nCompass功能使用-數據表格

單擊返回：自學N-Compass之路 
nCompass功能使用--數據表格

1. 利用數據表格分析數據

1.1   編輯數據表格內的選項卡介紹

選項卡《選擇維度》：

• 應用：   應用/應用組/域名/URL
• 站點：   站點/站點組/客戶端站點/服務端站點/客戶端站點組/服務端站點組
• IP    ：   IP/服務端IP/客戶端IP/IP通信對/服務端口/客戶端口/服務端IP端口/XFF-IP
• 採集點：探針名稱/Vxlan ID/租戶/租戶組/Vlan/內層vlan/數據中心
• 其餘   ： MPLS標籤/Qos/網絡位置/三層協議類型/四層協議類型/MAC地址/MAC地址_服務端/MAC地址_客戶端/MAC廠商/MAC廠商_服務端/MAC廠商_客戶端/國家/省份/城市/運營商/運營商_客戶端/國家_服務端/國家_客戶端/省份_服務端/省份_客戶端/城市_服務端/城市_客戶端/VTEP1/VTEP2/VTEP1_ID/VTEP2_ID/YARA規則/應用順序號/IP版本

選項卡《選擇指標》：

• 網絡流量：總包數/流入包數/流出包數/總流量/流入流量/流出流量/總PPS/流入PPS/流出PPS/小包占比/大包占比/中包占比/站點帶寬/站點流出利用率/站點流出利用率/客戶端數量/應用數量
• 網絡性能：客戶側丟包率/服務測丟包率/客戶端網絡時延/服務端網絡時延/重傳時延/客戶端重傳時延/服務端重傳時延/客戶端重傳數/服務端重傳數/客戶端傳輸時延/服務端傳輸時延/客戶端性能延時/服務端性能延時/網絡評分
• 網絡鏈接：活動會話數/建連成功率/建連失敗率/SYN包數量/SYNACK包數量/建連服務端失敗/建連服務端重置/建連服務端無響應/服務端隊列不足/建連服務器端失敗-其餘/建連客戶端失敗/端口複用/客戶端重傳次數不足/建連客戶端失敗=其餘/建連客戶端無響應/客戶端Reset/服務端Reset/建連客戶端重傳/建連服務端重傳/服務端拆連請求數/客戶端拆連請求數/中間人攻擊次數/建連探測/建連異常-SYN/建連異常-SYNACK/拆連個數/TCP評分
• 應用性能：訪問量/TCP建連時間/應用相應時間/用戶體驗時間/峯值響應時間/首包時延/客戶端網絡時延/服務端網絡時延/客戶端重傳時延/服務端重傳時延/響應快/響應慢/響應超時/拆連超時次數/健康度評分/應用評分
• 主機性能：服務端小窗口/客戶端小窗口/服務端小窗口時延/客戶端小窗口時延/TCP窗口時延/客戶端淨荷/服務端淨荷/支持SACK的會話數/應用無響應/客戶端最小MSS/服務端最小MSS/客戶端SACK分段/服務端SACK分段/服務器評分
• 區間指標： 峯值流入PPS/峯值流出PPS/峯值活動會話數/峯值新建會話數/峯值建連會話數/峯值建連請求數/平均網絡時延/平均丟包率/平均建連成功率/峯值流出利用率/峯值流出利用率/峯值流出利用率時間/峯值流出利用率時間/峯值吞吐量/流出利用率>=70%流出利用率<50%流出利用率50%~70%/流入利用率>=70%流入利用率<50%/流入利用率50%~70%/平均流出利用率

1.2   兩種添加維度的比較

• 一種在接口數據包右鍵直接----添加維度（只針對某一個接口數據）
• 一種在右側按鈕直接----修改維度（針對全部接口數據）

 1.3 對比曲線圖

按住Ctrl健選擇兩個數據指標，右側按鈕「對比曲線圖」直接進行對比。  以下圖顯示出兩個接口的總吞吐量的對比曲線圖。

1.4  對數據通信對直接下載數據包

1.5  對數據通信對數據包直接分析（ncompass內置分析模板）

1.5  數據通信對，數據顯示時，選項卡

• 修改時間： 查看時間，顆粒度1min、5min、1h
• 開啓基線： 基線上下線，默認關閉
• 數據表格： 直接跳轉到數據表格
• 圖表類型： 曲線圖、折線圖、柱狀圖、區域圖
• 智能分析： 可編寫腳本，實現自動化分析
• 趨勢預測： 基礎（預測時間、時間顆粒度、歷史數據、數據模型、指標）。（其中能夠過濾維度。）

1.6 對數據進行篩選 (篩選維度或者篩選指標)

針對下面數據，只想看到「網絡時延」>50ms 的數據，就須要採用篩選功能。

因爲「網絡時延」是指標， 因此選擇右上角「編輯」---「篩選指標」 。

2. 數據表格的使用場景

2.1  場景一：過濾網絡中開啓了高危端口的服務器，並列出訪問高危端口的客戶端（高危端口包括：TCP 23,119，135,137,138,139,143,445）

」修改指標「---」過濾維度「----添加服務端口

此時維度卻沒有」服務端口「， 」修改維度「----IP---添加」服務端口「

如今要查看出訪問高危端口的客戶端。

• 全局添加客戶端方式： 右側 「修改維度」----IP---添加「客戶端端口」（見下面例子）
• 針對某一個通信對添加客戶端方式： 通信對右鍵 「添加維度」----IP---添加「客戶端端口」

2.2 找出網絡進行端口掃描的主機。

端口掃描特徵，客戶端會嘗試訪問不少應用。

「應用數量」表示客戶端一共訪問了服務器的服務端口數量。

按「應用數量」排序以後：
SYN包數量不少，可是新建連會話數量確實0，很大機率就是在作掃描。

是否有更精準的辦法確認掃描行爲？ 

更詳細的篩選功能，採用指標表達式：  應用數量>100 and （SYN包數量>新建會話數*100） and 建連探測=0

2.3 找出全部121.0.0.0/8和122.0.0.0/8互訪的全部通信對，並統計兩個網段間互訪流量的大小。

 思考這個問題容易出現誤區：

• 若是直接採用IP做爲過濾維度，客戶端IP和服務端IP均會在通信對列出來；
• 若是再用客戶端IP，服務端IP做爲過濾維度，可是這樣就會是單一方向數據。

採用維度表達式：（{客戶端ip，等於，121.0.0.0/8}  and {服務器ip，等於，122.0.0.0/8}）or（{客戶端ip，等於，122.0.0.0/8} and {服務器ip，等於，121.0.0.0/8}）

維度表達式的用法說明：

 1. { }  用於一個過濾，至關於

    

 2. [ ] 用於匹配條件內部多個值，至關於

    

 3. ( )用於or、and表達式中的組件，括號內的表達式優先執行，如下兩個表達式的結果是徹底不同的：

• （{服務端口，等於，443} and {服務器ip，等於，10.59.0.37}）or {服務端ip，等於，10.59.0.39}
•   {服務端口，等於，443} and（{服務器ip，等於，10.59.0.37} or  {服務端ip，等於，10.59.0.39}）

。。。。。。