Server Traffic überwachen

Überwachung des Serververkehrs

Der URL Revealer liest die Namen der kontaktierten Webserver. Führen Sie diesen Schritt entweder in vCenter Server oder vSphere Client aus. Überwachen Sie den Datenverkehr mit zusätzlichen Tools. Beobachten Sie die Zugriffsprotokolle und Fehlerprotokolle Ihrer Server.

Überwachung des Netzwerkverkehrs in VMware-Umgebungen

Zur Überwachung des physikalischen Netzwerkverkehrs betrachten IT-Experten eine spezifische Kommunikation. Dabei kann der Netzwerkverkehr innerhalb einer Virtual Machine (VM) überwacht und analysiert werden. Standardmäßig untersagt Ihnen die Sicherheitsrichtlinie der vSwitch-Portgruppe jedoch, Traffic zu empfangen, der nicht zu dieser bestimmten Virtual Machine gehör. Zur Erfassung des innerhalb desselben ESXi-Hosts gesendeten Datenverkehrs müssen Sie den Virtual Switche (vSwitch) und die Portgruppe entsprechend einrichten, damit die Virtual Machines den Promiscuous Mode verwenden können.

Wenn diese Betriebsart eingeschaltet ist, kann die Überwachungssoftware von Drittherstellern den Datenverkehr innerhalb der VM überwachen. Die Aktivierung des Promiskuitivmodus für eine vSwitch-Portgruppe ist ganz unkompliziert. Führen Sie diesen Arbeitsschritt entweder in Ihrem Center Server oder in Ihrem VMware Server oder in Ihrem VMware Server aus. Wählen Sie die Einstellungen des vSwitch und ordnen Sie die Portgruppe zu, für die der Promiskuitivmodus eingeschaltet werden soll.

Wenn Systemadministratoren den Netzwerkverkehr überwachen möchten, der an das physikalische Netz außerhalb des vSphere Hosts übertragen wird, müssen sie noch ein wenig mehr tun. Die physikalische Vermittlung muss die Spiegelung des Netzwerkverkehrs bereitstellen. Das Traffic Mirroring bringt den Schalter in den promiskuitiven Modus und der Zielport kann jeden Netzwerkverkehr aufnehmen, nicht nur den für die MAC-Adresse bestimmten Verkehr.

Schließen Sie zum Abschluss der Konfigurierung den Switch-Port, der den gesamten Datenverkehr entgegennimmt, an die physikalische Netzkarte an. Nach der Verbindung mit dem ESXi-Host der Virtual Machine können Sie diese VM zur Überwachung des Netzwerkverkehrs verwenden. So ist die Virtual Machine nun in der Lage, den gesamten Datenverkehr zu protokollieren, der an das physikalische Netz geleitet wird.

Wenn der Promiskusmodus eingeschaltet ist, können Sie mit der Netzwerkanalyse fortfahren. Auswahl einer Benutzeroberfläche, um ein Live-Paketaufzeichnung (Echtzeit-Paketaufzeichnung) zu aktivieren. Das Öffnen der Verpackungen erfolgt mit Hochgeschwindigkeit. Dadurch wird festgelegt, welcher Netzwerkverkehr zur weiteren Auswertung aufgezeichnet werden soll. Mithilfe Ihrer virtuellen VMware-Umgebung können Sie nun Datenpakete in einem Switch-Netzwerk empfangen und anschließend auswerten.

Wenn Sie nur Datenpakete auswerten möchten, die die Virtual Machines an denselben Rechner senden, ist die Vorgehensweise einfach und Sie müssen nur den Promiscuous Mode auf dem VMware Switcher einschalten. Wenn es auch um die Migration von Paketen in das physikalische Netz geht, muss Ihr Switcher die Spiegelung des Datenverkehrs an einem speziellen Anschluss bereitstellen.

Andernfalls können Sie die Überwachung nicht aus der VM heraus durchführen. Für die Paketerfassung stellt die Firma keine Spezialwerkzeuge zur Verfügung. Mit der Version 4. 2. ist pktcap-uw verfügbar, aber das Programm kann nur Datenpakete und -rahmen auf der Schnittstellenebene des VMkernel und nicht auf der Ebene des Uplinks, vSwitches oder virtuellen Ports empfangen.

Daher müssen Sie sich auf Werkzeuge von Drittherstellern verlassen, um den Datenverkehr im virtuellen Netzwerk zu untersuchen.

Mehr zum Thema