全流量分析，能为我做什么？

在生活中遇到问题，我们的第一反应可能是拿出手机拍照记录，方便后续处理。这些问题是临时的、突发的。

流量分析，就是网络中的“手机”，针对突发的网络故障和安全事件，把这个时间段的数据包“拍照”保存，再进一步分析定位。

全流量分析，则是网络中的“摄像头”，它的“全”在于7*24小时不间断“录制”数据报文。实现全流量采集与存储、全流量回溯、全行为分析，敏锐感知异常行为，让数据检测无死角。

监测全链路业务，提供三大价值

全链路业务是指从用户发起请求到服务器响应的整个过程，包括网络传输、服务器处理、数据库查询等各个环节。通过对全链路业务的监测，可以实现：

价值1：业务故障问题界面判定

重要业务无法访问或访问延迟高，如何判断是网络故障、应用故障还是安全攻击？

某市烟草公司需要对机房环境进行7*24小时监控，并定期将监控数据同步至省公司的动环监控系统。

每天早上9-10点，某市烟草公司的动环应用都会与省公司断开连接并告警，而网络厂商、安全厂商、动环系统厂商、运营商均反馈正常，无法找到断连原因。

全流量分析产品，在某市烟草公司的出口设备和内网核心设备上镜像三路流量，进行全流量存储与分析。通过多次流量回溯和验证，得出如下结论：

1、告警期间，网络流量没有波动，验证网络本身没有问题。

2、内网应用的流量占用均正常，验证告警不是其他应用造成的。

3、动环应用的连接稳定性明显变差，推断告警产生的机制，并给出动环应用配置优化建议。

“全流量”的核心价值是，帮助用户解决日常运维中的业务故障和网络问题，而不仅仅是厘清责任。

• 全流量存储让回溯具有可行性，无需各方技术人员蹲点现场，等待故障复现。
• 涵盖所有业务应用产生的流量，为复杂分析提供全面信息，降低对供应商的依赖风险。
• 基于实时流量的分析结果客观真实，协助厘清责任。

价值2：网络问题分析“四步走”

网络间歇卡顿或异常断线，如何快速定位故障点？

国投某港口现网有1500路IPC（网络摄像机），每个2M码流，每天共生成原始视频数据30T左右。

办公网PC在访问监控中心调取视频的过程中，经常出现断开连接、列表加载卡顿、无法连接平台等问题。多次召集各厂商联查，未找到问题原因。

“四步走”分析法

第一步：异常指标流量分析。

第二步：多维异常指标排名。

第三步：多级下钻关联原始会话。

第四步：在线分析与回溯取证。

全流量分析产品，通过流量回溯和对比，分析网络线路的传输质量，并对监控客户端与服务器进行针对性回溯分析。还原监控平台和客户端之间的保活机制，判定为应用自身问题导致。

“全流量”可以帮助运维人员，提高故障定位效率、清晰界定责任、充分留存证据，同时解决链路黑管问题。

• 视频卡顿或业务故障问题，均可通过相关性能指标分析，给出问题分析方向。
• 能够看见办公网流量组成，看清网络中跑着哪些应用流量，将流量可视化呈现。
• 全流量回溯提供问题原始数据，作为判断依据，让变更优化有据可依。

价值3：安全事件取证与溯源分析

上级单位通报，自身网络向境外传输大量不明流量，可以如何处置？

针对这样的等保合规场景，某省电力公司实现：

1、流量调度系统采集本部流量和日志，根据不同业务场景需求，进行流量调度管理。

2、网络运行监测系统对本部、分公司的网络设备进行数据采集，采用SNMP、Syslog等通用协议或SSH方式，采集网络设备的配置、策略和日志，对各单位网络设备进行监控分析。

3、全流量探针监测管理中心，对全流量存储分析溯源探针进行集中配置、下发和管理。

4、流量调度系统将流量调度至网络运行监测系统，实现设备运行监测、性能监测、链路传输运行监测、自动生成拓扑及巡检等功能。

5、网络故障或业务系统响应慢时，回溯原始流量，联动网络运行监测系统，快速分析、溯源并处置问题，实现问题原因发现、问题数据留存、责任界限明确。

6、采集分公司的全流量存储分析溯源探针的数据，对探针的历史流量进行统一检索和分析取证，为网络运营提供支撑。

全流量分析产品，在等保合规场景中，还可以实现：

• 网络行为审计：结合流量分析进行溯源取证，实现网络行为和数据报文的关联。
• 文件还原：支持从HTTP、FTP、邮件等不同协议的流量中进行文件还原，当发生文件外发的泄密事件时，能够快速溯源审计，对数据流转进行动态监测，助力实现数据安全。