Um den Funktionsumfang von NEXThink einordnen zu können, helfen Analysen von Forrester Research. Sie unterteilen den Markt des sogenannten End User Experience Monitoring (EUM) in drei Gruppen: Application Performance Management (APM), Web-Monitoring-Lösungen und Client-zentrierte Monitoring-Tools. APM-Anbieter betrachten mit ihren End-to-End Monitoring-Werkzeugen vorwiegend Applikationen und Services auf Netzwerkebene.
Andere Lösungen für das End User Experience Monitoring arbeiten auf Basis immer wieder abgespielter Transaktionen, wobei der tatsächliche Zustand des Endgeräts außen vor bleibt und nicht explizit definierte Prüfszenarien durch das Raster fallen. Der schweizerische Anbieter NEXThink, von Forrester der dritten, neuen Gruppe zugeordnet, tritt an, um diese Lücke mit einem umfassenden Tool für die Erfassung, Überwachung und Analyse von Unternehmens-Desktops und ihres aktuellen Zustands zu schließen.
Das Interesse an EUM-Tools nimmt weiter zu, denn heutige Desktop-Umgebungen werden immer komplexer und schwieriger zu überwachen. Schuld daran sind die zunehmende Abhängigkeit von Netzwerk-Services und die wachsende Zahl an Applikationen und Cloud-Diensten. Zudem laufen immer mehr Desktops virtualisiert in VDI-Umgebungen, was oftmals schwer zu analysierende Performance-Probleme mit sich bringt.
Vielfältige Fragestellungen
Diese Aspekte verlangen nach einer durchgängigen Überwachung der Verfügbarkeit der Desktop-Ressourcen und einer Übersicht von eventuell auftretenden Störungen mit einer effektiven Möglichkeit, ihre Ursachen aufzuspüren. An dieser Stelle setzt NEXThink v4 an. Anspruch des schweizerischen Start-ups ist es, die Qualität der Desktop-Umgebung zu steigern, der IT-Abteilung die Erbringung dieses Services zu erleichtern und durch die Analyse von Systemdaten die beteiligten Prozesse und Projekte in der IT zu unterstützen. Das Werkzeug nimmt den Zustand des Endgeräts selbst mit seinen Auswirkungen auf den Anwender unter die Lupe und adressiert zentrale Fragen:
-
Performance Monitoring: Wo entstehen Leistungsengpässe und Beeinträchtigungen auf dem Desktop?
-
Wie viele und welche Anwendungsfehler und Störungen kommen vor?
-
Welche Sicherheitsrisiken entstehen und welche Auswirkungen haben sie?
-
Compliance: Werden die gesetzlichen und internen Vorgaben eingehalten? Wo weichen Desktop-Systeme vom Standard ab?
-
Welche Rechner und welche Software können auf Windows 7 migriert werden?
-
Release-Management: Sind die richtigen Versionen der E-Mail-Software und der Virenscanner installiert?
-
IT Infrastruktur Mapping: Welche Desktop-Systeme sind welchem Netzwerkbereich zugeordnet?
-
IT Service Management: Wo werden Services nicht zufriedenstellend erbracht?
-
Druckkostenoptimierung: Welche Drucker sind wie stark ausgelastet und wo können Kosten eingespart werden?
-
Ist der Zugriff auf Geschäftsanwendungen an den Remote-Standorten möglich?
-
Wie ist die derzeitige Nutzererfahrung für die mobilen Mitarbeiter?
Die Tools bieten neben einer Bestandsaufnahme der Endgerätelandschaft sowohl Alarmfunktionen als auch Ad-hoc-Analysen, um aktuellen Störungen schnell auf den Grund zu gehen. Eine Portallösung ermöglicht es dabei einzelnen Administratoren oder Abteilungen, per Web-GUI aktuelle Reports und Auswertungen zu Fragen wie Auslastung, Verfügbarkeit oder Sicherheit abzurufen.
NEXThink bietet sich damit als umfassendes Werkzeug für den IT-Helpdesk an, ebenso für das Servicemanagement, für Troubleshooting und gezielte Anwenderunterstützung.
NEXThing-Komponenten: Server Engine
Die NEXThink Engine ist die Datenzentrale der Lösung. Sie dient dazu, alle Geräte- und User-Informationen zu speichern, aufzubereiten und für Analysen bereitzustellen. Als Systemvoraussetzung benötigt die Engine einen dedizierten oder virtuellen Server mit mindestens 2 GByte RAM und 20 GByte Speicherkapazität sowie eine 64-Bit-fähige CPU. Je zirka 5000 überwachte Endgeräte wird ein separater Engine-Server benötigt.
Foto: Andrej Radonic
Um Skalierbarkeit auch bei hunderttausenden Endgeräten zu gewährleisten, können mehrere Engines parallel auf verschiedenen Servern betrieben werden. Als Faustregel gilt dabei, dass pro 5000 Endgeräte eine Engine benötigt wird. Die Zusammenführung der Daten der verschiedenen Engines übernimmt die separat zu installierende Portalkomponente der Lösung.
Die Serverkomponente wird als Linux-Appliance geliefert. Das zugrunde liegende CentOS 6.2 kann dabei wahlweise "Bare Metal" oder als virtuelle Maschine installiert werden. Der Einrichtungsvorgang ist durch einen Assistenten stark vereinfacht: Der Administrator gibt lediglich die Netzwerkdaten und das root-Passwort an und wählt aus, ob Engine und/oder Portal installiert werden sollen. Der Rest erfolgt dann innerhalb weniger Minuten automatisch. Zu bemängeln ist, dass die Netzwerkparameter hierbei nicht überprüft werden und auch keine DHCP-Option verfügbar ist.
Foto: Andrej Radonic
Im Anschluss an die Einrichtung kann die Engine direkt über die NEXThink Console, eine Web-GUI, unter der URL http://ipadresse:99/ erreicht werden. Der Administrator verwaltet darüber Netzwerkparameter, die Anbindung an das Active Directory für die Ermittlung der User-Daten, die SMTP-Anbindung der Engine, die Administratorzugänge sowie den Status der einzelnen Engines. Über die Console kann auch die Client-Komponente Collector heruntergeladen werden.
NEXThing-Collector sammelt Daten
Beim Collector handelt es sich um ein kleines, Agent-ähnliches Stück Software für Windows ab Version 2000. Der Collector sammelt Ressourceninformationen auf dem Endgerät und übermittelt diese an die zentrale NEXThink-Engine.
Der Collector arbeitet dabei auf Treiberebene, ist also kein Agent im herkömmlichen Sinne. Er kann manuell als etwa 500 KByte kleines Windows-Paket installiert oder über eine Softwareverteilung ausgerollt werden. Für Umgebungen, in denen eine solche nicht verfügbar ist, bietet NEXThink über den Finder die Möglichkeit, den Collector automatisch zu verteilen. Hierzu werden entweder über die Anbindung an das Active Directory eine Liste von Zielgeräten generiert und der Zugang geöffnet, oder es kann eine CSV-Datei mit IP-Adressen oder Hostnamen der Geräte eingelesen werden, und das Programm wird sodann automatisch installiert. NEXThink unterstützt die Installation auch in VDI-Umgebungen aller namhaften Hersteller wie Citrix und VMware.
NEXThink übernimmt auf Wunsch auch das automatische Updaten der Collector-Komponente auf den Endgeräten. Hierfür ist zusätzlich der Updater zu installieren.
Im Finder kann der Administrator jederzeit den Zustand der Collector-Gemeinde überwachen: Auf wie vielen Rechnern ist der Agent installiert, wo müssen noch Updates vorgenommen werden, welche PCs lassen sich nicht managen?
Foto: Andrej Radonic
Der Hersteller gibt an, dass der Agent die CPU und den RAM nur geringfügig belastet und der Netzwerk-Traffic keine nennenswerte Größe erreicht. Da es sich um eine Kernel-nahe und damit systemkritische Komponente handelt, sorgt der Crash Guard für eine automatische Deaktivierung des Agenten, falls er wiederholt abstürzen sollte.
Auf dem Endgerät werden keine Berechnungen oder Transformationen vorgenommen, sondern alle gesammelten Daten werden direkt an die Engine geschickt und dort aufbereitet, sodass sie direkt für Analysen zur Verfügung stehen. NEXThink betont, dass keine Nutzerprofile erstellt werden und kein Einblick in Benutzerdaten genommen wird, sondern lediglich die Nutzung von Ressourcen analysierbar gemacht wird.
Um unterschiedlichen Ansprüchen an den Datenschutz zu genügen, kennt NEXThink drei Anonymisierungsstufen: Bei der höchsten Anonymisierung wird zum jeweiligen Gerät und Nutzer nur die interne NEXThink ID gespeichert und angezeigt. In der laxesten Stufe werden neben der Windows SID auch der User-Name und der Rechnername gespeichert.
Diese Daten werden vom Collector-Agent gesammelt:
-
Desktop herunterfahren, hochfahren
-
Hardwareinformationen
-
User-An- und -Abmeldung
-
Prozessgenerierung und -beendigung
-
Verbindungsherstellung und -beendigung
-
Datenübertragung (TCP in/out, UDP in/out
-
Installierte Packages und Patches
-
System- und Prozess-Performance-Daten
Finder wertet aus
Der Finder ist die zentrale Auswertungskomponente der NEXThink-Lösung. Das Windows-Programm verbindet sich zur NEXThink Engine und ermöglicht in Echtzeit Analysen aller gesammelten Daten. Über den Finder kann der Administrator Endgeräte und ihren aktuellen wie historischen Zustand unter die Lupe nehmen, Alarme anlegen und Services überwachen.
Foto: Andrej Radonic
Die sogenannten Investigations erlauben dabei eine zielgenaue interaktive Analyse bestimmter Fragestellungen, etwa welche Geräte auffällige Netzwerkaktivitäten aufweisen, welche PCs besonders lange Boot-Zeiten haben oder welche Desktops zu lange ohne Update der Antivirensignaturen leben. Die Ergebnislisten lassen sich dabei weiter analysieren durch Drilldown in zusätzliche Informationen, zum Beispiel welche Events, Objekte oder Applikationen beteiligt oder welche Geräte beziehungsweise Netzwerkkomponenten betroffen waren.
Zudem kann der Finder den betreffenden Netzwerkverkehr zur jeweiligen Fragestellung visuell darstellen und einzelne Knoten per Drilldown weiter aufschlüsseln. Interessant ist dabei auch die Möglichkeit, Vergleichsübersichten zu erstellen. So lässt sich mit mehreren Klicks eine Übersicht über alle PCs nach Menge an Memory oder durchschnittlicher CPU-Auslastung erstellen, die nach Gruppen eingeteilt ist.
Foto: Andrej Radonic
Der Administrator kann Investigations nach eigenen Fragestellungen selbst erstellen und kategorisieren oder sie von externen Quellen importieren.
Neben selbst definierten Alerts, die auf der Finder-Startseite aktuell und historisch dargestellt werden, können IT-Verantwortliche auch ihre netzwerkbasierten Services definieren und kontinuierlich auswerten. Populäre Beispiele sind Microsoft Exchange, das Intranet-Portal, die ERP-Lösung. NEXThink überwacht dann fortlaufend die mit dem Service in Verbindung stehenden Netzwerkaktivitäten und erlaubt einen Blick in die jeweiligen Endgeräte, Applikationen und bewegten Datenmengen. Auf diese Weise können Fehler in der Kommunikation, Überlastungssituationen und Nutzeraktivitäten überwacht und ad hoc erkannt werden.
Foto: Andrej Radonic
Beispiel Exchange: Anhand der Serviceüberwachung kann der Administrator Verbindungsabbrüche sowie Downtimes von Clients in Bezug auf den Service erkennen. Über einen Drilldown ist er dann in der Lage festzustellen, welche Aktivitäten bei Einsetzen dieser Probleme erfolgten, zum Beispiel das Einspielen von Software-Updates oder Patches im Zusammenhang mit dem Service, etwa für MS Office oder Outlook, um so die Suche nach Fehlern einzugrenzen und deren Behebung in die Wege leiten zu können.
Finder-Unterstützung aus der Library
Die Library unterstützt den Finder-Anwender mit vorgefertigten zusätzlichen Analysen und Templates. Diese lassen sich mit einem Klick im Finder installieren. Dabei werden verschiedenste Themenbereiche abgedeckt, von Performance über Compliance bis hin zu Security, also etwa das Aufdecken von Endgeräten, die möglicherweise mit dem Conficker Wurm infiziert sind, oder das Auffinden und Auflisten aller Geräte, die (noch) nicht für eine Windows 7 Migration tauglich sind.
Für VDI-Migrationen interessant: Es gibt Szenarien zur Vorher/Nachher-Analyse, um die Auswirkungen der Virtualisierung zu erkennen.
NEXThink-Portal
Foto: Andrej Radonic
Das NEXThink-Portal ist eine Webplattform, über die im Unternehmen alle relevanten Analysedaten sowie Reports zielgruppengenau bereitgestellt und verteilt werden können. Auf Basis von Rollen und Unternehmenshierarchien - zum Beispiel Abteilungen oder geografische Regionen - können alle wesentlichen Kennzahlen entweder als interaktive Widgets auf einem Dashboard und/oder als Report, der auch regelmäßig per Mail zugestellt werden kann, bereitgestellt werden.
Das Portal übernimmt dabei die Rolle der zentralen Datenaggregation: Alle 24 Stunden werden automatisch die Daten aller beteiligten Engines eingesammelt und aufbereitet, sodass die Auswertungen im Tagesrhythmus auf konsolidierte Daten aus dem gesamten Netzwerk zugreifen können.
Datamining im Einsatz
Die NEXThink-Lösung spielt ihre Stärken aus, wenn es um Ad-hoc-Analysen von historischen und Echtzeitdaten geht.
Szenario: Support für User mit schlechter Performance
Ein Anwender meldet, dass sein Computer wiederholt zu langsam läuft. Der NEXThink-Administrator kann nun im Finder über den User-Namen oder den Computernamen in die aktuellen und historischen Daten des Endgeräts hineinzoomen und dessen Hardwareausstattung prüfen.
Über eine vergleichende Analyse kann er mit wenigen Klicks die Auslastungsdaten sowie die Zeiten für Boot-und Login-Vorgang mit denen anderer Rechner im Netzwerk vergleichen, um die Aussagen des Anwenders zu prüfen und die Ursachen weiter einzugrenzen. Dabei kann der Support-Mitarbeiter zudem die historischen Daten des Desktops in Augenschein nehmen und so etwaige Performance-Probleme auf Anwendungs- und Netzwerkebene finden. Dies schließt auch die Erfassung aller aufgetretenen Applikationsabstürze ein. Können diese anhand der ermittelten Daten beispielsweise mit einer sehr hohen Speicherauslastung in Verbindung gebracht werden, kann im Beispiel direkt auf zu wenig Arbeitsspeicher im Endgerät geschlossen werden.
Foto: Andrej Radonic
Um solche Probleme auch bei anderen Geräten oder Anwendern proaktiv erkennen zu können, kann der Sysadmin nun einen entsprechenden Alert definieren. Er generiert dafür eine eigene Kategorie für alle Rechner mit derselben (geringen) Menge an RAM, um diese gemeinsam zu betrachten und auszuwerten. Der Alert informiert die betreffende Abteilung per Mail, falls bei weiteren Maschinen die jeweilige Bedingung eintritt. Zudem können die Alarme auch zu Event-/Incident-Management-Systemen weitergeleitet werden.
Szenario: Druckeranalyse
Mit dem Finder lassen sich Fragen nach der Druckernutzung beantworten: Welche Drucker im Netzwerk sind die aktivsten (Nutzungsdauer, Anzahl gedruckter Seiten), wie werden sie genutzt, was wird jeweils auf ihnen gedruckt? Dabei kann nach lokalen Druckern, Netzwerkdruckern und an Servern angeschlossenen (SMB) Druckern differenziert werden.
Drilldown-Analysen der tatsächlichen Nutzung im Hinblick auf druckende Applikation, Farbe oder Druckqualität dienen der Ermittlung der tatsächlichen Anforderungen der Anwender. Anhand solcher Analysen können Maßnahmen zur wirtschaftlicheren Nutzung der Drucker getroffen werden: Welche Drucker werden kaum genutzt und können gekündigt oder abgeschafft werden? Welche Drucker werden unwirtschaftlich genutzt (zum Beispiel Ausdrucke auf Farbdruckern, obwohl die Drucke viel wirtschaftlicher in Schwarz-Weiß gedruckt werden könnten)?
Szenario: Spammer im eigenen Netzwerk
Wird das Unternehmen Opfer einer netzinternen Spammer-Attacke, was sich etwa im öffentlichen Blacklisting des Mail-Servers äußert, so kann der NEXThink-Admin in mehreren Schritten Ursache und Übeltäter aufspüren.
Zunächst erstellt er eine Investigation, die den gesamten ausgehenden Traffic über die Mail-Ports zeigt. Dabei muss er nicht alle Mail-Port-Nummern zusammenstellen, sondern kann direkt die Kategorie "Mail-Ports" wählen und erhält damit einen Überblick über sämtliche Mail-Aktivitäten im Netzwerk, zum Beispiel eingegrenzt auf den ausgehenden Datenverkehr der zurückliegenden 48 Stunden. Die Ausgabe des Reports definiert er dabei so, dass alle beteiligten Mail-Programme gezeigt werden. Tauchen in dieser Liste neben den bekannten Applikations-Binaries wie etwa outlook.exe unbekannte oder gar verdächtige Programme auf, kann der Administrator diese gezielt auf ihre tatsächliche Aktivität untersuchen und den davon ausgehenden Netzwerkverkehr auch kartografisch darstellen.
Mit einem weiteren Klick kann der Administrator die Geräte ermitteln, auf denen das betreffende Programm zuletzt aktiv war, um dann anhand dessen historischer Daten den Verlauf der "Infektion" zu erkennen, wie beispielsweise den Ausfall des Virenscanners, erhöhte Belastung und Netzwerkaktivität sowie den Zeitpunkt der Installation der Schadsoftware. Mit einem weiteren Befehl im NEXThink-Finder kann er - vorausgesetzt, die entsprechende Schnittstelle wurde eingerichtet - Microsoft SCCM anweisen, die Deinstallation der Schadsoftware vollautomatisch auf allen betreffenden Desktops durchzuführen.
Fazit
NEXThink ist ein ausgereiftes Werkzeug, das IT-Administratoren effektiv dabei unterstützen kann, einen hohen Service-Level bei den Anwendern zu realisieren. Es besticht durch seine Fähigkeit, Ad-hoc-Analysen mit Echtzeitdaten aller Desktops durchzuführen und damit jederzeit einen aktuellen Einblick in das Geschehen der Endgeräte zu gewinnen. Damit ist es eine gute Lösung für proaktives Troubleshooting im Helpdesk-Umfeld und auch für die fortlaufende Überwachung von SLAs und Sicherheitsrichtlinien. Als solche ersetzt es nicht bestehende Monitoring-Lösungen, sondern ergänzt diese um eine Sicht der Anwender und PCs beziehungsweise Desktops.
Installation und Handling sind gut gelöst, der Appliance-Charakter der Serverkomponente "Engine" sorgt für geringen Aufwand, der Collector lässt sich über gängige Tools einfach ausrollen und belastet Rechner und Netzwerk nicht spürbar. Ein gewisser Nachteil ist dabei im Skalierungsansatz zu sehen: Pro 5000 User muss eine separate Engine installiert und jeweils als (virtueller) Server betrieben werden. Neben dem zusätzlichen Verwaltungsaufwand für jeden weiteren Server entsteht eine Begrenzung der Aktivitäten im Finder, da dieser sich immer nur mit jeweils einer Engine verbinden kann, um Analysen durchzuführen. Die Technik ist derzeit noch auf Windows-Geräte beschränkt. Die Unterstützung für Smartphones sowie für Linux-PCs ist jedoch in Vorbereitung.
IT-Abteilungen, die NEXThink einführen, müssen damit rechnen, dass der Betriebsrat auf den Plan gerufen wird. Die Schweizer sagen hierzu sehr deutlich, dass keine personenbezogenen Daten erhoben werden. In Verbindung mit den Möglichkeiten zur Anonymisierung wird nach den Erfahrungen des Herstellers daher in den meisten Fällen eine Regelung gefunden, die für alle Seiten tragbar ist.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche. (cvi)