一、简介
概要统计视图位于主视图区,近百个统计计数器为用户提供非常详尽的统计信息,快照功能允许用户对特定时段的数据变化进行比较。概要统计不仅是全局的,每个网络协议和网络端点都有自己的概要统计,用户可以开启多个窗口,比较不同协议或端点之间的概要统计。图表视图的数据都来自与概要统计中,图表视图是概要统计的另一表现形式。
二、概要视图界面和统计说明
概要统计视图中的统计内容包括:诊断统计、流量统计、数据包大小分布、地址统计、协议统计、数据流统计、TCP统计、进程统计、应用统计、警报统计、DNS分析、Email高级分析、FTP高级分析、HTTP应用分析、VoIP呼叫统计等共15种不同类型的数据统计值。如下图1:
图1 概要视图
1.统计信息导出
点击视图左上方的“”图标,可将统计信息导出为.csv格式的文件。
2. 概要统计的具体内容说明
诊断统计:按信息/注意/警告以及错误4种类型分别统计诊断出的各种网络事件数量。
流量统计:显示网络中数据通讯的流量占用情况,包括总共流量、广播流量、组播流量、丢包数和平均包长。对每种流量,又可详细统计出其字节数,数据包,每秒数据包,利用率等信息,通过这些信息,我们可以知道当前网络的总体工作状态,当总共流量的利用率超过50%,表示网络的负载过重;广播流量或组播流量大于总流量的20%,表示网络中可能存在广播/组播风暴或ARP攻击。
数据包大小分布:显示网络中数据包的大小分布情况,不同大小的数据包,都可对其总共字节、数据包数、每秒数据包数、以及利用率等信息进行统计,通过数据包大小分布,可以知道网络的通讯质量,如当<=64或>=1518的数据包过多,占用总流量比例过大时,表示网络中可能存在非正常的网络通讯,如碎片或数据包溢出攻击。
地址统计:详细统计显示当前网络通讯的地址数量,包括物理地址数、IP地址数、本地IP地址数以及远程IP地址数。
协议统计:详细统计显示当前网络通讯应用的协议数量,包括总协议数、链路层协议数、网络层协议数、传输层协议数、会话层协议数、表示层协议数以及应用层协议数。
数据流统计:详细显示网络的数据流通讯情况,包括物理流、IP流、TCP流以及UDP流。
TCP统计:显示网络中的TCP数据包数,包括TCP同步数据包、TCP同步确认数据包、TCP结束连接数据包、TCP复位数据包,对每一种TCP数据包的个数进行详细统计,通过这些信息,可以知道网络中的通讯是否正常。如TCP同步数据包和TCP复位数据包大大超过其他类型数据包时,表示网络中可能有扫描器在工作,或者网络中有主机正在被扫描攻击;当TCP同步数据包过多时,则表示网络中可能存在TCP SYN Flood现象,可能有攻击行为,当TCP复位数据包较多时,表示对端主机当前无法接受数据,对方主机系统可能存在故障。
进程统计:统计当前产生流量的进程数量。
应用统计:统计当前产生流量的应用数量。
DNS分析:每条日志均表示服务器端返回的一个DNS响应。对于每条日志信息,可以捕获并统计出其对应客户端地址、客户端端口、服务器端地址、服务器端端口、查询的域名、请求是否成功、服务器端的回答、权威回答、附加效果、以及具体的分析结果。通过这些信息,可以有效查看网络中所有用户或特定用户的DNS请求及响应情况。
Email高级分析:详细分析SMTP及POP3连接信息,通过这些数据,您可以确定网络中的邮件发送是否正常,如网络中的SMTP服务器工作是否正常。
FTP高级分析:详细分析FTP通讯情况,包括FTP上传及FTP下载信息,您可以这些信息详细了解当前的FTP通讯行为。
HTTP应用分析:显示网络中上网的统计信息,包括HTTP连接数、HTTP请求数、访问过的HTTP服务器数等。通过这些信息,您可以了解到当前网络的HTTP网页浏览情况。
VoIP呼叫统计:显示网络中VoIP呼叫状态的分布情况,呼叫状态包括关闭、通话中、拨号中和失败这4种状态。
以上便是概要统计视图的简要介绍。
发表于