Skip Ribbon Commands
Skip to main content

 Content ‭[1]‬

ऑपरेशनस मैनेजमेंट सूट लॉग सर्च में वायर डेटा का उपयोग करना

 

कुछ समय पूर्व हमने 'वायर डेटा' समाधान की पहली इटीरेशन OMS पोर्टल में सक्षम की थी – यदि आपके पास OMS पोर्टल नहीं है तो इसे सलूशन गैलरी में देखें।  हमने औपचारिक रूप से इसकी घोषणा 'momteam' ब्लॉग पर समय से नहीं की, लेकिन वैसे भी आंकड़ों ने हमें विस्तृत सूचना दे दी है। तो इस डेटा के लिए क्वेरी कैसे करें और समाधान में  सुधार कैसे करें इस पर कुछ ज्ञान के साथ यहाँ थोड़ी ज्यादा तकनीकी पोस्ट है।

वायर डेटा से हमारा क्या मतलब है?

समाधान SCOM और प्रत्यक्ष एजेंट दोनों के लिए एक कस्टम मॉड्यूल का उपयोग विंडोज नेटवर्क स्टैक और इसके पोल आंकड़ों से जुड़ने के लिए करता है। डेटा को फिर OMS पर अपलोड कर दिया जाता है (सीधे प्रत्येक एजेंट से, यहाँ तक कि SCOM से जुड़े मोड में भी)।  

 

OMS लॉग सर्च में आप टॉप एजेंट्स और टॉप प्रोटोकॉल्स के बारे में जानकारी देखने के लिए आप डेटा को फ़िल्टर कर सकते हैं और इसे समूह में रख सकते हैं । या आप देख सकते हैं जब कुछ कंप्यूटर (IP एड्रेस/ MAC एड्रेस) कितने समय के लिए एक दूसरे से सवांद करते हैं, और कितना डेटा भेजा गया था – आमतौर पर, आप नेटवर्क ट्रैफिक के बारे में मेटाडेटा ही देखते हैं, दूसरे समाधानों की तरह सर्च द्वारा संचालित।

समाधान जो डेटा उत्पन्न करता है वो अपने आप में काफी हद तक स्वतः स्पष्ट होता है। हमारा मुख्य लक्ष्य है कि यह प्रोसेस लाइटवेट होना चाहिए – हम कार्य प्रदर्शन को बचाने के लिए नेटवर्क स्टैक में अधिक गहराई तक नहीं जाते हैं। डिफ़ॉल्ट सेटिंग्स के साथ हम कुछ ज्यादा चीजे कम करते हैं – यदि आवश्यक हो – बजाय कि कार्य प्रदर्शन की कीमत पर डेटा की पूर्णता/पूर्ण निष्ठा। वायर डेटा मॉड्यूल कुछ कॉन्फ़िगरेशन सेटिंग्स (जिन्हें बाद में इस पोस्ट में समझाया गया है) को परिभाषित करता है जिन्हें सुधारा  जा सकता है।

 

 

Type=WireData और Type=SecurityEvent : एक 'एक साथ बेहतर' उपयोग प्रकरण

यहाँ मैं एक कम स्पष्ट उपयोग प्रकरण का उदाहरण देकर स्पष्ट करना चाहता हूँ।

 

चलो, इसलिए ज्यादा गहराई में जाकर समय व्यर्थ नहीं करते हैं, जो फ़िलहाल एजेंटों, प्रोटोकॉल्स आदि के ख़राब होने को प्रस्तुत करता है – उम्मीद है वे स्वतः स्पष्ट होने चाहिए – और आओ प्रदान किये गए 'आम सवालों' में से एक से शुरू करते हैं, थोडा कम ध्यान में रखते हुए:

 style=margin: 5px; width: 553px; 

 

Type=WireData | measure Sum(TotalBytes) by ProcessName

यह मुझे इस डेटा के  एक दिलचस्प आयाम पर नज़र रखने देता है: हम अक्सर यह बताने में सक्षम होते हैं कि कौनसा प्रोसेस नेटवर्क कम्युनिकेशन को/से भेजा गया था:

 (स्क्रीनशॉट में मैंने 'Where' जोड़ दिया था क्योंकि मेरे पास बहुत थे...)


 style=margin: 5px; width: 553px; 

 

तो यहाँ मैंने ध्यान दिया कि कुछ ट्रैफिक को शंकास्पद-नामित प्रोसेस 'DancingPigs.exe' से भेजा गया था।

 

यदि मैं इसे ऊपर के परिणामों में क्लिक करता हूँ तो मैं अगली क्वेरी में चला जाऊंगा, जो मुझे वह ट्रैफिक दर्शाती है:


 style=margin: 5px; width: 553px; 

 

मैं विभिन्न प्रोटोकॉल्स (HTTPS, SMB, आदि) पर उन 'आउटबाउंड' कम्युनिकेशन के गुच्छों को देख सकता हूँ। ऐसा लग रहा है जैसे यूजर ने कुछ ऐसा चला दिया है जिस पर उसे क्लिक नहीं करना चाहिए था?

क्योंकि इस वर्कस्पेस में मेरे पास 'सिक्यूरिटी और ऑडिट' समाधान भी हैं,  मैं उन सिक्यूरिटी घटनाओं का पता लगा सकता हूँ (सब सर्च के माध्यम से –  यदि आपने नहीं पढ़ा है तो यहाँ पढ़े मेरा पिछला पोस्ट) जिनकी ProcessName फील्ड की वैल्यू (दोनों टाइप्स में फील्ड की वैल्यू एक ही फॉर्मेट में है) वही है जो वायर डेटा लॉग्स में है:

Type=SecurityEvent ProcessName IN {Type:WireData "DancingPigs.exe" | distinct ProcessName}


 style=margin: 5px; width: 553px; 

 

और एकबार मैं इस जानकारी को प्राप्त कर लेता हूँ तो मैं उन खातों को देख सकता हूँ जिन्होंने उस प्रोसेस को शुरू किया था, फिर से -- सिक्यूरिटी लॉग्स के अनुसार:

Type=SecurityEvent ProcessName IN {Type:WireData "DancingPigs.exe" | distinct ProcessName} | measure count() by Account

 


 style=margin: 5px; width: 553px; 

 

उम्मीद है उपरोक्त जानकारी ने इस प्रकार के डेटा के लिए कुछ रोचक उपयोग प्रकरण को थोड़ा सा प्रकट किया है।

डेटा कैसे एकत्र किया जाता है? क्या मैं संग्रह में सुधार कर सकता हूँ?

जैसा कि पहले लिखा था, समाधान विंडोज नेटवर्क स्टैक और इसके पोल आंकड़ों से जुड़ने के लिए SCOM और Direct Agent दोनों के लिए कस्टम मॉड्यूल का उपयोग करता है।

हमारा मुख्य लक्ष्य है कि यह प्रोसेस लाइटवेट होना चाहिए और एजेंट को प्रभावित नहीं करना चाहिए – इसलिए हम मशीन के कार्य प्रदर्शन पर ज्यादा सख्त न होते हुए  नेटवर्क स्टैक में अधिक गहराई तक नहीं जाते हैं। डिफ़ॉल्ट सेटिंग्स के साथ हम कुछ ज्यादा चीजे कम करते  हैं – यदि आवश्यक हो – बजाय कि कार्य प्रदर्शन की कीमत पर डेटा की पूर्णता या विश्वस्तता। वायर डेटा मॉड्यूल निम्न कॉन्फ़िगरेशन सेटिंग्स को परिभाषित करता है:

 

कॉन्फ़िगरेशन प्रॉपर्टी  विवरण डिफ़ॉल्ट वैल्यू न्यूनतम वैल्यू अधिकतम वैल्यू
IntervalSecondsयह एजेंट से क्लाउड भंडारण पर वायर डेटा के अपलोड होने का अंतराल है।60 सेकंड  1 सेकंड  3600
SessionPerUpload

अपलोड करने के लिए अधिकतम सेशन की संख्या।

यदि एकत्रित सेशन SessionPerUpload प्रॉपर्टी की विशिष्ट वैल्यू से अधिक हैं तो वो सेशन अगले अपलोड अंतराल के दौरान अपलोड होते हैं।

1000 1 सेकंड  262144 (i.e. 256K)
ExpireIntervalSeconds

यह सेशन की समाप्ति को ट्रैक करने के लिए है।

यदि समाप्त सेशन ExpireIntervalSeconds प्रॉपर्टी की वैल्यू से अधिक हैं तो उन सेशन को हटा दिया जाता है और उन्हें क्लाउड में अपलोड नहीं किया जाता है।

1800 86400
MaxSessionBuffersसंदेशों को पकड़ने के लिए WireData डेटा सोर्स/MP द्वारा निर्मित ETW सेशन के लिए सेशन बफर की अधिकतम संख्या की गिनती करना।  32 1 255
SessionBufferSizeKBETW सेशन बफर का आकार।  4096 1 32768
TruncationLengthByte

ट्रंकेशन लम्बाई का संकेत देती है। 0 वैल्यू कोई भी ट्रंकेशन नहीं हुआ है का संकेत देती है। इस प्रॉपर्टी की वैल्यू जितनी अधिक होगी उतनी ही बाइटस ईथरनेट पैकेट से हटा ली जाएँगी। 

 

128 0 2048
MaxCachedSessionsकैशे सेशन की अधिकतम संख्या  16384 100 1048576
LatencySamplingIntervalSecondsलेटेंसी गणना के लिए सेकंड में सैंपलिंग अंतराल 300 1 86400
LatencySamplingTimeoutSecondsलेटेंसी सैंपलिंग का टाइमआउट अंतराल  2 1 1024
LatencySamplingCountलेटेंसी गणना के लिए सैंपलिंग काउंट का संकेत करती है 4 1 10

 

जिसका मतलब है, यदि आपके पास SCOM है तो डेटा में ओवरराइड के माध्यम से सुधार किया जा सकता है (अपने जोखिम पर) – इन सीमाओं में सुधार के प्रभाव को आंकने के लिए अपने खुद के कार्य प्रदर्शन का माप करें, विशेष रूप से बहुत सारे ट्रैफिक के साथ एक व्यस्थ सर्वर पर।

 


 style=margin: 5px; width: 553px; 

 

टीम की ओर से, हम उम्मीद करते हैं आप इस समाधान का मजा लेंगे और इसे उपयोगी पाएंगे। OMS में नेटवर्क ट्रैफिक विज़बिलिटी के इस क्षेत्र में 'अनुभव प्राप्त करने की शुरुआत करने का' यह केवल पहला कदम है।

 

हमेशा की तरह UserVoice प्रतिक्रिया फोरम पर हमें प्रतिक्रिया और विशेष अनुरोध (या बग रिपोर्ट) भेजें।

Security, microsoft, query, queries, ACS, Audit, opsmgr, System Center Operations Manager 2012, OpsMgr2012, Override, Operations Manager, System Center Advisor, mscadvisor, Advisor, search, opinsights, Operational Insights, Azure, OMS,Operations Management Suite

 

Read More on...

This site uses Unicode and Open Type fonts for Indic Languages. Powered by Microsoft SharePoint 2013.
©2016 Microsoft Corporation. All rights reserved.