Monitoring: NEXThink v4 im Test

Datamining im Einsatz

Die NEXThink-Lösung spielt ihre Stärken aus, wenn es um Ad-hoc-Analysen von historischen und Echtzeitdaten geht.

Szenario: Support für User mit schlechter Performance

Ein Anwender meldet, dass sein Computer wiederholt zu langsam läuft. Der NEXThink-Administrator kann nun im Finder über den User-Namen oder den Computernamen in die aktuellen und historischen Daten des Endgeräts hineinzoomen und dessen Hardwareausstattung prüfen.

Über eine vergleichende Analyse kann er mit wenigen Klicks die Auslastungsdaten sowie die Zeiten für Boot-und Login-Vorgang mit denen anderer Rechner im Netzwerk vergleichen, um die Aussagen des Anwenders zu prüfen und die Ursachen weiter einzugrenzen. Dabei kann der Support-Mitarbeiter zudem die historischen Daten des Desktops in Augenschein nehmen und so etwaige Performance-Probleme auf Anwendungs- und Netzwerkebene finden. Dies schließt auch die Erfassung aller aufgetretenen Applikationsabstürze ein. Können diese anhand der ermittelten Daten beispielsweise mit einer sehr hohen Speicherauslastung in Verbindung gebracht werden, kann im Beispiel direkt auf zu wenig Arbeitsspeicher im Endgerät geschlossen werden.

Um solche Probleme auch bei anderen Geräten oder Anwendern proaktiv erkennen zu können, kann der Sysadmin nun einen entsprechenden Alert definieren. Er generiert dafür eine eigene Kategorie für alle Rechner mit derselben (geringen) Menge an RAM, um diese gemeinsam zu betrachten und auszuwerten. Der Alert informiert die betreffende Abteilung per Mail, falls bei weiteren Maschinen die jeweilige Bedingung eintritt. Zudem können die Alarme auch zu Event-/Incident-Management-Systemen weitergeleitet werden.

Szenario: Druckeranalyse

Mit dem Finder lassen sich Fragen nach der Druckernutzung beantworten: Welche Drucker im Netzwerk sind die aktivsten (Nutzungsdauer, Anzahl gedruckter Seiten), wie werden sie genutzt, was wird jeweils auf ihnen gedruckt? Dabei kann nach lokalen Druckern, Netzwerkdruckern und an Servern angeschlossenen (SMB) Druckern differenziert werden.

Drilldown-Analysen der tatsächlichen Nutzung im Hinblick auf druckende Applikation, Farbe oder Druckqualität dienen der Ermittlung der tatsächlichen Anforderungen der Anwender. Anhand solcher Analysen können Maßnahmen zur wirtschaftlicheren Nutzung der Drucker getroffen werden: Welche Drucker werden kaum genutzt und können gekündigt oder abgeschafft werden? Welche Drucker werden unwirtschaftlich genutzt (zum Beispiel Ausdrucke auf Farbdruckern, obwohl die Drucke viel wirtschaftlicher in Schwarz-Weiß gedruckt werden könnten)?

Szenario: Spammer im eigenen Netzwerk

Wird das Unternehmen Opfer einer netzinternen Spammer-Attacke, was sich etwa im öffentlichen Blacklisting des Mail-Servers äußert, so kann der NEXThink-Admin in mehreren Schritten Ursache und Übeltäter aufspüren.

Zunächst erstellt er eine Investigation, die den gesamten ausgehenden Traffic über die Mail-Ports zeigt. Dabei muss er nicht alle Mail-Port-Nummern zusammenstellen, sondern kann direkt die Kategorie "Mail-Ports" wählen und erhält damit einen Überblick über sämtliche Mail-Aktivitäten im Netzwerk, zum Beispiel eingegrenzt auf den ausgehenden Datenverkehr der zurückliegenden 48 Stunden. Die Ausgabe des Reports definiert er dabei so, dass alle beteiligten Mail-Programme gezeigt werden. Tauchen in dieser Liste neben den bekannten Applikations-Binaries wie etwa outlook.exe unbekannte oder gar verdächtige Programme auf, kann der Administrator diese gezielt auf ihre tatsächliche Aktivität untersuchen und den davon ausgehenden Netzwerkverkehr auch kartografisch darstellen.

Mit einem weiteren Klick kann der Administrator die Geräte ermitteln, auf denen das betreffende Programm zuletzt aktiv war, um dann anhand dessen historischer Daten den Verlauf der "Infektion" zu erkennen, wie beispielsweise den Ausfall des Virenscanners, erhöhte Belastung und Netzwerkaktivität sowie den Zeitpunkt der Installation der Schadsoftware. Mit einem weiteren Befehl im NEXThink-Finder kann er - vorausgesetzt, die entsprechende Schnittstelle wurde eingerichtet - Microsoft SCCM anweisen, die Deinstallation der Schadsoftware vollautomatisch auf allen betreffenden Desktops durchzuführen.