nCompass功能使用-數據表格

單擊返回：自學N-Compass之路 
nCompass功能使用--數據表格

1. 利用數據表格分析數據

1.1   編輯數據表格內的選項卡介紹

選項卡《選擇維度》：

• 應用：   應用/應用組/域名/URL
• 站點：   站點/站點組/客戶端站點/服務端站點/客戶端站點組/服務端站點組
• IP    ：   IP/服務端IP/客戶端IP/IP通訊對/服務端口/客戶端口/服務端IP端口/XFF-IP
• 采集點：探針名稱/Vxlan ID/租戶/租戶組/Vlan/內層vlan/數據中心
• 其他   ： MPLS標簽/Qos/網絡位置/三層協議類型/四層協議類型/MAC地址/MAC地址_服務端/MAC地址_客戶端/MAC廠商/MAC廠商_服務端/MAC廠商_客戶端/國家/省份/城市/運營商/運營商_客戶端/國家_服務端/國家_客戶端/省份_服務端/省份_客戶端/城市_服務端/城市_客戶端/VTEP1/VTEP2/VTEP1_ID/VTEP2_ID/YARA規則/應用順序號/IP版本

選項卡《選擇指標》：

• 網絡流量：總包數/流入包數/流出包數/總流量/流入流量/流出流量/總PPS/流入PPS/流出PPS/小包占比/大包占比/中包占比/站點帶寬/站點流出利用率/站點流出利用率/客戶端數量/應用數量
• 網絡性能：客戶側丟包率/服務測丟包率/客戶端網絡時延/服務端網絡時延/重傳時延/客戶端重傳時延/服務端重傳時延/客戶端重傳數/服務端重傳數/客戶端傳輸時延/服務端傳輸時延/客戶端性能延時/服務端性能延時/網絡評分
• 網絡連接：活動會話數/建連成功率/建連失敗率/SYN包數量/SYNACK包數量/建連服務端失敗/建連服務端重置/建連服務端無響應/服務端隊列不足/建連服務器端失敗-其他/建連客戶端失敗/端口復用/客戶端重傳次數不足/建連客戶端失敗=其他/建連客戶端無響應/客戶端Reset/服務端Reset/建連客戶端重傳/建連服務端重傳/服務端拆連請求數/客戶端拆連請求數/中間人攻擊次數/建連探測/建連異常-SYN/建連異常-SYNACK/拆連個數/TCP評分
• 應用性能：訪問量/TCP建連時間/應用相應時間/用戶體驗時間/峰值響應時間/首包時延/客戶端網絡時延/服務端網絡時延/客戶端重傳時延/服務端重傳時延/響應快/響應慢/響應超時/拆連超時次數/健康度評分/應用評分
• 主機性能：服務端小窗口/客戶端小窗口/服務端小窗口時延/客戶端小窗口時延/TCP窗口時延/客戶端凈荷/服務端凈荷/支持SACK的會話數/應用無響應/客戶端最小MSS/服務端最小MSS/客戶端SACK分段/服務端SACK分段/服務器評分
• 區間指標： 峰值流入PPS/峰值流出PPS/峰值活動會話數/峰值新建會話數/峰值建連會話數/峰值建連請求數/平均網絡時延/平均丟包率/平均建連成功率/峰值流出利用率/峰值流出利用率/峰值流出利用率時間/峰值流出利用率時間/峰值吞吐量/流出利用率>=70%流出利用率<50%流出利用率50%~70%/流入利用率>=70%流入利用率<50%/流入利用率50%~70%/平均流出利用率

1.2   兩種添加維度的比較

• 一種在接口數據包右鍵直接----添加維度（只針對某一個接口數據）
• 一種在右側按鈕直接----修改維度（針對所有接口數據）

 1.3 對比曲線圖

按住Ctrl健選擇兩個數據指標，右側按鈕“對比曲線圖”直接進行對比。  如下圖顯示出兩個接口的總吞吐量的對比曲線圖。

1.4  對數據通訊對直接下載數據包

1.5  對數據通訊對數據包直接分析（ncompass內置分析模板）

1.5  數據通訊對，數據顯示時，選項卡

• 修改時間： 查看時間，顆粒度1min、5min、1h
• 開啟基線： 基線上下線，默認關閉
• 數據表格： 直接跳轉到數據表格
• 圖表類型： 曲線圖、折線圖、柱狀圖、區域圖
• 智能分析： 可編寫腳本，實現自動化分析
• 趨勢預測： 基礎（預測時間、時間顆粒度、歷史數據、數據模型、指標）。（其中可以過濾維度。）

1.6 對數據進行篩選 (篩選維度或者篩選指標)

針對下面數據，只想看到“網絡時延”>50ms 的數據，就需要采用篩選功能。

由於“網絡時延”是指標， 所以選擇右上角“編輯”---“篩選指標” 。

2. 數據表格的使用場景

2.1  場景一：過濾網絡中開啟了高危端口的服務器，並列出訪問高危端口的客戶端（高危端口包括：TCP 23,119，135,137,138,139,143,445）

”修改指標“---”過濾維度“----添加服務端口

此時維度卻沒有”服務端口“， ”修改維度“----IP---添加”服務端口“

現在要查看出訪問高危端口的客戶端。

• 全局添加客戶端方式： 右側 “修改維度”----IP---添加“客戶端端口”（見下面例子）
• 針對某一個通訊對添加客戶端方式： 通訊對右鍵 “添加維度”----IP---添加“客戶端端口”

2.2 找出網絡進行端口掃描的主機。

端口掃描特征，客戶端會嘗試訪問很多應用。

“應用數量”表示客戶端一共訪問了服務器的服務端口數量。

按“應用數量”排序之后：
SYN包數量很多，但是新建連會話數量確實0，很大概率就是在做掃描。

是否有更精准的辦法確認掃描行為？ 

更詳細的篩選功能，采用指標表達式：  應用數量>100 and （SYN包數量>新建會話數*100） and 建連探測=0

2.3 找出所有121.0.0.0/8和122.0.0.0/8互訪的所有通訊對，並統計兩個網段間互訪流量的大小。

 思考這個問題容易出現誤區：

• 如果直接采用IP作為過濾維度，客戶端IP和服務端IP均會在通訊對列出來；
• 如果再用客戶端IP，服務端IP作為過濾維度，但是這樣就會是單一方向數據。

采用維度表達式：（{客戶端ip，等於，121.0.0.0/8}  and {服務器ip，等於，122.0.0.0/8}）or（{客戶端ip，等於，122.0.0.0/8} and {服務器ip，等於，121.0.0.0/8}）

維度表達式的用法說明：

 1. { }  用於一個過濾，相當於

    

 2. [ ] 用於匹配條件內部多個值，相當於

    

 3. ( )用於or、and表達式中的組件，括號內的表達式優先執行，以下兩個表達式的結果是完全不一樣的：

• （{服務端口，等於，443} and {服務器ip，等於，10.59.0.37}）or {服務端ip，等於，10.59.0.39}
•   {服務端口，等於，443} and（{服務器ip，等於，10.59.0.37} or  {服務端ip，等於，10.59.0.39}）

。。。。。。