Explorer
Data Explorer — модуль системы FlowCollector для анализа данных сетевых потоков. Он сохраняет весь собранный трафик в базе данных и обеспечивает возможности для его анализа и визуализации.
С помощью модуля можно задать фильтры по параметрам трафика (протоколы, порты, IP-адреса, длина пакета и т.д) и получить статистику и графические отчеты. Это позволяет выявлять аномальные или интересующие паттерны трафика, а так же проводить ретроспективный анализ трафика.
Для доступа к модулю выберите "Explorer" в боковом меню интерфейса. Затем откроется рабочая область модуля.
Рабочая область модуля Explorer
Рабочая область содержит следующие элементы:
1. Период - это временной интервал, за который выводятся данные. Его можно задать вручную, указав начальное и конечное время, или выбрать из готовых вариантов, например, последние 24 часа или 7 дней.
Фрагмент интерфейса для настройки "Периода"
2. Таблица данных – может принимать два значения: «Fast» или «Full».
Fast — это оптимизированный метод обработки данных, основанный на использовании агрегированного трафика для быстрой визуализации и анализа. Он упрощает вычисления за счёт округления временных меток до ближайшего часа, что позволяет минимизировать время обработки, особенно при работе с большими объемами данных. Например, временной диапазон с 13:05 до 22:31 преобразуется в 13:00–23:00.
Весь трафик старше трех дней хранится только в агрегированном виде.
Full — это детализированный метод обработки данных, работающий с сырым трафиком и сохраняющий максимальную точность временных меток и агрегации. Временные метки округляются только до ближайшей минуты, а шаги агрегации зависят от длительности анализируемого диапазона: для периодов менее 3 часов шаг составляет 1 минуту, от 3 до 24 часов — 5 минут, а для 24-х часов — 10 минут. (Все что свыше 24-х часов округляется методом Fast). Этот подход обеспечивает высокую детализацию, при коротких временных интервалах.
3. Глубина визуализации — это количество значений параметра «Поля», отображаемых на графике. Пользователь может выбрать любое значение от 1 до 40 в зависимости от необходимого уровня детализации.
4. Поля – это атрибуты данных, по которым производится агрегация и фильтрация. Эти атрибуты определяют, какие именно характеристики данных будут использоваться для анализа или отображения. В системе могут быть выбраны несколько параметров «Поля» для детализированного анализа.
| Поле | Описание |
|---|---|
| Das | Номер автономной системы получателя |
| Dasname | Имя автономной системы получателя |
| Dport | Порт получателя |
| Dst | IP-адрес получателя |
| Geoipdst | Страна получателя |
| Geoipsrc | Страна отправителя |
| Len | Длина пакета |
| Protocol | Протокол |
| Sas | Номер автономной системы отправителя |
| Sasname | Имя автономной системы отправителя |
| Sport | Порт отправителя |
| Src | IP-адрес отправителя |
| Tcpflags | TCP флаги |
| Tos | Тип обслуживания |
5. Метрики – это показатели, которые вычисляются на основе значений выбранных полей и отражают количественные характеристики данных в сети. Метрики позволяют анализировать и оценивать различные параметры сетевого трафика такие как количество переданных данных, количество пакетов, географическое распределение трафика и другие показатели.
| Метрика | Описание |
|---|---|
| Bits | Биты |
| Das | Номер автономной системы получателя |
| Dport | Порт получателя |
| Dst | IP-адрес получателя |
| Geoipdst | Страна получателя |
| Geoipsrc | Страна отправителя |
| Packets | Пакеты |
| Sas | Номер автономной системы отправителя |
| Sport | Порт отправителя |
| Src | IP-адрес отправителя |
При выборе метрик необходимо указать дополнительный параметр:
| Параметр | Описание |
|---|---|
| Avg | Cреднее значение |
| Max | Максимальное значение |
| Percentile95 | 95-й перцентиль |
| Percentile99 | 99-й перцентиль |
| Total | Общее значение |
Фрагмент интерфейса с параметрами метрик
Допустимо выбрать несколько параметров. Параметр «Total» установлен по умолчанию и не может быть отключён.
6. Фильтр — результаты можно отфильтровать по выбранным параметрам из раздела «Поля».
При выборе параметра откроется меню, в котором нужно указать значения для фильтрации. Несколько значений можно указать через запятую без пробелов.
Переключатель «NOT» - Является логическим операндом «НЕ», при его активации будут отображены все значения, кроме указанного.
Пример указания "Фильтра"
После того как все необходимые параметры будут указаны, необходимо нажать кнопку «Применить».
Фрагмент интерфейса Explorer с введенными параметрами
В результате на рабочей области появится график и таблица с данными:
На графике представлено количество переданных бит данных на конкретный IP-адрес в течение шести часов. Под графиком расположена таблица, в которой указаны IP-адрес назначения, общее количество переданных бит, среднее и максимально значение переданных данных.
Если в метрике было выбрано несколько параметров, то возможно переключаться между графиками выбирая нужный параметр.
При сортировке параметров в таблице под графиком также отображается график этого параметра.
По умолчанию на графике отображаются все значения атрибутов. Для отображения конкретного атрибута необходимо выбрать его в правой части интерфейса графика.
