Criando um Trace Clip no SteelCentral Packet Analyzer

30 de abril de 2016

Imagine que você precise fazer a análise de um problema intermitente no seu ambiente. Para entender o que está gerando Resets nas conexões. Você vai precisar capturar pacotes em pontos estratégicos da rede, mas não bem ao certo onde.

Você pega seu laptop com o WireShark, espelha o tráfego de uma ou mais VLANs para uma certa porta do switch, conecta ali o seu laptop e começa a capturar. Depois de alguns minutos você encerra a captura e começa o árduo trabalho de filtrar os pacotes que vão evidenciar o problema.  Pode levar horas.  Como resolver esta situação?

Logo você descobre que o problema não se reproduziu, não apareceu nenhum pacote com as características que você esperava. Isso quer dizer que você vai ter de começar a captura novamente, talvez num outro switch, e esperar que desta vez os pacotes estejam lá.

O SteelCentral NetShark da Riverbed é a solução para esse tipo de problema. O NetShark é um capturador de pacotes inteligente que, além de armazenar Terabytes de pacotes 24 horas por dia, também extrai automaticamente estatísticas sobre as aplicações e conversações da rede. Com o NetShark, você não perde nenhum pacote e pode “voltar no tempo” para analisar problemas que aconteceram dias atrás.

O parceiro do NetShark é o SteelCentral Packet Analyzer que pode ser entendido como a console de análise do NetShark. O PA é um poderoso analisador de pacotes que “reduz” os teras e teras de dados capturados para a porção que contém o problema que você quer analisar.

Você já tentou abrir um arquivo PCAP de 1 TB no WireShark? Conseguiu? Imagino que não. Mas com o Packet Analyzer você pode trabalhar com 5 TB de dados e selecionar a porção de pacotes que lhe interessa. Basta criar um TRACE CLIP.

 O que é um Trace Clip?

Um problema intermitente pode gerar terabytes de dados para serem analisados. Procurar aí os pacotes que você precisa pode ser mais difícil do que achar uma agulha num palheiro.

Um Trace Clip é um pedaço menor de um grande conjunto de dados que pode ser manipulado de várias maneiras para selecionar apenas os pacotes que interessam na análise de problemas.

Com um Trace Clip, você pode reduzir muito o tempo gasto na seleção de pacotes, manipular os pacotes com maior rapidez, aplicar filtros com grande eficiência e até exportar os pacotes para um pen drive.

Criando um Trace Clip

  1. Clique no ícone 2016_04-Marcio Pocciotti-Criando um Trace Clip no SteelCentral Packet Analyzer_0  (sinal “+” dentro do ícone verde) do Job Trace (ou do arquivo PCAP) que está capturando pacotes no segmento de rede desejado. A figura abaixo mostra um Job Trace dentro da pasta Jobs Repository, relacionado ao Capture Job mon0-all:

2016_04-Marcio Pocciotti-Criando um Trace Clip no SteelCentral Packet Analyzer_1
FIGURA 1

Note as informações do Job Trace: os pacotes disponíveis vão do dia 12-Fev 15:31 até dia 14-Fev às 8:19 horas num total de 528.64 MB.

O ícone 2016_04-Marcio Pocciotti-Criando um Trace Clip no SteelCentral Packet Analyzer_1a significa que o Job Trace já está indexado e que existem pacotes para todo o tamanho do índice. Job Traces indexados permitem que você trabalhe apenas com o índice (e não com os pacotes diretamente), dando muito maior rapidez à análise e sem transferir os pacotes pela rede.

  1. A tela Time Control mostra algumas maneiras de se escolher o intervalo de tempo desejado para o Trace Clip. A maneira mais comum é deslizar a barra de tempo e ajustar para o intervalo desejado. É possível também clicar num dos intervalos de tempo pré-configurados: 10 segundos, 1 minuto, 12 horas, etc.

Se você já tiver um intervalo em mente, basta inserir o início e fim nos campos “From” e “To”:

2016_04-Marcio Pocciotti-Criando um Trace Clip no SteelCentral Packet Analyzer_2
FIGURA 2

  1. Basta clicar OK para criar o Trace Clip; ele aparecerá sob o Capture Job:

2016_04-Marcio Pocciotti-Criando um Trace Clip no SteelCentral Packet Analyzer_3
FIGURA 3

O ícone 2016_04-Marcio Pocciotti-Criando um Trace Clip no SteelCentral Packet Analyzer_3a significa que este é um Trace Clip com pacotes já indexados.

Note as informações do Trace Clip na figura acima: pacotes existentes no período de 13-Fev das 3:02 horas até as 9:02 com um total de 105.5 MB.

105.5 MB é uma quantidade muito razoável para se abrir no WireShark. Muito diferente do que abrir um PCAP de vários gigabytes.

Se você quiser enviar para o WireShark, basta clicar no Trace Clip com o botão direito e escolher “send to wireshark”.

Incorpore essa dica sobre a criação de Trace Clips à sua metodologia de análise de pacotes e veja como o SteelCentral Packet Analyzer pode reduzir o tempo de resolução de problemas.

Para obter uma um trial gratuito do StellCentral Packet Analyzer e experimentar uma nova dimensão na análise de pacotes visite o site da Riverbed e preencha o formulário.

Posts relacionados