Initiieren Sie präzise Paketerfassungen, um Bedingungen ohne Fenster zu analysieren
In TCP-Metriken gibt die Fenstergröße die Datenmenge an, die ein Gerät während eines Datenflusses empfangen und verarbeiten kann. Wenn die Fenstergröße Null ist, werden Übertragungen angehalten, bis das Gerät signalisiert, dass es wieder Speicherplatz für den Empfang von Daten hat.
Nullfensterbedingungen, die 1 oder 2 Sekunden andauern, sind nicht allzu ungewöhnlich, insbesondere in Zeiten mit starkem Verkehr. Länger andauernde Nullfensterbedingungen können jedoch auf ein schwerwiegenderes Problem hinweisen und zu Leistungseinbußen führen.
Sie können ein Dashboard erstellen oder Warnmeldungen so konfigurieren, dass keine Fenster auftreten, aber die Ursache kann schwer zu ermitteln sein. Beispielsweise kann die CPU-, Arbeitsspeicher- und NIC-Auslastung normal sein, und Sie wissen nicht, ob das Problem mit dem Netzwerk, den Servern oder der Anwendung zusammenhängt. Aber du kannst immer die Wahrheit in der Paket finden!
In dieser exemplarischen Vorgehensweise erstellen Sie einen Auslöser, der Pakete ohne Fensterbedingungen bei HTTP-Transaktionen erfasst. Anschließend laden Sie die Aufzeichnungen herunter, sodass Sie die Daten in einen Paketanalysator hochladen können, der Ihnen hilft, den Status von Client und Server in einem Fluss zu ermitteln, wenn Nullfensterbedingungen eingetreten sind.
Voraussetzungen
- Sie benötigen entweder System- und Zugriffsadministrationsrechte oder volle Schreibrechte mit aktiviertem Paketzugriff.
- Du musst aktivieren Sie die Paketerfassung über die Administrationsseite.
- Sie benötigen einen Paketanalysator wie WireShark oder Microsoft Network Monitor.
- Machen Sie sich vertraut mit Auslöser Konzepte und Verfahren in Einen Auslöser erstellen.
Schreiben Sie den Precision Capture-Trigger
In den folgenden Schritten schreiben Sie einen Auslöser, der jedes Mal, wenn bei einer HTTP-Transaktion eine Nullfensterbedingung auftritt, eine präzise Paketerfassung initiiert.
Debug-Ausgabe im Debug-Log anzeigen
In den folgenden Schritten sehen Sie sich die Trigger-Debug-Ausgabe an, um zu bestätigen, dass der Auslöser ausgeführt wird und Pakete erfasst. Nachdem Sie den Auslöser Ihren Datenquellen zugewiesen haben, führt das System den Auslöser, wenn HTTP-Verkehr stattfindet, und wenn Transaktionen ein Nullfenster enthalten, sendet das System Debug-Ergebnisse an das Debug-Log.
Paketerfassungen herunterladen und anzeigen
In den folgenden Schritten laden Sie Paketerfassungen herunter.
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie im oberen Menü auf Rekorde.
- Klicken Sie Aufzeichnungen ansehen.
- Wählen Sie aus der Dropdownliste Datensatztyp Paketerfassung.
- Nachdem die mit Ihrer PCAP verknüpften Datensätze angezeigt werden, klicken Sie auf das Symbol Pakete , und klicken Sie dann auf PCAP herunterladen.
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?