Bereken het 95e percentiel van het gebruik van stroomsnelheid in beveiligde netwerkanalyses

Inleiding

In dit document wordt beschreven hoe het 95-percentiel van het Flow Rate Usage in Stealthwatch of Secure Network Analytics voor Flow Rate Licensing moet worden berekend

Voorwaarden

Vereisten

Cisco raadt u aan kennis over deze onderwerpen te hebben:

• Smart-softwarelicenties
• Secure Network Analytics-navigatie binnen het hoofddashboard

Gebruikte componenten

De informatie in dit document is gebaseerd op deze software- en hardwareversie:

• Stealthwatch Management Console versie 7.4.1

Tevens is vereist dat:

• Administratieve toegang tot het scherm Smart Licensing in Secure Network Analytics
• CLI-toegang als Root tot de Stealthwatch-beheerconsole
• VSQL-databasewachtwoord
• Uw Secure Network Analysis-omgeving is geregistreerd in Smart Licensing

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

De officiële 7.4.2 Smart Licensing Guide, pagina 22, stelt dat Secure Network Analytics het 95ste percentiel van het dagelijkse gebruik van Flow Rate (stromen per seconde) naar uw Smart Account rapporteert, gebaseerd op de vorige periode van 24 uur.

Secure Network Analytics (vanaf nu SNA) werd voorheen Stealthwatch genoemd en deze termen kunnen onderling worden gebruikt.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Bevestig de 95e percentielwaarde in de database van de Stealthwatch Management Console

Waarschuwing: dit document beschrijft het proces om het gebruik van de stroomsnelheid te berekenen voor één voorbeelddag, 18 april 2023. Pas de SQL query's aan zodat deze overeenkomen met de beoogde dag voor uw use case

De waarde die wordt weergegeven bij Flow Rate License, onder het Smart License Usage, wordt gehaald uit de flow_Collection_overview tabel uit de Stealthwatch Management Console Database. Om deze tabel te raadplegen, logt u in op de Stealthwatch Management Console via SSH als Root en voert u de opdracht uit:

/opt/vertica/bin/vsql -U dbadmin -w lan1cope -c "select last_time, fps_95 from flow_collection_summary order by last_time desc limit 5;"

Opmerking: de opdrachten in dit document gebruiken het standaardwachtwoord van de database van Stealthwatch Management Console. Als het databasewachtwoord in uw omgeving is gewijzigd, stel dan de opdrachten in zodat dit het juiste wachtwoord heeft

De output toont de verslagen van de laatste vijf dagen en zijn 95ste percentiel, die door meest recent wordt bevolen. Raadpleeg de volgende afbeelding bij een voorbeeld:

Zoals aangegeven in de achtergrondinformatie, wordt het dagelijkse gebruik van de stroomsnelheid dat op het scherm Smart Licensing wordt gepresenteerd, berekend op basis van de vorige periode van 24 uur. Er wordt een discrepantie weergegeven tussen de datums in de flow_Collection_overview tabel, omdat deze een waarde weergeeft voor een dag die nog niet is beëindigd. Dit komt doordat het gebruik aan het einde van elke dag wordt berekend op het reset-uur, om 00:00:00. Op het Smart Licensing-scherm valt de waarde van fps_95 samen met de waarde die wordt weergegeven voor de huidige dag (2023-04-18). Zie de volgende afbeelding:

De fps_95 waarde van 18 april in de flow_Collection_overview tabel correspondeert met het gebruik van de stroomsnelheid van de vorige dag, 17 april. De waarde van fps_95 van 17 april komt overeen met het debiet van 16 april enzovoort.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen

Bereken het 95e percentiel voor één gebruiksdag

De waarde fps_95 die bij de flow_Collection_overview tabel wordt gepresenteerd, wordt berekend op basis van de informatie van de flow_Collection_trend tabel, die ook beschikbaar is in de database van de Stealthwatch Management Console. Deze tabel houdt bij hoeveel minuten-voor-minuut-debietverbruik van elke exporteur wordt gerapporteerd door alle Flow Collectors in de omgeving. Voor één dag zijn er 1440 records, voor elk van de 1440 minuten van een dag. De tuple minuten-fps in de tabel moeten er als volgt uitzien:

De kolom fps_95 in de flow_Collection_overview heeft zijn waarde berekend uit de records van 1440 minuten-fps van één dag. Aangezien alleen het 95e percentiel wordt gerapporteerd, betekent dit dat de eerste 5% van de records (eerste 72 rijen), die in de fps-kolom in de grootste tot kleinste volgorde zijn besteld, tijdens het proces worden weggegooid. De 73e rij staat voor de 95e waarde van het gebruik van de stroomsnelheid. Er is een verwachte afwijking van de fps-waarde in de 73e van ≈1-2 fps, als gevolg van decimale berekeningen.

De volgende opdracht geeft de geaggregeerde fps-waarde weer van de 73e rij van de flow_Collection_trend, gegroepeerd per minuut en geordend door fps in de grootste tot kleinste volgorde:

/opt/vertica/bin/vsql -U dbadmin -w lan1cope -c "WITH minutes as
(select last_time as Timestamp, sum(fps) as fps, ROW_NUMBER() OVER (order by sum(fps) desc) as RowNumber
from flow_collection_trend
where last_time >= '2023-04-17 00:00' and last_time < '2023-04-18 00:00'
group by last_time)
select fps as '95thPercentile' from minutes where RowNumber=73;"

De uitvoer moet er als de volgende afbeelding uitzien:

Deze waarde vertegenwoordigt het 95e percentiel van het gebruik van de stroomsnelheid voor één enkele dag (2023-04-18), die overeenkomt met wat zowel bij de flow_Collection_overview tabel als bij het Smart Licensing Screen wordt voorgesteld.

Tip: Merk op dat de Flow Collector Advanced-instelling "Ignore List" kan worden gebruikt om ongewenste flowopname uit te filteren op basis van IP of IP bereik. Het toevoegen van netwerkruimte aan de negeerlijst kan worden gebruikt om de FPS effectief te verlagen zoals gemeld door Smart Licensing