Данные канального уровня

Данные канального уровня отражают наблюдаемое поведение и коммуникацию между сетевыми элементами, что является важным источником информации для специалистов по эксплуатации ИТ при устранении неполадок производительности, анализе нормальной активности, выявлении аномалий, расследовании инцидентов информационной безопасности, а также выявлении ИТ-активов и их взаимозависимостей.

Согласно аналитической записке исследовательской компании Gartner (США) от марта 2016 года, в будущем данные канального уровня станут более значимым источником аналитики, чем машинные данные: «Хотя журналы событий, безусловно, будут играть роль в будущих системах мониторинга и аналитики, именно данные канального уровня — переосмысленные и используемые по-новому — станут наиболее критическим источником для обеспечения доступности и управления производительностью в следующие пять лет»^[1].

Потоки данных канального уровня в режиме реального времени также представляют собой важный источник для бизнес- и операционной аналитики. К примеру, такие данные используются для измерения объёма и успешности транзакций в режиме реального времени; отслеживания числа госпитализаций в больницах; а также для сбора информации о весе и характеристиках самолётов перед вылетом.

Данные канального уровня отличаются от машинно-генерируемых данных, которые представляют собой самосообщаемую информацию системы (обычно в виде журналов) и поступают от маршрутизаторов, серверов и другого оборудования. В отличие от журнальных данных, зависящих от настроек логирования на устройствах, данные канального уровня определяются протоколами канального и транспортного уровней. Хотя между этими типами данных может существовать небольшое пересечение, различия существенны. Например, журналы веб-серверов обычно фиксируют ответы со статусом HTTP 200, что говорит о том, что страница была отдана клиенту. Однако веб-сервер не записывает содержимое транзакции и не может показать, какие из ответов с кодом 200 сопровождались сообщением «сервис недоступен». Такая информация содержится именно в данных канального уровня или полезной нагрузке транзакции и не обязательно фиксируется в журналах сервера.

• Структурированные транзакционные данные, передаваемые по HTTP, включая информацию, закодированную с помощью SOAP/XML
• Детали SQL-транзакций: ошибки, используемые методы, выполненные хранимые процедуры
• Уникальные идентификаторы клиентов, типы устройств, кредитные параметры, определяемые парами "атрибут–значение" и командами, входящими в протокол Diameter
• Метрики транзакций сквозных (web, СУБД, хранилище и пр.) взаимодействий, разбираемые по уникальным идентификаторам сессий или другим GUID
• Корреляция времени передачи по сети и времени обработки на сервере
• TCP-механизмы, такие как задержки по алгоритму Нейгла и ограничение пропускной способности
• HTTP-метаданные: user-agent, идентификатор сессии, статус-код, IP-адрес
• Содержимое HTTP-страниц: заголовок страницы, идентификатор пользователя, значения транзакций

К традиционным методам захвата и анализа данных канального уровня относятся офлайн-анализаторы сетевых пакетов. Современные подходы предполагают получение копии сетевого трафика с зеркального порта (SPAN) или сетевого разветвителя (TAP) и восстановление этих пакетов в полные пользовательские сессии и потоки транзакций, анализируя полезную нагрузку в реальном времени и генерируя метаданные по транзакциям без хранения собственно пакетов^[2].