Einzelheiten Abschnitt, um detailliertere Metrikwerte zu sehen, aufgeschlüsselt nach anderen Schlüsseln. Klicken Sie für IP-Adresse oder Hostschlüssel auf einen Gerätenamen in der Tabelle, um zu einem Gerät Protokollseite, auf der der Verkehr und die Protokollaktivitäten angezeigt werden, die mit diesem Gerät verknüpft sind.
Passen Sie das Zeitintervall an und vergleichen Sie Daten aus zwei Zeitintervallen
Durch Ändern des Zeitintervalls können Sie Metrikdaten zu verschiedenen Zeiten in derselben Tabelle anzeigen und vergleichen. Weitere Informationen finden Sie unter Vergleichen Sie Zeitintervalle, um das Metrik Delta zu ermitteln.
Hinweis:Das globale Zeitintervall in der oberen linken Ecke der Seite enthält ein blaues Aktualisierungssymbol und einen grauen Text, der angibt, wann die Drilldown-Metriken zuletzt abgefragt wurden. Um die Metriken für das angegebene Zeitintervall neu zu laden, klicken Sie auf das Aktualisierungssymbol in der Anzeige von Global Zeitselektor. Weitere Informationen finden Sie unter Die neuesten Daten für ein Zeitintervall anzeigen.
Metrikdaten in Spalten sortieren
Klicken Sie auf die Spaltenüberschrift, um nach Metriken zu sortieren und anzuzeigen, welche Schlüssel den größten oder kleinsten Metrikwerten zugeordnet sind. Sortieren Sie beispielsweise nach der Verarbeitungszeit, um zu sehen, welche Kunden die längsten Ladezeiten der Website hatten.
Datenberechnung für Metriken ändern
Ändern Sie die folgenden Berechnungen für die in der Tabelle angezeigten Metrikwerte:
  • Wenn die Tabelle eine Zählmetrik enthält, klicken Sie auf Graf in der Optionen Abschnitt im linken Bereich und wählen Sie dann Durchschnittliche Rate. Erfahren Sie mehr in der Rate oder Anzahl in einem Diagramm anzeigen Thema.
  • Wenn die Tabelle eine Datensatzmetrik enthält, klicken Sie auf Gemein in der Optionen Abschnitt im linken Bereich und wählen Sie dann Zusammenfassung. Wenn du auswählst Zusammenfassung, Sie können den Mittelwert und die Standardabweichung anzeigen.
Daten exportieren
Klicken Sie mit der rechten Maustaste auf einen Metrikwert in der Tabelle, um eine PDF-, CSV- oder Excel-Datei herunterzuladen.
Ein zweites Mal mit einem Schlüsselfilter aufschlüsseln

Nachdem Sie eine Top-Level-Metrik zunächst nach Schlüsseln aufgeschlüsselt haben, wird eine Detailseite mit einem Topnset von Metrik Werten, aufgeschlüsselt nach diesem Schlüssel. Sie können dann einen Filter erstellen, um einen zweiten Drilldown mit einem anderen Schlüssel durchzuführen. Sie können beispielsweise HTTP-Antworten nach Statuscode aufschlüsseln und dann erneut nach dem 404-Statuscode aufschlüsseln, um weitere Informationen zu den Servern, URIs oder Clients zu finden, die mit diesem Statuscode verknüpft sind.

Hinweis:Die Option, einen zweiten Drilldown durchzuführen, ist nur für bestimmte Topnsets verfügbar.

Die folgenden Schritte zeigen Ihnen, wie Sie von einem Diagramm aus einen Drilldown durchführen und dann von einer Detailseite mit Metriken aus erneut einen Drilldown durchführen:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Navigieren Sie zu einer Dashboard- oder Protokollseite.
  3. Klicken Sie auf einen Metrikwert oder eine Metrikbezeichnung.
  4. In der Drilldown nach... Abschnitt, wählen Sie einen Schlüssel aus.
    Eine Detailseite wird angezeigt.
  5. Klicken Sie in der Tabelle auf einen Schlüssel, z. B. einen Statuscode oder eine Methode. (Der Schlüssel darf keine IP-Adresse oder kein Hostname sein.)
  6. In der Drilldown nach... Wählen Sie im Abschnitt einen Schlüssel aus, wie in der folgenden Abbildung dargestellt.


    Der Schlüsselfilter wird über der Tabelle angezeigt. Sie können jetzt alle Detailmetriken anzeigen, die mit diesem einzelnen Schlüssel verknüpft sind.
  7. Um diesen Filter aus der Tabelle zu entfernen und ihn dann auf das obere Diagramm anzuwenden, klicken Sie auf x Symbol, wie in der folgenden Abbildung dargestellt.


    Der Filter im Diagramm bleibt bestehen, wenn Sie andere Schlüssel im Abschnitt Details auswählen.

Detailmetriken zu einem Diagramm hinzufügen

Wenn Sie schnell eine Reihe von Detailmetriken in einem Dashboard überwachen möchten, ohne dieselben Drilldown-Schritte wiederholt ausführen zu müssen, können Sie bei der Bearbeitung eines Diagramms in der Metric Explorer. In den meisten Diagrammen können bis zu 20 der wichtigsten Detailmetrikwerte nach Schlüsseln aufgeschlüsselt angezeigt werden. Ein Schlüssel kann eine Client-IP-Adresse, ein Hostname, eine Methode, ein URI, ein Referrer oder mehr sein. Tabellen- und Listen-Widgets können bis zu 200 Metrikwerte mit den wichtigsten Details anzeigen.

Ein Dashboard zur Überwachung des Webverkehrs kann beispielsweise ein Diagramm enthalten, in dem die Gesamtzahl der HTTP-Anfragen und -Antworten angezeigt wird. Sie können dieses Diagramm bearbeiten, um jede Metrik nach IP-Adresse aufzuschlüsseln und die Top-Talker zu sehen.

In den folgenden Schritten erfahren Sie, wie Sie ein vorhandenes Diagramm bearbeiten und anschließend Detailmetriken anzeigen können:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Navigieren Sie zu einer Dashboard- oder Protokollseite.
  3. Klicken Sie auf den Diagrammtitel und wählen Sie dann Bearbeiten.
  4. In der Einzelheiten Abschnitt, klicken Drilldown nach <None> , wo <None> ist der Name des Drilldown-Metrikschlüssels, der derzeit in Ihrem Diagramm angezeigt wird.
  5. Wählen Sie einen Schlüssel aus der Drop-down-Liste aus.
    Hinweis:Wenn Sie mehr als einen haben Quelle Die in Ihrem Metriksatz ausgewählten Quellen, z. B. zwei Geräte, werden beim Drilldown automatisch zu einer Ad-hoc-Quellengruppe zusammengefasst. Sie können die Auswahl nicht aufheben Quellen kombinieren Checkbox. Um Drilldown-Metriken für jede Quelle anzuzeigen, müssen Sie eine Quelle aus dem Metriksatz entfernen und dann auf Quelle hinzufügen um einen neuen Metriksatz zu erstellen.
    Wenn detaillierte Metrikdaten für einen gemeinsamen Schlüssel für alle Metriken in einem Metriksatz verfügbar sind, wird der Schlüssel für die Detail-Metrik automatisch in der Dropdownliste angezeigt, wie in der folgenden Abbildung dargestellt. Wenn ein Schlüssel in der Liste ausgegraut ist, ist die mit diesem Schlüssel verknüpfte Detail-Metrik für alle Metriken in der oben genannten Metrik nicht verfügbar. Beispielsweise sind Client-, Server- und URI-Daten sowohl für HTTP-Anfragen als auch für HTTP-Antwortmetriken im Metriksatz verfügbar.

  6. Sie können Schlüssel mit einer ungefähren Übereinstimmung filtern, regulärer Ausdruck (Regex), oder führen Sie einen der folgenden Schritte durch, um eine exakte Übereinstimmung zu erzielen:
    • In der Filter Feld, wählen Sie Operator zur Anzeige von Schlüsseln nach ungefährer Übereinstimmung oder mit Regex. Sie müssen Schrägstriche mit Regex im Filter für ungefähre Treffer weglassen.
      Hinweis:Die Die Filteroption zum Ausschließen von Ergebnissen ist nur verfügbar für Detailseiten. Wenn Sie Ergebnisse in einem Dashboard-Diagramm ausschließen möchten, erstellen Sie ein regulärer Ausdruck (Regex).
    • In der Filter Feld, wählen Sie = Operator zur Anzeige von Tasten nach exakter Übereinstimmung.
  7. Optional: Geben Sie im oberen Ergebnisfeld die Anzahl der Schlüssel ein, die Sie anzeigen möchten. Diese Schlüssel werden die höchsten Werte haben.
  8. Um eine Drilldown-Auswahl zu entfernen, klicken Sie auf x Ikone.
    Hinweis:Sie können eine exakte Schlüsselübereinstimmung pro Metrik anzeigen, wie in der folgenden Abbildung dargestellt. Klicken Sie auf den Namen der Drilldown-Metrik (z. B. Alle Methoden), um einen bestimmten Metrik Drilldown-Key auszuwählen (z. B. GET) aus der Drop-down-Liste. Wenn ein Schlüssel grau erscheint (z. B. PROPFIND), sind Drilldown-Metrikdaten für diesen bestimmten Schlüssel nicht verfügbar. Sie können auch einen Schlüssel eingeben, der nicht in der Dropdownliste enthalten ist.

Rate oder Anzahl in einem Diagramm anzeigen

Sie können Fehler, Antworten, Anfragen und andere Zählmetrikdaten in einem Diagramm als Rate pro Sekunde oder als Gesamtzahl der Ereignisse im Zeitverlauf visualisieren. Für hochpräzise Metriken zu Netzwerkbytes und Netzwerkpaketen stehen Ihnen zusätzliche Optionen zur Verfügung, um die maximale, minimale und durchschnittliche Rate pro Sekunde in einem Diagramm anzuzeigen.

Wann Bearbeiten eines Diagramms im Metric Explorer, können Sie eine Anzahl oder Rate auswählen, indem Sie auf den Dropdown-Link unter dem Metriknamen klicken, wie in der folgenden Abbildung dargestellt.

Darüber hinaus können Sie aus den folgenden Optionen für die Anzeige von Tarifen und Zählungen wählen. Beachten Sie, dass der von Ihnen Metrik Metriktyp davon abhängt, welche Rate oder Anzahl automatisch angezeigt wird.

Durchschnittsrate
Berechnet den durchschnittlichen Metrikwert pro Sekunde für das ausgewählte Zeitintervall. Für netzwerkbezogene Messwerte wie Response L2 Bytes oder NetFlow Bytes wird die durchschnittliche Rate pro Sekunde automatisch angezeigt.
Zählen
Zeigt die Gesamtzahl der Ereignisse für das ausgewählte Zeitintervall an. Für die meisten Zählmetriken, wie Fehler, Anfragen und Antworten, wird die Anzahl automatisch angezeigt.
Zusammenfassung der Tarife
Berechnet den maximalen, minimalen und durchschnittlichen Metrikwert pro Sekunde. Bei hochpräzisen Metriken wie Netzwerkbytes und Netzwerkpaketen werden diese drei Raten automatisch als Zusammenfassung im Diagramm angezeigt. Sie können auch wählen, ob nur der Höchst-, Mindest- oder Durchschnittskurs in einem Diagramm angezeigt werden soll. Hochpräzise Metriken werden mit einem erfasst Granularitätsebene von 1 Sekunde und sind nur verfügbar, wenn Sie konfiguriere dein Diagramm mit einer Netzwerk- oder Gerätequelle.

Zeigen Sie den Durchschnittskurs in einem Diagramm an

Wenn Sie ein Diagramm mit einer Fehler-, Antwort-, Anfrage- oder anderen Zählmetrik konfiguriert haben, wird automatisch die Gesamtzahl der Ereignisse im Laufe der Zeit angezeigt. Sie können das Diagramm weiter bearbeiten, um eine Durchschnittsrate pro Sekunde für Ihre Daten anzuzeigen.

Before you begin

Erstellen Sie ein Diagramm und wählen Sie eine Zählmetrik, z. B. Fehler, Anfragen oder Antworten, als Quelle aus. Speichern Sie Ihr Diagramm in einem Dashboard.
Die folgenden Schritte zeigen Ihnen, wie Sie einem vorhandenen Dashboard-Diagramm einen Durchschnittskurs hinzufügen:
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Starte das Metric Explorer zum Bearbeiten des Diagramms indem Sie die folgenden Schritte ausführen:
    1. Wählen Sie im Dashboard-Dock ein Dashboard aus, das das Diagramm enthält, das Sie bearbeiten möchten.
    2. Klicken Sie auf den Diagrammtitel und wählen Sie Bearbeiten.
  4. klicken Zählen unter dem Metriknamen.
  5. Wählen Durchschnittliche Rate aus der Drop-down-Liste.
    Die Einheit „/s" wird auf Metrik Einheiten angewendet. Sie können jederzeit zur Zählung zurückkehren.
  6. klicken Speichern um den Metric Explorer zu schließen.
    Hinweis:Wenn Sie mehr als eine Zählmetrik in einem Diagramm auswählen, vermeiden Sie es, Raten und Zählungen zusammen in demselben Diagramm anzuzeigen. Es kann die Skala der Y-Achse verzerren. Die Y-Achse enthält nur dann ein „/s" auf den Häkchenbeschriftungen, wenn alle Metriken Raten anzeigen.

Zeigen Sie die maximale Rate in einem Diagramm an

Um die maximale Rate pro Sekunde einer Metrik in einem Diagramm anzuzeigen, müssen Sie ein Diagramm mit einer hochpräzisen Metrik konfigurieren.

Die folgenden Schritte zeigen Ihnen, wie Sie ein Diagramm konfigurieren, das eine maximale Rate anzeigt:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Führen Sie einen der folgenden Schritte aus:
    • Um ein neues Diagramm zu erstellen, klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite und wählen Sie dann Diagramm erstellen.
    • Um ein vorhandenes Diagramm zu bearbeiten, klicken Sie auf Armaturenbretter oben auf der Seite. Wählen Sie im Dashboard-Dock ein Dashboard aus, das das Diagramm enthält, das Sie bearbeiten möchten. Klicken Sie auf den Diagrammtitel und wählen Sie Bearbeiten.
  3. klicken Quelle hinzufügen und wählen Sie eine der folgenden Quellen aus:
    • Eine Netzwerkquelle, bei der es sich nicht um ein Flussnetz handelt, z. B. ein Standort.
    • Ein Gerät, z. B. ein Server oder ein Client.
  4. Suchen Sie nach einer der folgenden Metriken und wählen Sie sie aus:
    Für eine Netzwerkquelle
    • Netzwerk-Bytes (Gesamtdurchsatz)
    • Netzwerkpakete (Gesamtpakete)
    Für eine Gerätequelle
    • Netzwerk-Bytes (kombinierter eingehender und ausgehender Durchsatz pro Gerät)
    • Eingehende Netzwerk-Bytes (eingehender Durchsatz pro Gerät)
    • Netzwerk-Bytes Out (ausgehender Durchsatz pro Gerät)
    • Netzwerkpakete (kombinierte eingehende und ausgehende Pakete pro Gerät)
    • Eingehende Netzwerkpakete (eingehende Pakete pro Gerät)
    • Ausgehende Netzwerkpakete (ausgehende Pakete pro Gerät)
  5. Wählen Sie einen Diagrammtyp aus, der mit Zählmetriken kompatibel ist (einschließlich Linien-, Wert-, Säulen-, Balken-, Kreis- und Listendiagramme).
    Die Standardanzeige für eine hochpräzise Metrik ist eine Kursübersicht, in der automatisch die Höchst-, Durchschnitts- und Mindestrate angezeigt werden.
  6. klicken Zusammenfassung der Tarife unter dem Metriknamen.
  7. Wählen Maximaler Tarif aus dem Drop-down-Menü.
  8. klicken Speichern um den Metric Explorer zu schließen.

Perzentile oder einen Mittelwert in einem Diagramm anzeigen

Wenn Sie über eine Reihe von Servern verfügen, die für Ihr Netzwerk von entscheidender Bedeutung sind, können Sie anhand des 95. Perzentils der Serververarbeitungszeit in einem Diagramm abschätzen, wie viele Server Probleme haben. Perzentile sind statistische Kennzahlen, die Ihnen zeigen können, wie ein Datenpunkt im Vergleich zu einer Gesamtverteilung im Laufe der Zeit abschneidet.

Sie können Perzentilwert- und Mittelwertberechnungen (Durchschnittsberechnungen) nur in Diagrammen anzeigen, die Datensatz oder Probenset Metriken. Datensatzmetriken sind mit Timing und Latenz verknüpft, z. B. Metriken zur Serververarbeitungszeit und zur Roundtrip-Zeit. Sampleset-Metriken bieten Zusammenfassungen detaillierter Timing-Metriken, wie z. B. die Serververarbeitungszeit, aufgeschlüsselt nach Server, Methode oder URI.

Wann Bearbeiten eines Diagramms im Metric Explorer, können Sie Perzentile oder den Mittelwert auswählen, indem Sie auf den Dropdown-Link unter dem Metriknamen des Datensatzes oder des Stichprobensatzes klicken, wie in der folgenden Abbildung dargestellt.

Der Metric Explorer bietet die folgenden Berechnungen für die Anzeige von Perzentilen und des Mittelwerts.

Zusammenfassung

Bei Datensatzmetriken ist die Zusammenfassung ein Bereich, der die 95., 75., 50., 25. und 5. Perzentilwerte umfasst.

Beispielsweise enthält jede Linie in einem Kerzen-Chart fünf Datenpunkte. Wenn Zusammenfassung ausgewählt ist, stellt der Hauptteil der Linie den Bereich vom 25. Perzentil bis zum 75. Perzentil dar. Das mittlere Häkchen steht für das 50. Perzentil (Median). Der obere Schatten über der Körperlinie steht für das 95. Perzentil. Der untere Schatten steht für das 5. Perzentil.

Für Stichprobenmesswerte zeigt die Zusammenfassung die +/-1 Standardabweichung und die Mittelwerte an. Im Kerzen-Chart steht das vertikale Häkchen in der Linie für den Mittelwert und die oberen und unteren Schatten für die Standardabweichungswerte.

Gemein
Der berechnete Durchschnitt der Daten.
Median
Der 50. Perzentilwert einer Datensatzmetrik.
Maximal
Der 100. Perzentilwert einer Datensatzmetrik.
Minimal
Der 0-te Perzentilwert einer Datensatzmetrik.
Perzentil
Ein benutzerdefinierter Bereich von drei oder fünf Perzentilwerten für eine Datensatzmetrik.

Einen benutzerdefinierten Perzentilbereich anzeigen

Sie können einen benutzerdefinierten Bereich von drei oder fünf Perzentilwerten für Messwerte zur Serververarbeitungszeit oder Roundtrip-Zeit anzeigen. Sie können keine benutzerdefinierten Perzentile in einem Kreis - oder Statusdiagramm anzeigen.

Die folgenden Schritte zeigen Ihnen, wie Sie einem vorhandenen Dashboard-Diagramm einen benutzerdefinierten Perzentilbereich hinzufügen:

Before you begin

Erstellen Sie ein Diagramm und wähle eine Datensatz oder Probenset Metrik, und speichern Sie sie in einem Dashboard.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Starte das Metric Explorer zum Bearbeiten des Diagramms indem Sie die folgenden Schritte ausführen:
    1. Wählen Sie im Dashboard-Dock ein Dashboard aus, das das Diagramm enthält, das Sie bearbeiten möchten.
    2. Klicken Sie auf den Diagrammtitel und wählen Sie Bearbeiten.
  4. klicken Zusammenfassung unter dem Metriknamen.
  5. Wählen Perzentil... aus der Drop-down-Liste.
  6. Geben Sie im Feld Perzentile festlegen eine Zahl für jeden Perzentilwert ein, getrennt durch ein Komma. Um beispielsweise die 10., 30. und 80. Perzentile anzuzeigen, geben Sie 10, 30, 80.
  7. klicken Speichern. Ihr benutzerdefinierter Bereich wird jetzt im Diagramm angezeigt. Sie können jederzeit zwischen Ihrem benutzerdefinierten Bereich und anderen Perzentilauswahlen wie Zusammenfassung oder Maximum wechseln.
  8. klicken Speichern erneut, um den Metric Explorer zu schließen.

Ausreißer in Histogramm- oder Heatmap-Diagrammen filtern

Histogramm- und Heatmap-Diagramme zeigen eine Verteilung der Daten. Ausreißer können jedoch die Darstellung der Verteilung in Ihrem Diagramm verzerren, sodass es schwierig ist, Muster oder Durchschnittswerte zu erkennen. Die Standardfilteroption für diese Diagramme schließt Ausreißer aus dem Datenbereich aus und zeigt die Perzentile vom 5. bis 95. an. Sie können den Filter so ändern, dass der gesamte Datenbereich (Mindest- bis Höchstwerte), einschließlich Ausreißer, in Ihrem Diagramm angezeigt wird, indem Sie das folgende Verfahren ausführen.

  1. Klicken Sie auf den Diagrammtitel und wählen Sie dann Bearbeiten um das zu starten Metric Explorer.
  2. Klicken Sie auf Optionen Registerkarte.
  3. Wählen Sie in der Dropdownliste Standardfilter im Abschnitt Filter die Option Min bis Max.
  4. klicken Speichern um den Metric Explorer zu schließen.

Metrikbeschriftungen in einer Diagrammlegende bearbeiten

Sie können die standardmäßige Metrikbezeichnung in einem Diagramm in eine benutzerdefinierte Bezeichnung ändern. Sie können beispielsweise die Standardbezeichnung „Netzwerk-Bytes" in eine benutzerdefinierte Bezeichnung wie „Durchsatz" ändern.

Benutzerdefinierte Beschriftungen gelten nur für einzelne Diagramme. Eine benutzerdefinierte Bezeichnung für eine Metrik bleibt bestehen, wenn Sie das Diagramm in ein anderes Dashboard kopieren, ein Dashboard mit einem anderen Benutzer teilen oder Ihrem Diagramm neue Metriken hinzufügen.

Wenn Sie jedoch Änderungen an der ursprünglichen Metrik vornehmen, z. B. die Datenberechnung aktualisieren (z. B. vom Median auf das 95. Perzentil) oder die Metrik genauer untersuchen, wird die benutzerdefinierte Bezeichnung automatisch gelöscht. Das Etikett wird gelöscht, um eine falsche Kennzeichnung oder mögliche Ungenauigkeit der benutzerdefinierten Bezeichnung zu verhindern, wenn sich Metrik Daten ändern.

Im Folgenden finden Sie einige Überlegungen zum Ändern der Bezeichnung einer Diagrammlegende:

  • Für detaillierte Metriken, ein benutzerdefiniertes Etikett wird automatisch an alle im Diagramm angezeigten Schlüssel angehängt. Sie können jedoch die Reihenfolge des Schlüssels in der Bezeichnung ändern, indem Sie die Variable einbeziehen $-SCHLÜSSEL:
    • Typ $KEY-Fehler zur Anzeige Fehler 172.21.1.1
    • Typ [$KEY] -Fehler anzeigen [172.21.1.1] Fehler
  • Sie können Beschriftungen im Boxplot, im Candlestick, in der Heatmap, in der Tabelle oder in den Statusdiagrammen nicht ändern.
  • Metrik Delta- oder Dynamische Basislinie Baseline-Labels können nicht umbenannt werden.

Before you begin

Erstellen Sie ein Diagramm und wählen Sie eine Metrik aus.

Die folgenden Schritte zeigen Ihnen, wie Sie Metrikbeschriftungen in einem vorhandenen Dashboard-Diagramm ändern können:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Starte das Metric Explorer zum Bearbeiten des Diagramms indem Sie die folgenden Schritte ausführen:
    1. Wählen Sie im Dashboard-Dock ein Dashboard aus, das das Diagramm enthält, das Sie bearbeiten möchten.
    2. Klicken Sie auf den Diagrammtitel und wählen Sie Bearbeiten.
  4. Klicken Sie im Vorschaufenster des Metric Explorer auf die Metrik-Bezeichnung.
  5. Wählen Umbenennen aus dem Drop-down-Menü.
  6. In der Benutzerdefiniertes Etikett anzeigen Feld, geben Sie eine neue Bezeichnung ein.
    Die Bezeichnung muss sich von anderen Beschriftungen im Diagramm unterscheiden.
  7. klicken Speichern, und klicken Sie dann auf Speichern erneut, um den Metric Explorer zu schließen.
    Die neue Bezeichnung wird in Ihrem Diagramm angezeigt.

Hinzufügen einer Dynamische Basislinie zu einem Diagramm

Dynamische Basislinien helfen dabei, zwischen normaler und abnormaler Aktivität in Ihren Diagrammdaten zu unterscheiden. Basislinien werden nur in Flächen-, Kerzendiagrammen, Säulen-, Linien- und Linien- und Säulendiagrammen unterstützt.

Das ExtraHop-System berechnet dynamische Basislinien auf der Grundlage historischer Daten. Um einen neuen Datenpunkt auf einer Dynamische Basislinie zu generieren, berechnet das System den Medianwert für einen bestimmten Zeitraum.

Warnung:Durch das Löschen oder Ändern einer Dynamische Basislinie können Basisdaten aus dem System gelöscht werden. Wenn keine Dashboards auf eine Dynamische Basislinie verweisen, werden die Daten aus dem System gelöscht, um ungenutzte Systemressourcen freizugeben. Sie können eine Dynamische Basislinie nicht wiederherstellen, nachdem sie gelöscht wurde.

Wählen Sie einen Baseline-Typ, der am besten zu Ihrer Umgebung passt. Wenn Sie beispielsweise regelmäßig dramatische Veränderungen von einem Tag zum anderen feststellen, wählen Sie einen Basiswert für die Wochenstunden aus, der die Aktivitäten an bestimmten Wochentagen vergleicht. Wenn die HTTP-Aktivität an Samstagen stark ansteigt, können Sie anhand der Wochenstundenbasis den aktuellen Anstieg der HTTP-Aktivität mit dem Niveau vergleichen, das an anderen Samstagen zur gleichen Stunde zu beobachten ist. In der folgenden Tabelle wird beschrieben, wie die einzelnen Basislinientypen berechnet werden:

Basislinientyp Historische Daten Was die Baseline miteinander vergleicht Neue Basisdatenpunkte hinzugefügt
Stunde des Tages 10 Tage Metrische Werte für eine bestimmte Stunde eines Tages. Zum Beispiel jeden Tag um 14:00 Uhr. Jede Stunde
Stunde der Woche 5 Wochen Metrische Werte für eine bestimmte Stunde an einem bestimmten Wochentag. Zum Beispiel jeden Mittwoch um 14:00 Uhr. Jede Stunde
Kurzfristiger Trend 1 Stunde Metrische Werte für jede Minute in einer Stunde. Alle 30 Sekunden

Im Folgenden finden Sie einige wichtige Überlegungen zum Hinzufügen einer Basislinie zu einem Diagramm:

  • Dynamische Baselines berechnen und speichern Basisdaten. Daher verbraucht das Erstellen einer Baseline Systemressourcen, und die Konfiguration zu vieler Baselines kann die Systemleistung beeinträchtigen.
  • Durch das Löschen oder Ändern einer Dynamische Basislinie können Dynamische Basislinie Basisdaten aus dem System gelöscht werden.
  • Detailmetriken, auch als Topnsets bezeichnet, werden nicht unterstützt. Die Metriken Sampleset, Maximal Rate und Minimal Rate werden ebenfalls nicht unterstützt. Wenn eine dieser Arten von Kennzahlen in Ihrem Diagramm ausgewählt ist, können Sie keine Dynamische Basislinie für diese Daten generieren.
  • Das System kann nur dann mit dem Aufbau einer Dynamische Basislinie beginnen, wenn die erforderliche Menge an historischen Daten verfügbar ist. Zum Beispiel ein Stunde des Tages Für den Basisplan sind historische Daten von 10 Tagen erforderlich. Wenn das System erst seit sechs Tagen Daten sammelt, beginnt die Basislinie erst mit der Darstellung, wenn Daten für weitere vier Tage vorliegen.
  • Das System zeichnet nicht rückwirkend eine Dynamische Basislinie für historische Daten auf. Das System zeichnet nur eine Dynamische Basislinie für neue Daten.
  • Wenn zwei identische dynamische Baselines in separaten Dashboards existieren, verwenden die Dashboards die Basisdaten wieder. Die Baselines müssen jedoch identisch sein. Wenn Sie einen neuen Basislinientyp auswählen, teilt die neue Dynamische Basislinie keine Daten mit der vorherigen Dynamische Basislinie.

Die folgenden Schritte zeigen Ihnen, wie Sie einem vorhandenen Dashboard-Diagramm eine Dynamische Basislinie hinzufügen:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter.
  3. Starte das Metric Explorer zum Bearbeiten des Diagramms indem Sie die folgenden Schritte ausführen:
    1. Wählen Sie im Dashboard-Dock ein Dashboard aus, das das Diagramm enthält, das Sie bearbeiten möchten.
    2. Klicken Sie auf den Diagrammtitel und wählen Sie dann Bearbeiten.
  4. Klicken Sie auf Analyse Tabulatur.
  5. In der Dynamische Baselines Wählen Sie im Abschnitt eine der folgenden Optionen für den Dynamische Basislinie Baseline-Typ aus:
    Option Bezeichnung
    Stunde des Tages Zeigt den Medianwert für eine bestimmte Stunde des Tages an. Diese Option ist am nützlichsten, wenn die Aktivitäten in Ihrer Umgebung normalerweise einem konsistenten Tagesmuster folgen. Wenn Sie an verschiedenen Wochentagen regelmäßig stark unterschiedliche Aktivitätsniveaus feststellen, ist diese Option weniger nützlich, da der Basiswert normalerweise nicht mit den aktuellen Werten übereinstimmt.
    Stunde der Woche Zeigt den Medianwert für eine bestimmte Stunde an einem bestimmten Wochentag an. Diese Option ist am nützlichsten, wenn Sie an jedem Wochentag regelmäßig ein deutlich unterschiedliches Verkehrsaufkommen feststellen.
    Kurzfristiger Trend Zeigt den Medianwert der letzten Stunde an. Diese Option ist nützlich, um Diagrammdaten zu glätten, um kurzfristige Trends aufzudecken.
  6. klicken Speichern um den Metric Explorer zu schließen und zum Dashboard zurückzukehren.
    Das ExtraHop-System beginnt mit der Berechnung der Dynamische Basislinie. Neue Basisdatenpunkte werden jede Stunde oder 30 Sekunden hinzugefügt, wie in der folgenden Abbildung dargestellt.

Hinzufügen einer statischen Schwellenwertlinie zu einem Diagramm

Durch die Anzeige einer statischen Schwellenwertlinie in einem Diagramm können Sie feststellen, welche Datenpunkte entweder unter oder über einem signifikanten Wert liegen.

Sie können beispielsweise ein Liniendiagramm für die Serververarbeitungszeit erstellen, um die Leistung einer wichtigen Datenbank in Ihrer Netzwerkumgebung zu überwachen. Durch Hinzufügen einer Schwellenwertlinie, die eine Grenze der akzeptablen Verarbeitungszeit (Service Level Agreement, SLA) definiert, können Sie erkennen, wann sich die Datenbankleistung verlangsamt, und das Problem beheben.

Sie können nach Belieben eine oder mehrere Schwellenwertlinien hinzufügen Bearbeiten Sie ein Diagramm mit dem Metric Explorer. Diese Linien sind lokal im Diagramm und nicht mit anderen Widgets oder Benachrichtigungen verknüpft. Schwellenwertlinien sind nur für Flächen-, Kerzen-, Säulen-, Linien-, Linien- und Säulen- und Statusdiagramme verfügbar.

Die folgenden Schritte zeigen Ihnen, wie Sie einem vorhandenen Dashboard-Diagramm eine statische Schwellenwertlinie hinzufügen:

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Dashboards.
  3. Starte das Metric Explorer zum Bearbeiten des Diagramms indem Sie die folgenden Schritte ausführen:
    1. Wählen Sie im Dashboard-Dock ein Dashboard aus, das das Diagramm enthält, das Sie bearbeiten möchten.
    2. Klicken Sie auf den Diagrammtitel und wählen Sie dann Bearbeiten.
  4. Klicken Sie auf Analyse Tabulatur.
  5. In der Statische Schwellenwerte Abschnitt, klicken Schwellenlinie hinzufügen.
  6. In der Wert Feld, geben Sie eine Zahl ein, die den Schwellenwert für die Zeile angibt. Dieser Wert bestimmt, wo die Linie auf der Y-Achse Ihres Diagramms erscheint.
    Hinweis:Für Diagramme, die nur angezeigt werden Metriken zählen (wie Byte, Fehler und Antworten) wird der Wert der Schwellenwertlinie automatisch skaliert, je nachdem, ob die Daten wird als Rate oder Anzahl angezeigt. Wenn Daten nur als Anzahl angezeigt werden, passt sich der Schwellenwert der Zeile automatisch dem Rollup-Zeitraum an (entweder 30 Sekunden, 5 Minuten, 1 Stunde oder 1 Tag). Die Die Dauer des Datenaufrufs wird durch das Zeitintervall bestimmt du wählst.
  7. In der Etikett Feld, geben Sie einen Namen für Ihre Schwellenwertlinie ein.
  8. In der Farbe Feld, wählen Sie eine Farbe (Grau, Rot, Orange oder Gelb) für Ihre Schwellenwertlinie aus.
  9. klicken Speichern um den Metric Explorer zu schließen.

Gerätegruppenmitglieder in einem Diagramm anzeigen

Wenn Sie über ein Diagramm verfügen, in dem eine Gerätegruppe angezeigt wird, können Sie Messwerte für die wichtigsten Geräte in der Gruppe anzeigen, anstatt einen einzelnen Wert für die gesamte Gerätegruppe anzuzeigen. Wenn Sie im Metric Explorer nach Gruppenmitgliedern aufschlüsseln, können Sie bis zu 20 Geräte im Diagramm anzeigen.

Wenn Sie in einem Diagramm weniger Gruppenmitglieder sehen als die von Ihnen angegebene Anzahl von Ergebnissen, kann dies daran liegen, dass Sie eine integrierte Gerätegruppe mit einer kleinen Anzahl von Geräten ausgewählt haben. Bei integrierten Gerätegruppen werden Geräte dynamisch einer Gruppe zugeordnet, basierend auf der Art des Protokollverkehrs, dem sie zugeordnet sind, oder der Rolle, die ihnen zugewiesen wurde.

Before you begin

Erstellen Sie ein Diagramm das eine Gerätegruppe als ausgewählte Quelle enthält. Speichern Sie das Diagramm in einem Dashboard.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Armaturenbretter .
  3. Starte das Metric Explorer zum Bearbeiten des Diagramms indem Sie die folgenden Schritte ausführen:
    1. Wählen Sie im Dashboard-Dock ein Dashboard aus, das das Diagramm enthält, das Sie bearbeiten möchten.
    2. Klicken Sie auf den Diagrammtitel und wählen Sie Bearbeiten.
  4. In der Einzelheiten Feld, klicken Drilldown nach <None> , wo <None> ist der Name der Detail-Metrik, die derzeit in Ihrem Diagramm angezeigt wird. Wählen Sie dann Mitglied der Gruppe.
  5. Geben Sie im Feld mit den besten Ergebnissen die Anzahl der Gruppenmitglieder ein, die Sie anzeigen möchten. Diese Geräte werden die höchsten Metrik Werte haben. Sie können bis zu 20 Gruppenmitglieder anzeigen.
  6. klicken Speichern um den Metric Explorer zu schließen.
    Hinweis:Wenn Sie einen Drilldown nach Gruppenmitgliedern durchführen, können Sie keine zusätzlichen Drilldowns durchführen, um detaillierte Metriken für jedes Gerät anhand eines Schlüssels anzuzeigen. Um detaillierte Kennzahlen für ein Gerät nach Schlüsseln anzuzeigen, empfehlen wir, ein weiteres Diagramm mit bestimmten Geräten als Quelle zu erstellen.

Filter für reguläre Ausdrücke

Filtern Sie Ihre Suchergebnisse, indem Sie reguläre Ausdrücke (Regex) in bestimmte Suchfelder im gesamten ExtraHop-System schreiben. Sie können beispielsweise nach Parametern in einem Detail-Metrik Metrikschlüssel filtern, z. B. nach einer Zahl innerhalb einer IP-Adresse. Sie können auch filtern, indem Sie bestimmte Schlüssel oder eine Kombination von Schlüsseln aus Diagrammen ausschließen.

Regex-fähige Suchfelder verfügen im gesamten System über visuelle Indikatoren und akzeptieren die Standardsyntax.
Suchfelder mit einem Sternchen
Klicken Sie auf das Sternchen, um Regex-Strings zu aktivieren.

Dieser Feldtyp ist auf den folgenden Systemseiten verfügbar:
  • Eine Tabelle mit Geräten filtern
  • Filterkriterien für eine dynamische Gerätegruppe erstellen
Bestimmte Suchfelder mit einem Dreifeld-Operator
Klicken Sie auf das Operator-Dropdown-Menü, um die Regex-Option auszuwählen.

Dieser Feldtyp ist auf der folgenden Systemseite verfügbar:
  • Bearbeiten eines Diagramms im Metric Explorer
Bestimmte Suchfelder mit einem Tooltip
Bewegen Sie den Mauszeiger über den Tooltip im Feld, um zu sehen, wann Regex erforderlich ist.

Dieser Feldtyp ist auf der folgenden Systemseite verfügbar:
  • Hinzufügen von Datensatzbeziehungen zu einer benutzerdefinierten Metrik

Die folgende Tabelle enthält Beispiele für die Standard-Regex-Syntax.

Chart-Szenario Regex-Filter So funktionierts
HTTP-Statuscodes vergleichen 200 zu 404. (200|404) Das vertikale Balkensymbol (|) ist der OR-Operator. Dieser Filter passt 200, oder 404, oder beide Statuscodes.
Zeigt einen beliebigen HTTP-Statuscode an, der eine enthält 4. [41] Eckige Klammern ([und]) kennzeichnen einen Zeichenbereich. Der Filter sucht nach jedem Zeichen innerhalb der Klammern, unabhängig von der Reihenfolge. Dieser Filter entspricht jedem Wert, der eine enthält 4 oder ein 1. Dieser Filter kann beispielsweise zurückgeben 204, 400, 101, oder 201 Statuscodes.
Alle anzeigen 500HTTP-Statuscodes auf -Ebene. ^ [5] Das Caret-Zeichen (^) außerhalb der eckigen Klammern ([und]) bedeutet „beginnt mit". Dieser Filter entspricht jedem Wert, der mit a beginnt 5. Dieser Filter kann beispielsweise zurückgeben 500 und 502 Statuscodes.
Alle anzeigen 400 und 500 HTTP-Statuscodes auf -Ebene. ^ [45] Mehrere Werte in eckigen Klammern ([und]) werden einzeln gesucht, auch wenn ihnen das Caret-Symbol (^) vorangestellt ist. Dieser Filter sucht nicht nach Werten, die beginnen mit 45, entspricht aber allen Werten, die mit a beginnen 4 oder 5. Dieser Filter kann beispielsweise zurückgeben 400, 403, und 500 Statuscodes.
Zeigt alle HTTP-Statuscodes an, außer 200 Statuscodes auf -Ebene. ^ (?! 2) Ein Fragezeichen (? ) und Ausrufezeichen (! ) in Klammern geben einen auszuschließenden Wert an. Dieser Filter entspricht allen Werten außer Werten, die mit a beginnen 2. Dieser Filter kann beispielsweise zurückgeben 400, 500, und 302 Statuscodes.
Zeigen Sie eine beliebige IP-Adresse mit einem 187. 187. Spiele 1, 8, und 7 Zeichen in der IP-Adresse. Dieser Filter gibt keine IP-Adressen zurück, die auf 187 enden, da der letzte Zeitraum angibt, dass hinter den Werten etwas stehen muss. Wenn Sie den Punkt als Literalwert durchsuchen möchten, müssen Sie ihm einen umgekehrten Schrägstrich ( \) voranstellen.
Überprüfen Sie alle IP-Adressen, die 187.18. 187\ ,18. Spiele 187.18 und alles, was folgt. Der erste Punkt wird wörtlich behandelt, da ihm ein umgekehrter Schrägstrich (\) vorangestellt ist. Die zweite Periode wird als Platzhalter behandelt. Dieser Filter gibt beispielsweise Ergebnisse für 187.18.0.0, 180.187.0.0, oder 187.180.0.0/16. Dieser Filter gibt keine Adresse zurück, die endet mit 187.18, weil der Platzhalter erfordert, dass Zeichen den angegebenen Werten folgen.
Zeigen Sie eine beliebige IP-Adresse an, außer 187.18.197.150. ^ (?! 187\ .18\ .197\ .150) Passt zu allem außer 187.18.197.150, wo ^(?!) gibt den auszuschließenden Wert an.
Schließt eine Liste bestimmter IP-Adressen aus. ^(?!187\.18\.197\.15[012]) Passt zu allem außer 187.18.197.150, 187.18.197.151, und 187.18.197.152, wo ^(?!) gibt den auszuschließenden Wert an und die eckigen Klammern ([und]) geben mehrere Werte an.

Zusätzliche Filter

Wenn du eine benutzerdefinierte Detail-Metrik erstellen im Metrikkatalog können Sie dem Suchfeld Zusätzliche Filter im Bereich Datensatzbeziehungen erweiterte Regex-Syntax hinzufügen.

Der Tooltip wird angezeigt, nachdem Sie ausgewählt haben Detail: Metrik und ist nicht verfügbar, wenn Basismetrik ist ausgewählt.

Die Regex-Syntax in diesem Feld muss die folgenden Anforderungen erfüllen:
  • Wenn Ihr Schlüssel mehrere Werte enthält, muss Ihre Regex-Syntax eine einzelne Capture-Gruppe enthalten. Eine Capture-Gruppe wird durch Klammern gekennzeichnet. Ihre Erfassungsgruppe bestimmt den Filterwert.

  • Wenn Sie einen bestimmten Wert aus einem Detail-Metrik Metrikschlüssel zurückgeben möchten, der mehrere Datensatzfeldwerte enthält, muss die Regex der folgenden Syntax folgen:

    $SCHLÜSSEL:/ <regex> /

    Wenn Ihr Detail-Metrik Metrikschlüssel beispielsweise ipaddr:host:cipher lautet und Sie nur den IP-Adresswert zurückgeben möchten, würden Sie Folgendes eingeben:

    $SCHLÜSSEL: /^ ([^:] +): . +/

  • Wenn Ihr Schlüssel mehrere Datensatzfeldwerte enthält, werden die Werte durch ein Trennzeichen getrennt, das in dem Auslöser angegeben ist, der den Schlüssel generiert. Die Platzierung der Trennzeichen in Ihrer Regex-Syntax muss mit den Trennzeichen im Detailschlüssel übereinstimmen. Wenn Sie beispielsweise einen Schlüssel mit drei Werten haben, die durch ein Trennzeichen getrennt sind, das ein Doppelpunkt ist, müssen die drei Werte für den Schlüssel in Ihrer Regex-Syntax durch zwei Doppelpunkte getrennt werden.
Hinweis:Wenn Sie alle Datensatzfeldwerte in einem detaillierten Metrikschlüssel zurückgeben möchten, geben Sie ein $-SCHLÜSSEL. Wenn Ihr Detail-Metrik Metrikschlüssel beispielsweise ipaddr:host:cipher lautet, geben Sie ein $-SCHLÜSSEL im Suchfeld , um alle drei dieser Felddatensatzwerte (IP-Adresse, Hostname und SSL-Verschlüsselungssuite) zurückzugeben.

Finden Sie alle Geräte, die mit externen IP-Adressen kommunizieren

Die folgenden Schritte zeigen Ihnen, wie Sie alle externen IP-Adressen finden, mit denen Ihre internen Geräte kommunizieren. Sie können dann sehen, ob Geräte unbefugte Verbindungen von anderen Geräten außerhalb Ihres Netzwerk herstellen oder empfangen.

Hinweis:Standardmäßig wird jedes Gerät mit einer RFC1918-IP-Adresse (in einem 10/8-, 172.16/12- oder 192.168/16 CIDR-Block enthalten), das das ExtraHop-System automatisch erkennt, als internes Gerät klassifiziert. Da einige Netzwerkumgebungen IP-Adressen enthalten, die nicht nach RFC1918 stammen, als Teil ihres internen Netzwerk können Sie Geben Sie den Standort einer IP-Adresse an auf der Seite Network Localities.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. klicken Vermögenswerte oben auf der Seite.
    Die Seite Geräte wird angezeigt, auf der alle Protokolle mit Datenverkehr im ausgewählten Zeitintervall aufgeführt sind.
  3. Von Geräte nach Protokollaktivität, klicken Sie auf die Anzahl der TCP-Geräte.
    Oben auf der Seite befindet sich der Extern akzeptiert und Extern verbunden Metriken zeigen an, wie viele IP-Adressen außerhalb Ihres internen Netzwerk aktiv mit all Ihren Netzwerkgeräten verbunden sind.
  4. Klicken Sie für eine der Metrik auf den blauen Metrikwert.
  5. Wählen Sie im Abschnitt Drilldown nach... Mitglied der Gruppe. Eine Seite mit Detail-Metrik wird angezeigt, auf der alle Namen Ihrer Netzwerkgeräte und die Anzahl der Verbindungen zu externen IP-Adressen angezeigt werden.
  6. Klicken Sie auf einen Gerätenamen, den Sie untersuchen möchten. Eine Protokollseite für dieses Gerät wird angezeigt, die Metriken zum Gerät enthält.

Überwachen Sie ein Gerät auf externe IP-Adressverbindungen

Wenn Sie über einen Authentifizierungsserver oder eine Datenbank verfügen, die keine Verbindung zu IP-Adressen außerhalb Ihres internen Netzwerk herstellen sollen, können Sie in einem Dashboard ein Wertdiagramm erstellen, das die Messwerte Extern Accepted und External Connected verfolgt. Von Ihrem Dashboard aus können Sie dann die Anzahl der externen Verbindungen für ein bestimmtes Gerät überwachen.

Hinweis:Standardmäßig wird jedes Gerät mit einer RFC1918-IP-Adresse (in einem 10/8-, 172.16/12- oder 192.168/16 CIDR-Block enthalten), das das ExtraHop-System automatisch erkennt, als internes Gerät klassifiziert. Da einige Netzwerkumgebungen IP-Adressen enthalten, die nicht nach RFC1918 stammen, als Teil ihres internen Netzwerk können Sie Geben Sie den Standort einer IP-Adresse an auf der Seite Network Localities.

Die folgenden Schritte zeigen Ihnen, wie Sie ein Wertdiagramm für diese TCP-Metriken erstellen und das Diagramm dann zu einem Dashboard hinzufügen.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. klicken Vermögenswerte oben auf der Seite.
  3. klicken Geräte im linken Bereich.
  4. Finde ein Gerät und klicken Sie dann auf den Gerätenamen.
  5. klicken TCP im linken Bereich. Im Diagramm Gesamtzahl der Verbindungen in der oberen linken Ecke zeigen die Metriken Extern Accepted und Extern Connected an, wie viele IP-Adressen außerhalb Ihres internen Netzwerk mit dem Gerät verbunden sind.
  6. Klicken Sie auf Verbindungen insgesamt Titel des Diagramms.
  7. Wählen Sie im Drop-down-Menü Diagramm erstellen aus.... Der Metric Explorer wird mit den bereits im Diagramm ausgewählten Gerät- und TCP-Metriken geöffnet.
  8. Klicken Sie unten im Metric Explorer auf Wert Diagramm.
  9. Klicken Sie im linken Bereich im Bereich Metrik auf x Symbol , um jede TCP-Metrik zu löschen, die Sie nicht im Diagramm sehen möchten, wie in der folgenden Abbildung dargestellt.


    Ihr Dashboard enthält jetzt Metriken, mit denen Sie das Verhältnis aller akzeptierten Verbindungen zu externen akzeptierten Verbindungen sowie das Verhältnis aller initiierten Verbindungen zu extern initiierten Verbindungen verfolgen können.
  10. Optional: Nehmen Sie mit dem Metric Explorer weitere Änderungen am Diagramm vor.
  11. klicken Zum Dashboard hinzufügen und füllen Sie eine der folgenden Optionen aus:
    • Wählen Sie den Namen eines vorhandenen Dashboard aus der Liste aus. Die Dashboard-Liste ist von den zuletzt erstellten Dashboards (unten) bis zu den ältesten Dashboards (oben) geordnet.
    • Wählen Dashboard erstellen. Geben Sie im Fenster Dashboard-Eigenschaften einen Namen für das neue Dashboard ein und klicken Sie dann auf Erstellen.
  12. Optional: Nehmen Sie weitere Änderungen am Dashboard-Layout vor.
  13. klicken Layoutmodus verlassen. Ihr Dashboard ist fertig.

Nächste Maßnahme

Ein Dashboard teilen

Vergleichen Sie Zeitintervalle, um das Metrik Delta zu ermitteln

Durch den Vergleich von Metrikdaten zwischen zwei Zeitintervallen können Sie den Unterschied oder das Delta in Metrik Daten nebeneinander in demselben Diagramm erkennen. Wenn Sie einen Vergleich erstellen und zu einem anderen Bereich des ExtraHop-Systems navigieren, ist der Vergleich vorübergehend deaktiviert. Wenn Sie zu Ihrer ursprünglichen Seite zurückkehren, ist der von Ihnen gespeicherte Vergleich wieder aktiviert.

  1. Suchen Sie ein Diagramm mit den Kennzahlen, die Sie vergleichen möchten.
  2. Klicken Sie in der oberen linken Ecke der Navigationsleiste auf das Zeitintervall.
  3. In der Zeitintervall Tab, klicken Vergleiche.
  4. In der Vorheriges Intervall (Vergleich) Wählen Sie im Abschnitt das Zeitintervall aus, das mit dem aktuellen Zeitintervall verglichen werden soll.
  5. klicken Speichern. Neue Metrikdaten aus dem Vergleichszeitintervall werden in das Originaldiagramm eingefügt.
  6. Gehen Sie wie folgt vor, um den Vergleich zu entfernen:
    1. Klicken Sie auf das Zeitintervall.
    2. klicken Vergleich entfernen.
    3. klicken Speichern.
    Hinweis:Dynamische Basislinien werden nicht in einem Diagramm angezeigt, wenn Sie Zeitintervalle vergleichen.

Vermögenswerte

Alle anhand der Daten in Ihrem Netzwerk gesammelten Metrikaktivitäten sind logisch in Abschnitte auf der Seite „Ressourcen" gruppiert, in denen Sie nach den benötigten Daten navigieren können.

Video:Sehen Sie sich die entsprechende Schulung an: Vermögenswerte

Geräte

Geräte, auch bekannt als Assets und Endpoints, sind Objekte in Ihrem Netzwerk mit einer MAC-Adresse oder IP-Adresse, die vom ExtraHop-System automatisch erkannt und klassifiziert wurden. Ordnen Sie ein beliebiges Gerät einem Diagramm, einer Alarm oder einem Auslöser als Metrikquelle zu. Erfahre mehr über Geräte.

Gerätegruppen

Gerätegruppen sind benutzerdefinierte Gruppen von Geräten, die einem Diagramm, einer Alarm oder einem Auslöser gemeinsam als Metrikquelle zugewiesen werden können. Du kannst eine dynamische Gerätegruppe erstellen das fügt Geräte hinzu, die Ihren angegebenen Kriterien entsprechen, oder Sie können eine statische Gerätegruppe erstellen und fügen Sie Geräte manuell hinzu oder entfernen Sie sie. Das ExtraHop-System umfasst auch integrierte dynamische Gerätegruppen nach Rolle und Protokollaktivität, die Sie als Metrikquelle zuweisen können. Klicken Sie auf der Seite Geräte auf einen Rollen- oder Protokoll-Link , um Metriken für eine integrierte Gerätegruppe anzuzeigen.

Nutzer

Auf der Seite Benutzer werden eine Liste aller aktiven Benutzer in Ihrem Netzwerk sowie der Geräte angezeigt, an denen sich der Benutzer angemeldet hat. Der Benutzername wird aus dem Authentifizierungsprotokoll wie LDAP oder Active Directory extrahiert. Suchen Sie nach Geräten, auf die ein bestimmter Benutzer zugegriffen hat.

Hinweis:Diese Benutzer sind nicht mit Benutzerkonten für das ExtraHop-System verknüpft.

Anwendungen

Anwendungen sind benutzerdefinierte Container, die verteilte Systeme in Ihrem Netzwerk darstellen. Erstellen Sie eine Anwendung, um die gesamte Metrikaktivität im Zusammenhang mit Ihrem Website-Traffic anzuzeigen — Webtransaktionen, DNS-Anfragen und -Antworten sowie Datenbanktransaktionen. Sehen Sie die Häufig gestellte Fragen zu Anwendungen.

Grundlegende Anwendungen, die integrierte Metriken nach Protokollaktivität filtern, können sein erstellt durch das ExtraHop-System . Komplexe Anwendungen, die benutzerdefinierte Metriken oder Metriken aus Nicht-L7-Verkehr sammeln, müssen durch einen Auslöser erstellt, was JavaScript-Code erfordert. Erfahre mehr über Trigger erstellen.

Netzwerke

Netzwerke sind Standorte und Flussnetzwerke, von denen das ExtraHop-System Daten sammelt und analysiert. Websites enthalten Paket Sensoren und Fluss Sensoren. Klicken Sie auf einen Eintrag, um die mit einer Standort verknüpften VLANs anzuzeigen, oder klicken Sie auf einen Eintrag, um die mit einem Flussnetz verknüpften Schnittstellen anzuzeigen.

Geräte

Das ExtraHop-System erkennt und klassifiziert automatisch Geräte, auch Endpunkte genannt, die aktiv über Ihr Netzwerk kommunizieren, wie Clients, Server, Router, Load Balancer und Gateways. Jedes Gerät erhält die höchste verfügbare Analyseniveau, basierend auf Ihrer Systemkonfiguration.

Das ExtraHop-System kann Geräte entdecken und verfolgen nach ihrer MAC-Adresse (L2 Discovery) oder nach ihren IP-Adressen (L3 Discovery). Die Aktivierung von L2 Discovery bietet den Vorteil, dass Metriken für ein Gerät auch dann verfolgt werden, wenn die IP-Adresse durch eine DHCP-Anfrage geändert oder neu zugewiesen wird. Wenn L3 Discovery aktiviert ist, ist es wichtig zu wissen, dass Geräte möglicherweise keine Eins-zu-Eins-Beziehung zu den physischen Geräten in Ihrer Umgebung haben. Wenn beispielsweise ein einzelnes physisches Gerät über mehrere aktive Netzwerkschnittstellen verfügt, wird dieses Gerät vom ExtraHop-System als mehrere Geräte identifiziert.

Nachdem ein Gerät erkannt wurde, beginnt das ExtraHop-System mit der Erfassung von Metriken auf der Grundlage der Analyseebene für dieses Gerät konfiguriert. Die Analyseebene bestimmt, welche Arten von Metriken generiert werden und welche Funktionen für die Organisation von Metrikdaten verfügbar sind.

klicken Vermögenswerte aus dem oberen Menü, um Suchoptionen und Diagramme anzuzeigen, die einen Einblick in die aktiven Geräte geben, die während des ausgewählten Zeitintervalls in Ihrem Netzwerk entdeckt wurden:

AI Search Assistant (erfordert Zugriff auf das NDR-Modul)
Ermöglicht es Ihnen suche nach Geräten mit Fragen geschrieben in natürlicher, alltäglicher Sprache. KI-Suchassistent muss vom ExtraHop-Administrator aktiviert werden.
Standard-Suchfeld
Stellt einen Filter bereit, zu dem Kriterien hinzugefügt werden können suche nach bestimmten Geräten. Klicken Sie auf den Filter, um die Suchkriterien zu ändern.
Vorschläge für die Suche
Bietet Suchvorschläge, die die erstellten Suchfilter nutzen.
Aktive Geräte
Zeigt die Gesamtzahl der Geräte an, die vom ExtraHop-System während des ausgewählten Zeitintervalls erkannt wurden. Klicken Sie auf die Zahl, um eine Liste aller erkannten Geräte anzuzeigen. In der Liste der aktiven Geräte können Sie suche nach bestimmten Geräten oder klicken Sie auf einen Gerätenamen, um Gerätedetails auf der Seite „ Geräteübersicht".
Neue Geräte
Zeigt die Anzahl der Geräte an, die in den letzten fünf Tagen entdeckt wurden. Klicken Sie auf die Nummer, um eine Liste all dieser Geräte anzuzeigen.
Geräte nach Rolle
Zeigt jede Geräterolle und die Anzahl der Geräte an, die jeder Rolle zugewiesen sind, die während des angegebenen Zeitintervalls aktiv ist. Klicken Sie auf eine Geräterolle, um eine integrierte Übersichtsseite für Gerätegruppen anzuzeigen, die Metrikdaten, Peer-IPs und Protokollaktivitäten für diese Gerätegruppe enthält. Sie können auch zusätzliche Filterkriterien hinzufügen und die Gruppe als neue dynamische Gerätegruppe speichern.
Geräte nach Protokollaktivität
Zeigt eine Liste der Protokollaktivitäten an, die in Ihrem Netzwerk gefunden wurden. Klicken Sie auf einen Protokollnamen oder eine Geräteanzahl, um eine integrierte Übersichtsseite mit bestimmten Metrikdiagrammen zu dieser Protokollaktivität anzuzeigen. Klicken Sie auf eine Aktivitätsdiagramm, um alle Gerät-zu-Gerät-Verbindungen anzuzeigen. Sie können auch zusätzliche Filterkriterien hinzufügen und die Gruppe als neue dynamische Gerätegruppe speichern.

Seite „Geräteübersicht"

Wenn Sie auf einen Gerätenamen klicken, können Sie alle Informationen, die das ExtraHop-System über das Gerät ermittelt hat, auf der Seite Geräteübersicht einsehen. Die Seite „Geräteübersicht" ist in drei Abschnitte unterteilt: eine Zusammenfassung auf oberster Ebene, einen Eigenschaftenbereich und einen Aktivitätsbereich.

Zusammenfassung des Geräts

Die Geräteübersicht enthält Informationen wie den Gerätenamen, die aktuelle IP-Adresse oder MAC-Adresse und die dem Gerät zugewiesene Rolle. Wenn der Blick von einem Konsole, der Name der mit dem Gerät verknüpften Standort wird ebenfalls angezeigt.

  • klicken Aufzeichnungen um eine zu starten Datensatzabfrage das wird von diesem Gerät gefiltert.
  • klicken Pakete um eine zu starten Paketabfrage das wird von diesem Gerät gefiltert.
Eigenschaften des Geräts

Der Abschnitt mit den Geräteeigenschaften enthält die folgenden bekannten Attribute und Zuweisungen für das Gerät.

Hochwertiges Gerät
Eine hoher Wert Ikone erscheint, wenn das ExtraHop-System beobachtet hat, dass das Gerät Authentifizierung oder wichtige Dienste bereitstellt; Sie können auch manuell ein Gerät als hohen Wert angeben. Die Risikowerte für Erkennungen auf hoher Wert Geräten werden erhöht.
IP-Adressen
Eine Liste von IP-Adressen, die zu einem beliebigen Zeitpunkt während des ausgewählten Zeitintervalls auf dem Gerät beobachtet wurden. Wenn L2-Entdeckung aktiviert ist, zeigt die Liste möglicherweise sowohl IPv4- als auch IPv6-Adressen an, die gleichzeitig auf dem Gerät beobachtet werden, oder die Liste zeigt möglicherweise mehrere IP-Adressen an , die über DHCP-Anfragen zu unterschiedlichen Zeiten zugewiesen wurden. Ein Zeitstempel gibt an, wann die IP-Adresse zuletzt auf dem Gerät beobachtet wurde. Klicken Sie auf eine IP-Adresse um andere Geräte anzuzeigen, auf denen die IP-Adresse gesehen wurde.
Zugeordnete IP-Adressen
Eine Liste von IP-Adressen, normalerweise außerhalb des Netzwerk, die dem Gerät zu einem beliebigen Zeitpunkt während des ausgewählten Zeitintervalls zugeordnet sind. Beispielsweise kann ein VPN-Client in Ihrem Netzwerk mit einer externen IP-Adresse im öffentlichen Internet verknüpft sein. Ein Zeitstempel gibt an, wann die IP-Adresse zuletzt mit dem Gerät verknüpft wurde. Klicken Sie auf eine zugehörige IP-Adresse um Details wie den geografischen Standort und andere Geräte, mit denen die IP-Adresse verknüpft wurde, anzuzeigen.
Eigenschaften der Cloud-Instanz

Die folgenden Cloud-Instanzeigenschaften werden für das Gerät angezeigt, wenn Sie die Eigenschaften über die REST-API konfigurieren:

  • Cloud-Konto
  • Cloud-Instanztyp
  • Virtuelle private Cloud (VPC)
  • Subnetz
  • Name der Cloud-Instanz (wird in der Eigenschaft Known Alias angezeigt)
  • Beschreibung der Cloud-Instanz (Instanz-Metadaten werden automatisch für Geräte in Flow Analysis angezeigt)

siehe Fügen Sie Cloud-Instanz-Eigenschaften über den ExtraHop API Explorer hinzu für weitere Informationen.

Nutzer
Eine Liste der authentifizierten Benutzer, die am Gerät angemeldet sind. Klicken Sie auf einen Nutzernamen um auf die Seite Benutzer zu gehen und zu sehen, auf welchen anderen Geräten der Benutzer angemeldet ist.
Bekannte Aliase
Eine Liste von Alternativen Gerätenamen und das Quellprogramm oder Protokoll.
Hinweis:Es werden mehrere DNS-Namen unterstützt.
Hardware und Software
Die Hardware oder der Hersteller, die Marke und das Modell des Geräts sowie alle Betriebssysteme, die auf dem Gerät ausgeführt werden.

Das ExtraHop-System beobachtet den Netzwerkverkehr auf Geräten, um automatisch Hersteller, Marke und Modell zu ermitteln, oder Sie können manuell eine neue Marke und ein neues Modell zuweisen.

Hinweis:(CrowdStrike-Integration nur auf Reveal (x) 360) Klicken Sie auf Links von CrowdStrike-Geräten, um Gerätedetails in CrowdStrike Falcon anzuzeigen, und die Eindämmung von CrowdStrike-Geräten einleiten die an einer Sicherheitserkennung Erkennung.
Schlagworte
Die dem Gerät zugewiesene Tags. Klicken Sie auf einen Tagnamen, um die anderen Geräte anzuzeigen, denen das Tag zugewiesen ist.
Zuerst und zuletzt gesehen
Die Zeitstempel von der ersten Entdeckung des Geräts und der letzten Aktivität auf dem Gerät. NEU erscheint, wenn das Gerät innerhalb der letzten fünf Tage entdeckt wurde
Analyse
Die Ebene der Analyse die dieses Gerät empfängt.

Hier sind einige Möglichkeiten, wie Sie Geräteeigenschaften anzeigen und ändern können:

  • klicken Gruppen ansehen um das anzusehen Gerätegruppe Mitgliedschaft für das Gerät.
  • klicken Eigenschaften bearbeiten um Geräteeigenschaften anzuzeigen oder zu ändern , wie Geräterolle, Gerätegruppenmitgliedschaften oder Geräte-Tags.
  • klicken Aufgaben bearbeiten um zu sehen oder zu ändern, welche Warnungen und löst aus sind dem Gerät zugewiesen.
Aktivität auf dem Gerät

Der Abschnitt Geräteaktivität enthält Informationen darüber, wie das Gerät mit anderen Geräten kommuniziert und welche Erkennungen und Warnungen mit dem Gerät verknüpft sind.

  • klicken Verkehr um Diagramme für Protokoll- und Peer-Daten anzuzeigen, und dann bohren zu Metriken in Verkehrskarten.
    Hinweis:Verkehrsdiagramme sind nicht verfügbar, wenn die Geräteanalyseebene auf Entdeckungsmodus ist. Um Verkehrskarten für das Gerät zu aktivieren, erhöhen Sie das Gerät auf Fortgeschrittene Analyse oder Standardanalyse.
  • klicken Erkennungen , um eine Liste der Entdeckungen anzuzeigen, und klicken Sie dann auf einen Erkennungsnamen, um Erkennungsdetails anzeigen.
  • klicken Ähnliche Geräte um eine Liste von Geräten mit ähnlichem Netzwerkverkehrsverhalten anzuzeigen, das bei einer Analyse des maschinellen Lernens beobachtet wurde. Mit ähnlichen Geräten können Sie bei der Bedrohungssuche Einblick in das normale Geräteverhalten gewinnen. Diese Registerkarte wird nur angezeigt, wenn dem Gerät ähnliche Geräte zugeordnet sind.
  • (NPM-Modulzugriff erforderlich.) klicken Alerts , um eine Liste von Benachrichtigungen anzuzeigen, und klicken Sie dann auf einen Warnungsnamen, um Warnungsdetails anzeigen. Diese Registerkarte wird nur angezeigt, wenn dem Gerät Warnmeldungen zugeordnet sind.
  • klicken Peer-Geräte zu Sehen Sie sich eine Aktivitätsdiagramm an, eine visuelle Darstellung der L4-L7-Protokollaktivität zwischen Geräten in Ihrem Netzwerk. Zu Ändern Sie die Aktivitätsdiagramm mit zusätzlichen Filtern und Schritten, klicken Sie Activity Map öffnen.
Hinweis:Sie können die Seite „Geräteübersicht" mit einem Lesezeichen für eine bestimmte Aktivitätsansicht versehen, indem Sie die tab URL-Parameter auf einen der folgenden Werte:
  • tab=traffic
  • tab=detections
  • tab=alerts
  • tab=peers

Die folgende URL zeigt beispielsweise immer Erkennungsaktivitäten für das angegebene Gerät an:

https://example-eda/extrahop/#/metrics/devices//0026b94c03810000/overview/&tab=detections

Geräte-Metriken

Metriken sind Echtzeitmessungen Ihres Netzwerkverkehrs, die das ExtraHop-System aus Netzwerk- oder Flussdaten berechnet. Aus dem Geräteverkehr gesammelte Messwerte können in integrierten Diagrammen und Grafiken auf einer Geräteseite angezeigt werden.

Klicken Sie im linken Bereich auf eine integrierte Metrikseite, um die oberste Ebene anzuzeigen Gerätemetriken oder Client und Server Metriken nach Protokoll. Klicken Sie auf ein Diagramm, um Detailseiten mit Metriken aufrufen, die Metrikwerte für einen bestimmten Schlüssel (z. B. eine Client- oder Server-IP-Adresse) anzeigen.

Zusätzlich zu den integrierten Netzwerk- und TCP-Seiten zeigen Geräte integrierte Metrikseiten für zugehörige Cloud-Dienste an, sofern Daten verfügbar sind. Sehen Sie die Referenz zu Protokollmetriken für weitere Informationen darüber, welche Daten auf den integrierten Geräteseiten verfügbar sind.

Das ExtraHop-System bietet Tausende von integrierten Metriken. Hier sind einige Möglichkeiten, wie Sie weitere Einblicke in Ihre Geräte gewinnen können

Angaben zur IP-Adresse

Geben Sie eine IP-Adresse in das globale Suchfeld ein oder klicken Sie auf einer Seite mit der Geräteübersicht auf einen IP-Adress-Link, um Details zu einer IP-Adresse anzuzeigen.

Die folgenden Informationen werden für eine IP-Adresse angezeigt, die auf einem Gerät angezeigt wird:

  • Jedes Gerät, auf dem die IP-Adresse derzeit beobachtet wird, unabhängig vom ausgewählten Zeitintervall.
  • Jedes Gerät, bei dem die IP-Adresse zuvor innerhalb des ausgewählten Zeitintervalls beobachtet wurde, einschließlich des Zeitstempel, ab dem die IP-Adresse zuletzt auf dem Gerät gesehen wurde.

Wenn L2-Entdeckung aktiviert ist, können sowohl IPv4- als auch IPv6-Adressen gleichzeitig auf dem Gerät beobachtet werden, oder es können dem Gerät im Laufe der Zeit unterschiedliche IP-Adressen von DHCP zugewiesen werden.

Die folgenden Informationen werden für eine IP-Adresse angezeigt, die einem Gerät zugeordnet ist:

  • Die Geolokalisierung der IP-Adresse und Links zur ARIN Whois-Website.
  • Jedes Gerät, bei dem die zugehörige IP-Adresse zu einem beliebigen Zeitpunkt während des ausgewählten Zeitintervalls außerhalb des Netzwerk gesehen wurde. Beispielsweise kann ein VPN-Client in Ihrem Netzwerk mit einer externen IP-Adresse im öffentlichen Internet verknüpft sein.
  • Alle Cloud-Dienste, die mit der IP-Adresse verknüpft sind.
  • Die IP-Adresse des Gerät, wie sie vom ExtraHop-System in Ihrem Netzwerk gesehen wird.
  • Der Zeitstempel, zu dem die zugehörige IP-Adresse zuletzt auf dem Gerät gesehen wurde.

Hier sind einige Möglichkeiten, wie Sie zusätzliche IP-Adresse und Geräteinformationen anzeigen können:

  • Zeigen Sie mit der Maus auf einen Gerätenamen, um die Geräteeigenschaften anzuzeigen.
  • Klicken Sie auf einen Gerätenamen, um die Seite mit der Geräteübersicht anzeigen.
  • klicken Suche nach Datensätzen um eine zu starten Datensatzabfrage das wird nach der IP gefiltert .
  • klicken Suche nach Paketen um eine zu starten Paketabfrage das wird von diesem Gerät gefiltert.

Geräte gruppieren

Sowohl mit benutzerdefinierten Geräten als auch mit Gerätegruppen können Sie Ihre Gerätekennzahlen aggregieren. Benutzerdefinierte Geräte sind vom Benutzer erstellte Geräte, die Metriken auf der Grundlage bestimmter Kriterien sammeln, während Gerätegruppen Metriken für alle angegebenen Geräte in einer Gruppe sammeln. Bei Gerätegruppen können Sie weiterhin Messwerte für jedes einzelne Gerät oder Gruppenmitglied anzeigen. Die Messwerte für ein benutzerdefiniertes Gerät werden wie für ein einzelnes Gerät erfasst und angezeigt — Sie können keine individuellen Gerätemetriken anzeigen.

Sowohl Gerätegruppen als auch benutzerdefinierte Geräte können Metriken basierend auf Ihren angegebenen Kriterien dynamisch aggregieren. Wir empfehlen, zuverlässige Kriterien wie Geräte-IP-Adresse, MAC-Adresse, VLAN, Tag oder Typ auszuwählen. Sie können Geräte zwar anhand ihres Namens auswählen, aber wenn der DNS-Name nicht automatisch erkannt wird, wird das Gerät nicht hinzugefügt.

  Gerätegruppen Maßgeschneiderte Geräte
Kriterien Beinhaltet:
  • Gerätenamen und Aliase
  • IP-Adresse, MAC-Adresse, Subnetz
  • Quell- und Zielport
  • Entdeckungszeit
  • Kritikalität des Geräts
  • Rolle „Gerät"
  • Protokollaktivität
  • Externe Verbindungen
  • Anbieter, Modell, Software
  • Eigenschaften der Cloud-Instanz
  • VLAN
  • Geräte-Tags
  • IP-Adresse
  • Bidirektionaler, eingehender oder ausgehender Datenverkehr
  • Peer-IP-Adresse
  • Quellport
  • Zielport
  • VLAN
Kosten der Leistung Vergleichsweise niedrig. Da Gerätegruppen nur Metriken kombinieren, die bereits berechnet wurden, hat dies einen relativ geringen Effekt auf die Erfassung von Metrik. Die Verarbeitung einer hohen Anzahl von Gerätegruppen mit einer großen Anzahl von Geräten und komplexen Kriterien nimmt jedoch mehr Zeit in Anspruch. Vergleichsweise hoch. Da die Metriken für benutzerdefinierte Geräte auf der Grundlage benutzerdefinierter Kriterien aggregiert werden, erfordert eine große Anzahl benutzerdefinierter Geräte oder benutzerdefinierter Geräte mit extrem breiten Kriterien mehr Verarbeitung. Benutzerdefinierte Geräte erhöhen auch die Anzahl der Systemobjekte, für die Metriken übertragen werden.
Einzelne Gerätekennzahlen anzeigen Ja Nein
Bearbeitungssteuerung für Benutzer mit eingeschränktem Schreibzugriff Ja

Nutzer mit eingeschränkte Schreibrechte kann Gerätegruppen erstellen und bearbeiten. Diese globale Rechterichtlinie muss in den Administrationseinstellungen aktiviert werden.

Nein
Bewährte Verfahren Erstellen Sie für lokale Geräte, bei denen Sie die Metriken in einem einzigen Diagramm anzeigen und vergleichen möchten. Gerätegruppen können als Metrikquelle festgelegt werden. Erstellen Sie für Geräte, die sich außerhalb Ihres lokalen Netzwerk befinden, oder für Arten von Datenverkehr, den Sie als eine einzige Quelle organisieren möchten. Beispielsweise möchten Sie möglicherweise alle physischen Schnittstellen auf einem Server als ein einziges benutzerdefiniertes Gerät definieren, um die Messobjekte für diesen Server als Ganzes besser anzeigen zu können.

Maßgeschneiderte Geräte

Mit benutzerdefinierten Geräten können Sie Messwerte für Geräte erfassen, die sich außerhalb Ihres lokalen Netzwerk befinden, oder wenn Sie über eine Gruppe von Geräten verfügen, für die Sie Messwerte zu einem einzigen Gerät zusammenfassen möchten. Bei diesen Geräten kann es sich sogar um unterschiedliche physische Schnittstellen handeln, die sich auf demselben Gerät befinden. Wenn Sie die Messwerte für diese Schnittstellen zusammenfassen, können Sie leichter nachvollziehen, wie stark Ihre physischen Ressourcen insgesamt belastet sind, und nicht anhand der einzelnen Schnittstellen.

Du könntest ein benutzerdefiniertes Gerät erstellen um einzelne Geräte außerhalb Ihrer lokalen Broadcast-Domain zu verfolgen oder Metriken über mehrere bekannte IP-Adressen oder CIDR-Blöcke von einem entfernten Standort oder Cloud-Dienst aus zu sammeln. Du kannst Erfassen Sie Metriken von Remote-Standorten für benutzerdefinierte Geräte um zu erfahren, wie Dienste an entfernten Standorten genutzt werden, und um Einblick in den Verkehr zwischen entfernten Standorten und einem Rechenzentrum zu erhalten. Sehen Sie die Referenz zu Protokollmetriken für eine vollständige Liste der Metriken und Beschreibungen von Remote-Standorten.

Nachdem Sie ein benutzerdefiniertes Gerät erstellt haben, werden alle mit den IP-Adressen und Ports verknüpften Messwerte zu einem einzigen Gerät zusammengefasst, das L2-L7-Metriken erfasst. Ein einzelnes benutzerdefiniertes Gerät zählt als ein Gerät auf Ihre lizenzierte Kapazität für Erweiterte Analyse oder Standardanalyse, was es Ihnen ermöglicht ein benutzerdefiniertes Gerät zur Beobachtungsliste hinzufügen. Alle Auslöser oder Warnungen werden dem benutzerdefinierten Gerät ebenfalls als einzelnes Gerät zugewiesen.

Benutzerdefinierte Geräte aggregieren zwar Metriken auf der Grundlage ihrer definierten Kriterien, aber die Metrikberechnungen werden nicht genauso behandelt wie für erkannte Geräte. Angenommen, Sie haben einem benutzerdefinierten Gerät einen Auslöser zugewiesen, das Datensätze in einen Recordstore überträgt. Das benutzerdefinierte Gerät wird jedoch in keinem Transaktionsdatensatz als Client oder Server angezeigt. Das ExtraHop-System füllt diese Attribute mit dem Gerät, das der Konversation auf der Leitung entspricht.

Benutzerdefinierte Geräte können sich auf die Gesamtleistung des Systems auswirken. Daher sollten Sie die folgenden Konfigurationen vermeiden:

  • Vermeiden Sie es, mehrere benutzerdefinierte Geräte für dieselben IP-Adressen oder Ports zu erstellen. Benutzerdefinierte Geräte , die mit sich überschneidenden Kriterien konfiguriert sind, können die Systemleistung beeinträchtigen.
  • Vermeiden Sie es, ein benutzerdefiniertes Gerät für eine Vielzahl von IP-Adressen oder Ports zu erstellen, da dies die Systemleistung beeinträchtigen könnte.

Wenn eine große Anzahl von benutzerdefinierten Geräten die Leistung Ihres Systems beeinträchtigt, können Sie ein benutzerdefiniertes Gerät löschen oder deaktivieren. Die eindeutige Discovery-ID für das benutzerdefinierte Gerät verbleibt immer im System. siehe Erstellen Sie ein benutzerdefiniertes Gerät zur Überwachung des Datenverkehrs in entfernten Büros um sich mit kundenspezifischen Geräten vertraut zu machen.

Gerätegruppen

Eine Gerätegruppe ist eine benutzerdefinierte Sammlung, mit der Sie Messwerte für mehrere Geräte verfolgen können, die normalerweise nach gemeinsamen Attributen wie Protokollaktivitäten gruppiert sind.

Du kannst eine statische Gerätegruppe erstellen das erfordert, dass Sie manuell ein Gerät zur Gruppe hinzufügen oder daraus entfernen. Oder du kannst eine dynamische Gerätegruppe erstellen das beinhaltet Kriterien, die bestimmen, welche Geräte automatisch in die Gruppe aufgenommen werden. Sie können zum Beispiel Erstellen Sie eine dynamische Gerätegruppe basierend auf der Geräteerkennungszeit das fügt Geräte hinzu , die während eines bestimmten Zeitintervalls entdeckt wurden.

Standardmäßig enthält die Gerätegruppenseite die folgenden dynamischen Gerätegruppen, die Sie überschreiben oder löschen können:

Neue Geräte (letzte 24 Stunden)
Beinhaltet Ressourcen und Endpunkte, die das ExtraHop-System in den letzten 24 Stunden zum ersten Mal erkannt hat.
Neue Geräte (letzte 7 Tage)
Beinhaltet Ressourcen und Endpunkte, die das ExtraHop-System in den letzten 7 Tagen zum ersten Mal erkannt hat.

Das ExtraHop-System umfasst auch integrierte dynamische Gerätegruppen nach Rolle und Protokoll. Sie können integrierte Gerätegruppen als Metrikquelle für Objekte wie Diagramme, Benachrichtigungen, Auslöser und Aktivitätskarten zuweisen. Sie können eine integrierte Gerätegruppe nicht überschreiben oder löschen, aber Sie können Filterkriterien hinzufügen und sie als neue Gerätegruppe speichern.

Klicken Sie auf der Seite Geräte auf eine Geräteanzahl für eine Rolle oder ein Protokoll, z. B. Domänencontroller oder CIFS-Clients, um die Seite Gerätegruppenübersicht aufzurufen. Wenn Sie oben auf der Seite auf den Filter klicken, können Sie zusätzliche Kriterien hinzufügen und die Seitendaten bei Bedarf aktualisieren, anstatt eine Gerätegruppe erstellen zu müssen.

Die Erfassung von Metriken mit Gerätegruppen hat keine Auswirkungen auf die Leistung. Wir empfehlen Ihnen jedoch, priorisieren Sie diese Gruppen durch ihre Bedeutung, sicherzustellen, dass die richtigen Geräte den höchsten Analysegrad erhalten.

Gerätegruppen sind eine gute Wahl, wenn Sie Geräte haben, die Sie gemeinsam als Quelle verwenden möchten. Sie könnten beispielsweise Messwerte für all Ihre Produktionswebserver mit hoher Priorität in einem Dashboard sammeln und anzeigen.

Durch das Erstellen einer Gerätegruppe können Sie all diese Geräte als eine einzige Metrik Quelle verwalten, anstatt sie als einzelne Quellen zu Ihren Diagrammen hinzuzufügen. Beachten Sie jedoch, dass alle zugewiesenen Auslöser oder Benachrichtigungen jedem Gruppenmitglied (oder einzelnen Gerät) zugewiesen werden.

Gerätenamen und Rollen

Nachdem ein Gerät erkannt wurde, verfolgt das ExtraHop-System den gesamten mit dem Gerät verbundenen Datenverkehr, um den Gerätenamen und die Rolle zu ermitteln.

Gerätenamen

Das ExtraHop-System erkennt Gerätenamen durch passive Überwachung von Benennungsprotokollen wie DNS, DHCP, NETBIOS und Cisco Discovery Protocol (CDP).

Wenn ein Name nicht über ein Benennungsprotokoll ermittelt wird, wird der Standardname aus Geräteattributen wie MAC-Adressen und IP-Adressen abgeleitet. Für einige Geräte, die auf Fluss entdeckt wurden Sensoren, weist das ExtraHop-System Namen basierend auf der Rolle des Gerät zu, z. B. Internet Gateway oder Amazon DNS Server. Du kannst auch einen benutzerdefinierten Namen erstellen oder einen Cloud-Instanznamen festlegen für ein Gerät.

Ein Gerät kann anhand mehrerer Namen identifiziert werden, die auf der Seite Geräteübersicht als Bekannte Aliase angezeigt werden. Wenn ein Gerät mehrere Namen hat, Die Reihenfolge der Anzeigepriorität ist in den Administrationseinstellungen festgelegt. Sie können nach einem beliebigen Namen suchen, um finde ein Gerät.

Hinweis:Benutzerdefinierte Namen werden nicht zwischen verbundenen ExtraHop-Systemen synchronisiert. Beispielsweise ist ein für einen Sensor erstellter benutzerdefinierter Name nicht über eine verbundene Konsole verfügbar.

Wenn ein Gerätename keinen Hostnamen enthält, hat das ExtraHop-System noch keinen mit diesem Gerät verbundenen Verkehr mit dem Namensprotokoll beobachtet. Das ExtraHop-System führt keine DNS-Suchen nach Gerätenamen durch.

Geräterollen

Je nach Art des Datenverkehrs, der dem Gerät oder dem Gerätemodell zugeordnet ist, weist das ExtraHop-System dem Gerät automatisch eine Rolle zu, z. B. ein Gateway, einen Server, eine Datenbank oder einen Load Balancer. Die Rolle „Andere" wird Geräten zugewiesen, die nicht identifiziert werden können.

Einem Gerät kann jeweils nur eine Rolle zugewiesen werden. Sie können manuell eine Geräterolle ändern, oder das ExtraHop-System weist möglicherweise eine andere Rolle zu, wenn beobachtete Traffic- und Verhaltensänderungen beobachtet werden. Wenn beispielsweise ein PC in einen Server umfunktioniert wurde, können Sie die Rolle sofort ändern, oder die Änderung wird im Laufe der Zeit beobachtet und die Rolle wird vom System aktualisiert.

Das ExtraHop-System identifiziert die folgenden Rollen:

Ikone Rolle Beschreibung
Benutzerdefiniertes Gerät Ein vom Benutzer erstelltes Gerät, das Metriken auf der Grundlage bestimmter Kriterien erfasst. Das ExtraHop-System weist diese Rolle automatisch zu, wenn Sie ein benutzerdefiniertes Gerät erstellen. Die benutzerdefinierte Rolle kann einem Gerät nicht manuell zugewiesen werden.
Angriffssimulator Ein Gerät, auf dem Software zur Breach- und Angriffssimulation (BAS) ausgeführt wird, um Angriffe in einem Netzwerk zu simulieren.
Datenbank Ein Gerät, das hauptsächlich eine Datenbankinstanz hostet.
DHCP-Server Ein Gerät, das hauptsächlich DHCP-Serveraktivitäten verarbeitet.
DNS-Server Ein Gerät, das hauptsächlich DNS-Serveraktivitäten verarbeitet.
Domänencontroller Ein Gerät, das als Domänencontroller für Kerberos-, CIFS- und MSRPC-Serveraktivitäten fungiert.
Dateiserver Ein Gerät, das auf Lese- und Schreibanforderungen für Dateien über NFS - und CIFS/SMB-Protokolle reagiert.
Brandmauer Ein Gerät, das den eingehenden und ausgehenden Netzwerkverkehr überwacht und den Datenverkehr gemäß den Sicherheitsregeln blockiert. Das ExtraHop-System weist Geräten diese Rolle nicht automatisch zu.
Tor Ein Gerät, das als Router oder Gateway fungiert. Das ExtraHop-System sucht bei der Identifizierung von Gateways nach Geräten, denen eine große Anzahl an eindeutigen IP-Adressen zugeordnet ist (ab einem bestimmten Schwellenwert). Gateway-Gerätenamen enthalten den Routernamen wie Cisco B1B500. Im Gegensatz zu anderen L2-Elterngeräte , du kannst ein Gateway-Gerät zur Beobachtungsliste hinzufügen für erweiterte Analysen.
IP-Kamera Ein Gerät, das Bild- und Videodaten über das Netzwerk sendet. Das ExtraHop-System weist diese Rolle basierend auf dem Gerätemodell zu.
Load Balancer Ein Gerät, das als Reverse-Proxy für die Verteilung des Datenverkehrs auf mehrere Server fungiert.
Medizinisches Gerät Ein Gerät, das für Gesundheitsbedürfnisse und medizinische Umgebungen entwickelt wurde. Das ExtraHop-System weist diese Rolle möglicherweise zu, wenn es sich bei einem Gerät um eine bekannte medizinische Marke und ein bekanntes medizinisches Modell handelt oder wenn das Gerät DICOM-Verkehr verarbeitet.
Mobilgerät Ein Gerät, auf dem ein mobiles Betriebssystem installiert ist, z. B. iOS oder Android.
NAT-Schnittstelle Ein Gerät, das als Network Address Translation (NAT) -Gateway fungiert. Das ExtraHop-System weist diese Rolle möglicherweise zu, wenn ein Gerät mit vier oder mehr Betriebssystem-Fingerabdruckfamilien oder mit vier oder mehr Hardware- oder Herstellermarken und -modellen verknüpft ist. Nachdem einem Gerät diese Rolle zugewiesen wurde, werden Geräteeigenschaften für Software, Hardwaremarke und -modell sowie authentifizierte Benutzer nicht mehr für das Gerät angezeigt.
PC Ein Gerät wie ein Laptop, ein Desktop, eine Windows-VM oder ein macOS-Gerät, das DNS-, HTTP- und SSL-Clientdatenverkehr verarbeitet.
Drucker Ein Gerät, mit dem Benutzer Text und Grafiken von anderen angeschlossenen Geräten drucken können. Das ExtraHop-System weist diese Rolle auf der Grundlage des Gerätemodells oder des über mDNS beobachteten Datenverkehrs (Multicast-DNS) zu.
VoIP-Telefon Ein Gerät, das Voice over IP (VoIP) -Telefonanrufe verwaltet.
VPN-Client Ein internes Gerät, das mit einer Remote-IP-Adresse kommuniziert. Wenn VPN-Client-Erkennung ist aktiviert, weist das ExtraHop-System diese Rolle automatisch internen Geräten zu, die über ein VPN-Gateway mit Remote-IP-Adressen kommunizieren. Sie können einem Gerät die VPN-Client-Rolle nicht manuell zuweisen.
VPN-Gateway Ein Gerät, das zwei oder mehr VPN-Geräte oder Netzwerke miteinander verbindet , um Remoteverbindungen zu überbrücken. Das ExtraHop-System weist diese Rolle Geräten mit einer großen Anzahl von externen VPN-Peers zu, wenn die automatische Klassifizierung für diese Rolle in der laufenden Konfigurationsdatei aktiviert ist.
Schwachstellen-Scanner Ein Gerät, auf dem Programme zum Schwachstellenscanner ausgeführt werden.
Web-Proxyserver Ein Gerät, das HTTP-Anfragen zwischen einem Gerät und einem anderen Server verarbeitet.
Webserver Ein Gerät, das hauptsächlich Webressourcen hostet und auf HTTP-Anfragen reagiert.
Wi-Fi-Zugangspunkt Ein Gerät, das ein drahtloses lokales Netzwerk erstellt und ein drahtloses Netzwerksignal in einen bestimmten Bereich projiziert. Das ExtraHop-System weist diese Rolle basierend auf dem Gerätemodell zu.

Finde ein Gerät

Das ExtraHop-System erkennt automatisch Geräte wie Clients, Server, Router, Load Balancer und Gateways, die aktiv über das Kabel mit anderen Geräten kommunizieren. Sie können auf dem System nach einem bestimmten Gerät suchen und dann die Verkehrs- und Protokollmetriken auf einer Protokollseite anzeigen.

Finden Sie Geräte über eine globale Suche

Sie können über das globale Suchfeld oben auf der Seite nach Geräten suchen. Die globale Suche vergleicht einen Suchbegriff mit mehreren Geräteeigenschaften wie Hostname, IP-Adresse, bekanntem Alias, Anbieter, Tag, Beschreibung und Gerätegruppe. Wenn Sie beispielsweise nach dem Begriff suchen vm, in den Suchergebnissen werden möglicherweise Geräte angezeigt, die Folgendes enthalten vm im Gerätenamen, Gerätehersteller oder Geräte-Tag.

  1. Geben Sie einen Suchbegriff in das globale Suchfeld oben auf der Seite ein.
  2. Klicken Sie Beliebiger Typ und wählen Sie dann Geräte.
    Die Suchergebnisse werden in einer Liste unter dem Suchfeld angezeigt. Klicken Sie Mehr Ergebnisse um durch die Liste zu blättern.

    Passende Geräte, die während des angegebenen Zeitintervalls keine Aktivität hatten, haben die Bezeichnung Inaktiv.

    Hinweis:Geräte, die länger als 90 Tage inaktiv sind, werden von den globalen Suchergebnissen ausgeschlossen. Sie können jedoch sofort schließt alle Geräte aus, die seit weniger als 90 Tagen inaktiv waren über die Administrationseinstellungen.
  3. Klicken Sie auf einen Gerätenamen, um das zu öffnen Seite „ Geräteübersicht" und Geräteeigenschaften und Messwerte anzeigen.

Geräte anhand von Details finden

Sie können anhand von Informationen, die über das Kabel beobachtet wurden, wie IP-Adresse, MAC-Adresse, Hostname oder Protokollaktivität, nach Geräten suchen. Sie können auch anhand benutzerdefinierter Informationen wie Geräte-Tags nach Geräten suchen.

Mit dem Dreifeld-Suchfilter können Sie nach mehreren Kategorien gleichzeitig suchen. Sie können beispielsweise Filter für Gerätename, IP-Adresse und Rolle hinzufügen, um Ergebnisse für Geräte anzuzeigen, die alle angegebenen Kriterien erfüllen.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Vermögenswerte und klicken Sie dann auf Aktive Geräte Diagramm.
  3. Optional: Falls angezeigt, klicken Sie auf Standardsuche.
  4. Klicken Sie im Dreifeld-Filter auf Name und wählen Sie eine der folgenden Kategorien aus:
    Option Bezeichnung
    Name Filtert Geräte nach dem erkannten Gerätenamen. Ein ermittelter Gerätename kann beispielsweise die IP-Adresse oder den Hostnamen enthalten.
    MAC-Adresse Filtert Geräte nach der MAC-Adresse des Gerät.
    IP Adresse Filtert Geräte nach IP-Adresse in den Blockformaten IPv4, IPv6 oder CIDR.
    Standort Filtert Geräte, die einer verbundenen Standort zugeordnet sind.

    Nur für die Konsole.

    Zeit für Entdeckungsreisen Filtert Geräte, die vom ExtraHop-System innerhalb des angegebenen Zeitintervalls automatisch erkannt werden. Weitere Informationen finden Sie unter Erstellen Sie eine Gerätegruppe basierend auf der Erkennungszeit.
    Analyseebene Filtert Geräte nach Analyseebene, die bestimmt, welche Daten und Metriken für ein Gerät erfasst werden.

    Sie können keine dynamische Gerätegruppe für Geräte erstellen, die nach Analyseebene gefiltert sind.

    Modell Filtert Geräte nach Marke und Modellname. Die folgenden Tipps können Ihnen helfen, das gewünschte Gerätemodell zu finden:
    • Wählen Sie den Operator für exakte Übereinstimmung (=), um eine Dropdownliste der vorhandenen Modelle und Modellsätze anzuzeigen.
    • Wählen Sie den Exact-Match-Operator (=) und wählen Sie dann Maßgeschneiderte Modelle um alle Geräte zu filtern, die einem benutzerdefinierten Modellsatz zugewiesen sind.
    Aktivität Filtert Geräte nach Protokollaktivität, die dem Gerät zugeordnet ist. Wenn Sie beispielsweise HTTP-Server auswählen, werden Geräte mit HTTP-Server-Metriken und jedes andere Gerät zurückgegeben, dessen Geräterolle auf HTTP-Server festgelegt ist.

    Filtert auch Geräte, die eine externe Verbindung akzeptiert oder initiiert haben, sodass Sie feststellen können, ob Geräte verdächtige Aktivitäten ausführen.

    Cloud-Konto Filtert Geräte nach dem Cloud-Dienstkonto, das dem Gerät zugeordnet ist.
    Cloud-Instanz-ID Filtert Geräte nach der Cloud-Instanz-ID, die dem Gerät zugeordnet ist.
    Cloud-Instanztyp Filtert Geräte nach dem Cloud-Instanztyp, der dem Gerät zugeordnet ist.
    Hoher Wert Filtert Geräte, die als hoher Wert eingestuft werden, weil sie Authentifizierungsdienste bereitstellen, wichtige Dienste in Ihrem Netzwerk unterstützen oder die vom Benutzer als hochwertig eingestuft wurden.
    Derzeit aktiv Filtert Geräte nach Aktivitäten, die in den letzten 30 Minuten auf einem Gerät beobachtet wurden.
    Netzwerk-Lokalitätstyp Filtert Geräte nach allen internen oder externen Netzwerkstandorten.
    Name der Netzwerklokalität Filtert Geräte nach dem Namen der Netzwerklokalität.
    Rolle Filtert Geräte nach der zugewiesenen Geräterolle wie Gateway, Firewall, Load Balancer und DNS-Server.
    Software Filtert Geräte nach der auf dem Gerät erkannten Betriebssystemsoftware.
    Subnetz Filtert Geräte nach dem Subnetz, das dem Gerät zugeordnet ist.
    Schlagwort Filtert Geräte nach benutzerdefinierten Geräte-Tags.
    Verkäufer Filtert Geräte nach dem Namen des Geräteherstellers, der durch die OUI-Suche (Organizationally Unique Identifier) ermittelt wurde.
    Virtuelle private Cloud Filtert Geräte nach der VPC, die dem Gerät zugeordnet ist.
    VLAN Filtert Geräte nach dem Geräte-VLAN-Tag. VLAN-Informationen werden aus VLAN-Tags extrahiert, wenn der Datenverkehrsspiegelungsprozess sie auf dem Spiegelport beibehält.

    Nur verfügbar, wenn devices_accross_vlans Einstellung ist gesetzt auf False in der laufenden Konfigurationsdatei.

    CDP-Name Filtert Geräte nach dem CDP-Namen, der dem Gerät zugewiesen ist.
    Name der Cloud-Instanz Filtert Geräte nach dem Cloud-Instanznamen, der dem Gerät zugewiesen ist.
    Benutzerdefinierter Name Filtert Geräte nach dem benutzerdefinierten Namen, der dem Gerät zugewiesen wurde.
    DHCP-Name Filtert Geräte nach dem DHCP-Namen, der dem Gerät zugewiesen ist.
    DNS-Name Filtert Geräte nach einem beliebigen DNS-Namen, der dem Gerät zugewiesen ist.
    NetBIOS-Name Filtert Geräte nach dem NetBIOS-Namen, der dem Gerät zugewiesen ist.
    Erkennungsaktivität Filtert Geräte mit Erkennungsaktivität wo das Gerät ein Teilnehmer war. Aktiviert zusätzliche Kriterien wie Kategorie, Risikoscore und MITRE-Technik.
    Hinweis:Sie können keine Gerätegruppe erstellen, die diese Kriterienoption enthält.
  5. Wählen Sie einen der folgenden Operatoren aus. Die verfügbaren Operatoren hängen von der ausgewählten Kategorie ab:
    Option Bezeichnung
    = Filtert Geräte, die exakt dem Suchfeld für die ausgewählte Kategorie entsprechen.
    Filtert Geräte, die nicht genau dem Suchfeld entsprechen.
    Filtert Geräte, die den Wert des Suchfelds für die ausgewählte Kategorie enthalten.
    ≈/ Filtert Geräte, die den Wert des Suchfelds für die ausgewählte Kategorie ausschließen.
    beginnt mit Filtert Geräte, die mit dem Wert des Suchfeldes für die ausgewählte Kategorie beginnen.
    existiert Filtert Geräte, die einen Wert für die ausgewählte Kategorie haben.
    existiert nicht Filtert Geräte, die keinen Wert für die ausgewählte Kategorie haben.
    Spiel Filtert Geräte, die den Wert des Suchfelds für die ausgewählte Kategorie enthalten.
    und Filtert Geräte, die den in zwei oder mehr Suchfeldern angegebenen Bedingungen entsprechen.
    oder Filtert Geräte, die mindestens eine in zwei oder mehr Suchfeldern angegebene Bedingung erfüllen.
    nicht Filtert Geräte, die die in einem Suchfeld angegebenen Bedingungen nicht erfüllen.
  6. Geben Sie im Suchfeld die Zeichenfolge ein, die abgeglichen werden soll, oder wählen Sie einen Wert aus der Dropdownliste aus. Der Eingabetyp basiert auf der ausgewählten Kategorie.
    Wenn Sie beispielsweise Geräte anhand des Namens suchen möchten, geben Sie die Zeichenfolge, die abgeglichen werden soll, in das Suchfeld Feld. Wenn Sie Geräte anhand der Rolle suchen möchten, wählen Sie diese aus der Dropdownliste der Rollen aus.
    Hinweis:Abhängig von der ausgewählten Kategorie können Sie im Textfeld auf das Regex-Symbol klicken, um den Abgleich per regulärem Ausdruck zu aktivieren.

  7. Klicken Sie Filter hinzufügen.
    Die Geräteliste wird nach den angegebenen Kriterien gefiltert.

Nächste Maßnahme

  • Klicken Sie auf einen Gerätenamen, um Geräteeigenschaften und Messwerte auf der Seite „ Geräteübersicht".
  • Klicken Sie Dynamische Gruppe erstellen von der oberen rechten Ecke bis eine dynamische Gerätegruppe erstellen basierend auf den Filterkriterien.
  • Klicken Sie auf das Befehlsmenü und wählen Sie dann PDF oder CSV, um die Geräteliste in eine Datei zu exportieren.

Finden Sie Geräte mit AI Search Assistant

Mit dem KI-Suchassistenten können Sie nach Geräten suchen, deren Fragen in natürlicher, alltäglicher Sprache verfasst sind. So können Sie im Vergleich zur Erstellung einer Standard-Suchanfrage mit denselben Kriterien schnell komplexe Abfragen erstellen.

Wenn Sie beispielsweise „Welche Geräte haben HTTP-Verkehr mit TLS v1.0?" eingeben , die folgende AI Search Assistant-Abfrage wird angezeigt:

(Activity = http_client or Activity = http_server) and (Detection Activity where Device Role = any and Type = weak_cipher_individual)

Hier sind einige Dinge, die Sie bei der Suche nach Geräten mit AI Search Assistant beachten sollten:

  • Eingabeaufforderungen sind demselben zugeordnet Filterkriterien für Gerät die Sie beim Erstellen einer Standardsuche angeben. Das ExtraHop-System ist möglicherweise nicht in der Lage, eine Abfrage zu verarbeiten, die Anfragen nach Geräteinformationen enthält, die außerhalb der Kriterien liegen.
  • Die Eingabeaufforderungen sollten so klar und präzise wie möglich sein. Wir empfehlen Ihnen , einige Variationen zu schreiben, um Ihre Ergebnisse zu maximieren.
  • Sie können die Abfrage bearbeiten und Standardsuchkriterien hinzufügen, um die Ergebnisse zu verfeinern.
  • Wir empfehlen, dass Sie in Ihren Eingabeaufforderungen keine urheberrechtlich geschützten oder vertraulichen Daten angeben.

Before you begin

  • Sie müssen Zugriff auf das NDR-Modul haben.
  • Ihr ExtraHop-System muss verbunden mit ExtraHop Cloud Services.
  • Der AI Search Assistant muss von Ihrem ExtraHop-Administrator aktiviert werden.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Vermögenswerte.
  3. Schreiben Sie eine Aufforderung in das Feld AI Search Assistant oder wählen Sie eine vorgeschlagene Suchaufforderung aus und drücken Sie dann die EINGABETASTE.
    Die Abfrageausgabe des AI Search Assistant und die Ergebnisliste werden angezeigt.

  4. Optional: Klicken Sie im Abschnitt AI Search Assistant Query auf das Bearbeitungssymbol um das Fenster Erweiterter Filter zu öffnen und Ihre Abfrage zu verfeinern.
    1. Klicken Sie auf das Symbol „Filter hinzufügen" und wähle Filter hinzufügen oder Filtergruppe hinzufügen um weitere Kriterien auf der obersten oder sekundären Ebene des Filters anzugeben.
      Eine neue Filtergruppe fügt dem Ergebnis des ursprünglichen Filters Kriterien hinzu. Wenn Sie beispielsweise nach HTTP-Clients und -Servern suchen, die an Erkennungen einer Schwache Verschlüsselung Suite beteiligt waren , können Sie eine Filtergruppe hinzufügen, um Erkennungen mit einer Risikoscore unter 30 auszuschließen.
    2. klicken Speichern.
  5. Optional: klicken Standard-Suche und fügen Sie Kriterien aus dem Dreifeld-Filter hinzu, um beide Filter auf die Suche anzuwenden.

Nächste Maßnahme

  • Klicken Sie auf einen Gerätenamen, um Geräteeigenschaften und Messwerte auf der Seite „ Geräteübersicht".
  • Klicken Sie auf das Befehlsmenü und wählen Sie dann PDF oder CSV, um die Geräteliste in eine Datei zu exportieren.

Geräte anhand der Erkennungsaktivität finden

Sie können anhand der zugehörigen Erkennungen nach Geräten suchen, indem Sie Ihrem Suchfilter die Option Kriterien für Erkennungsaktivitäten hinzufügen und Ihre Suche dann mit Kriterien wie Erkennungskategorien, Risikobewertungen und MITRE-Techniken weiter verfeinern.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Vermögenswerte und klicken Sie dann auf Aktive Geräte Diagramm.
  3. Optional: Klicken Sie Standardsuche wenn die Registerkarte angezeigt wird.
  4. Klicken Sie im Dreifeld-Filter auf Name und wähle Erkennungsaktivität.
  5. Klicken Sie Wählen Sie einen Artikel aus... und wählen Sie eine der folgenden Optionen:
    Option Bezeichnung
    Als Teilnehmer Filtert Geräte, die an einer Erkennung teilgenommen haben.
    Als Täter Filtert Geräte, die nur an einer Erkennung als Täter beteiligt waren.
    Als Opfer Filtert Geräte, die nur als Opfer an einer Erkennung teilgenommen haben.
  6. Klicken Sie Filter hinzufügen.
  7. Optional: Um zusätzliche Kriterien für die Erkennungsaktivität anzugeben, klicken Sie auf den Filter, den Sie gerade hinzugefügt haben.


    Der erweiterte Filter wird geöffnet und zeigt die von Ihnen hinzugefügten MATCH-Kriterien an. Ein WHERE-Operator wird automatisch auf der sekundären Ebene des Filters für Erkennungsaktivitätskriterien hinzugefügt.

  8. Klicken Sie Typ und wählen Sie eines der folgenden Kriterien für Erkennungsaktivitäten aus:
    Option Bezeichnung
    Status Filtert Erkennungen nach Status, z. B. ob die Erkennung bestätigt oder geschlossen wurde
    Typ Filtert Erkennungen nach Typ, z. B. Datenexfiltration oder abgelaufene SSL-Serverzertifikate.
    Kategorie Filtert Erkennungen nach Kategorien, z. B. Angriff, Betrieb, Absicherung und Eindringen.
    MITRE-Technik Filtert Erkennungen nach der MITRE-Technik-ID. Das MITRE-Framework ist eine weithin anerkannte Wissensdatenbank für Angriffe.
    Abtretungsempfänger Filtert Erkennungen nach dem zugewiesenen Benutzer.
    Risiko-Score Filtert Erkennungen nach Risikoscore.
    Empfohlen Filtert Erkennungen, die für die Triage empfohlen werden. ( nur NDR-Modul)
    siehe Erkennungen filtern für weitere Informationen zu den Kriterien für Erkennungsaktivitäten.
  9. Optional: Klicken Sie auf das Symbol „Filter hinzufügen" und wähle Filter hinzufügen oder Filtergruppe hinzufügen um weitere Kriterien auf der obersten oder sekundären Ebene des Filters anzugeben.
    Eine neue Filtergruppe fügt dem Ergebnis des ursprünglichen Filters Kriterien hinzu. Wenn Sie beispielsweise nach Geräten suchen, die in der Kategorie „Datenexfiltration" als Straftäter gehandelt haben, können Sie eine Filtergruppe hinzufügen, um Erkennungen mit dem Status „ Geschlossen" aus diesen Ergebnissen auszuschließen.
  10. Klicken Sie Speichern.

Nächste Maßnahme

  • Klicken Sie auf einen Gerätenamen, um Geräteeigenschaften und Messwerte auf der Seite „ Geräteübersicht".
  • Klicken Sie auf das Befehlsmenü und wählen Sie dann PDF oder CSV, um die Geräteliste in eine Datei zu exportieren.

Geräte anhand der Protokollaktivität finden

Auf der Seite Geräte werden alle Protokolle angezeigt, die während des ausgewählten Zeitintervalls aktiv auf dem ExtraHop-System kommunizieren. Sie können schnell ein Gerät finden, das mit einem Protokoll verknüpft ist, oder ein stillgelegtes Gerät erkennen, das immer noch aktiv über ein Protokoll kommuniziert.

Im folgenden Beispiel zeigen wir Ihnen, wie Sie innerhalb der Gruppe der HTTP-Server nach einem Webserver suchen.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Vermögenswerte.
  3. Klicken Sie im Diagramm Geräte nach Protokollaktivität auf die Anzahl der HTTP-Server, wie in der folgenden Abbildung dargestellt.
    Hinweis:Wenn Sie das gewünschte Protokoll nicht sehen, hat das ExtraHop-System diese Art von Protokollverkehr über die Leitung während des angegebenen Zeitintervalls möglicherweise nicht beobachtet, oder für das Protokoll ist möglicherweise eine Modullizenz erforderlich. Weitere Informationen finden Sie in der Ich sehe nicht den Protokollverkehr, den ich erwartet hatte? Abschnitt in den Häufig gestellten Fragen zur Lizenz.
    Auf der Seite werden Verkehrs- und Protokollmetriken angezeigt, die der Gruppe von HTTP-Servern zugeordnet sind.
  4. Klicken Sie oben auf der Seite auf Mitglieder der Gruppe.
    Auf der Seite wird eine Tabelle mit allen Geräten angezeigt, die während des ausgewählten Zeitintervalls HTTP-Antworten über die Leitung gesendet haben.
  5. Klicken Sie in der Tabelle auf einen Gerätenamen.
    Auf der Seite werden Verkehrs- und Protokollmetriken angezeigt, die mit diesem Gerät verknüpft sind, ähnlich der folgenden Abbildung.

Finden Sie Geräte, auf die ein bestimmter Benutzer zugegriffen hat

Auf der Seite Benutzer können Sie aktive Benutzer und die Geräte sehen, mit denen sie sich während des angegebenen Zeitintervalls am ExtraHop-System angemeldet haben.

Hinweis:Du kannst auch Suche nach Benutzern aus dem globalen Suchfeld oben auf der Seite.

Dieses Verfahren zeigt Ihnen, wie Sie eine Suche von der Benutzerseite aus durchführen.

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Vermögenswerte und klicken Sie dann auf Nutzer Diagramm.
  3. Wählen Sie in der Suchleiste eine der folgenden Kategorien aus der Dropdownliste aus:
    Option Bezeichnung
    Nutzername Suchen Sie nach dem Benutzernamen, um zu erfahren, auf welche Geräte der Benutzer zugegriffen hat. Der Benutzername wird aus dem Authentifizierungsprotokoll wie LDAP oder Active Directory extrahiert.
    Protokoll Suchen Sie nach Protokollen, um zu erfahren, welche Benutzer auf Geräte zugegriffen haben, die über dieses Protokoll kommunizieren.
    Gerätename Suchen Sie nach dem Gerätenamen, um zu erfahren, welche Benutzer auf das Gerät zugegriffen haben.
  4. Wählen Sie einen der folgenden Operatoren aus der Dropdownliste aus:
    Option Bezeichnung
    = Suchen Sie nach einem Namen oder Gerät, der genau mit dem Textfeld übereinstimmt.
    Suchen Sie nach Namen oder Geräten, die nicht genau mit dem Textfeld übereinstimmen.
    ≈ (Standard) Suchen Sie nach einem Namen oder Gerät, das den Wert des Textfeldes enthält.
    ≈/ Suchen Sie nach einem Namen oder Gerät, das den Wert des Textfeldes ausschließt.
  5. Geben Sie in das Textfeld den Namen des Benutzers oder Gerät Sie zuordnen oder ausschließen möchten.
    Auf der Seite „Benutzer" wird eine Ergebnisliste angezeigt, die der folgenden Abbildung ähnelt:

  6. Klicken Sie auf den Namen eines Gerät, um das zu öffnen Seite „ Geräteübersicht" und zeigen Sie alle Benutzer an, die während des angegebenen Zeitintervalls auf das Gerät zugegriffen haben.

Finden Sie Peer-Geräte

Wenn Sie wissen möchten, welche Geräte aktiv miteinander kommunizieren, können Sie auf einer Gerät- oder Gerätegruppen-Protokollseite einen Drilldown nach Peer-IPs durchführen.

Wenn du nach unten bohren Anhand der Peer-IP-Adresse können Sie eine Liste von Peer-Geräten untersuchen, Leistungs- oder Durchsatzmetriken anzeigen, die Peer-Geräten zugeordnet sind , und dann auf den Namen eines Peer-Geräts klicken, um weitere Protokollmetriken anzuzeigen.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Vermögenswerte und wählen Sie dann Gerät oder Gerätegruppe im linken Bereich.
  3. Suche nach einem Gerät oder Gerätegruppe, und klicken Sie dann in der Ergebnisliste auf den Namen.
  4. Klicken Sie auf der Übersichtsseite für das ausgewählte Gerät oder die Gerätegruppe auf einen der folgenden Links:
    Option Bezeichnung
    Für Geräte klicken Weitere Peer-IPs anzeigen, befindet sich am unteren Rand des Top-Peer-Diagramms.

    Für Gerätegruppen klicken Peer-IPs, befindet sich im Abschnitt Details in der oberen rechten Ecke der Seite.

    Eine Liste von Peer-Geräten wird angezeigt, die nach IP-Adresse aufgeschlüsselt sind. Sie können Netzwerk-Byte- und Paketinformationen für jedes Peer-Gerät untersuchen, wie in der folgenden Abbildung dargestellt.

Einen Gerätenamen ändern

Das ExtraHop-System benennt Geräte automatisch, indem es den Verkehr mit den Benennungsprotokollen (DNS, DHCP, NETBIOS, CDP) passiv überwacht. Wenn für ein Gerät kein Benennungsprotokollverkehr beobachtet wird, zeigt der Gerätename entweder die IP-Adresse oder die MAC-Adresse an. In beiden Fällen können Sie den automatischen Gerätenamen in einen benutzerdefinierten Namen ändern. Der benutzerdefinierte Name wird im gesamten ExtraHop-System angezeigt.

Hier sind einige wichtige Überlegungen zum Ändern eines Gerätenamens:
  • Benutzerdefinierte Namen werden nicht zwischen den verbundenen ExtraHop-Systemen synchronisiert. Beispielsweise ist ein auf einem Sensor erstellter benutzerdefinierter Name von einem verbundenen Gerät nicht verfügbar Konsole.
  • Das ExtraHop-System führt keine DNS-Suchen nach Gerätenamen durch. Das ExtraHop-System leitet den DNS-Namen für ein Gerät ab, indem es den DNS-Verkehr über Kabeldaten beobachtet. Weitere Informationen finden Sie unter Erkennung von Geräten.
  • Wenn ein Gerät mehrere Namen hat, Die Reihenfolge der Anzeigepriorität ist in den Administrationseinstellungen festgelegt.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Vermögenswerte und klicken Sie dann auf Aktive Geräte Diagramm.
  3. Filtern Sie die Geräteliste, um das gewünschte Gerät zu finden, und klicken Sie dann auf den Gerätenamen.
    Die Seite Geräteübersicht wird angezeigt, auf der der Datenverkehr und die Protokollaktivitäten für das ausgewählte Gerät angezeigt werden.
  4. klicken Eigenschaften bearbeiten.
  5. klicken Benutzerdefinierten Namen anzeigen.
  6. Geben Sie einen benutzerdefinierten Namen in das Feld ein.
  7. klicken Speichern.

Eine Geräterolle ändern

Das ExtraHop-System erkennt und klassifiziert automatisch Geräte in Ihrem Netzwerk anhand der Protokollaktivität oder des Gerätemodells und weist jedem Gerät eine Rolle zu, z. B. einem Gateway, einem Dateiserver, einer Datenbank oder einem Load Balancer. Sie können die einem Gerät zugewiesene Rolle jederzeit ändern.

Hier sind einige wichtige Überlegungen zum Ändern einer Geräterolle:
  • Nachdem Sie das geändert haben Geräterolle, das Gerät könnte entfernt oder hinzugefügt werden dynamische Gerätegruppen die eine Gerät als Kriterien beinhalten.
  • Änderungen der Geräterolle werden nicht zwischen den verbundenen ExtraHop-Systemen synchronisiert. Wenn Sie beispielsweise eine Geräterolle auf einem ändern Sensor, die Rolle wird nicht von einer verbundenen geändert Konsole.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie oben auf der Seite auf Vermögenswerte und klicken Sie dann auf Aktive Geräte Diagramm.
  3. Filtern Sie die Geräteliste, um das gewünschte Gerät zu finden, und klicken Sie dann auf den Gerätenamen.
    Die Seite Geräteübersicht wird angezeigt, auf der der Datenverkehr und die Protokollaktivitäten für das ausgewählte Gerät angezeigt werden.
  4. klicken Eigenschaften bearbeiten .
  5. In der Rolle des Geräts Abschnitt, klicken Sie auf die Dropdownliste und dann auf eine der folgenden Rollen:
    Rolle Beschreibung
    Automatisch Weisen Sie dem Gerät die Rolle zu, die das ExtraHop-System für das Gerät identifiziert hat, was in Klammern steht.
    Angriffssimulator Einem Gerät zuweisen, auf dem eine Sicherheitsverletzung- und Angriffssimulationssoftware (BAS) ausgeführt wird, um Angriffe in einem Netzwerk zu simulieren.
    Datenbank Einem Gerät zuweisen, das eine Datenbankinstanz hostet.
    DHCP-Server Einem Gerät zuweisen, dessen Hauptfunktion die Verarbeitung der DHCP-Serveraktivität ist.
    DNS-Server Einem Gerät zuweisen, dessen Hauptfunktion die Verarbeitung der DNS-Serveraktivität ist.
    Domänencontroller Einem Gerät zuweisen, das als Domänencontroller für Kerberos-, CIFS- und MSRPC-Serveraktivitäten fungiert.