2012年1月，Splunk发布了最新版本4.3，得知新版本的发布后，我马上到Splunk的官网下载并安装到自己的虚拟机上做了一番测试理解。 下面我们就Splunk 4.3的新特性和新功能进行逐一尝鲜。 新功能 用户界面增强 新版本全面增加了对iOS系统设备的浏览支持，使用基于html5的UI，在苹果的IPhone及IPAD上都可以访问splunk 的web界面，这在iOS横行的年代着实提高了用户对Splunk的可操作性。 而在其他的操作界面上，Splunk 4.3也在之前版本的基础上做了很大改进，主要包括： 搜索栏与时间操作栏的集成，使Splunk的搜索页面更加连贯美观，界面浑然一体。 将仪表台编辑、告警编辑、预约搜索等高能按钮统一到界面上的同一个按钮，便于用户的理解和操作。 在对仪表盘进行编辑时，可以对仪表盘中的视图进行随意的拖拽和细节编辑，增加了用户对仪表盘进行编辑时的直观度和灵活性。 在各界面上增加了大量直观的操作按钮，更便于用户对自己的Splunk进行快速操作。 增加了搜索结果导出的功能，使用户可以随意导出搜索结果为特定格式，供数据探讨及存档使用。 极大简化了保存特定搜索的流程，提高编辑效率。 更丰富的告警分类模式，使各种告警类别一目了然。 现在用户自己可以对界面上方讨厌的信息提示进行编辑了，在后台的管理->用户界面->Bulletin Messages中可以对界面的提示信息进行随意的修改，以后再也不用看到那些无关紧要的信息占据着自己的Splunk界面了。 新特性-Bloom Filters提高搜索效率 新版本的Splunk会为各种搜索建立buckets，这种机制可以大幅提高Splunk的搜索效率。 而设置的方法也是非常简单，首先修改/opt/splunk/etc/system/default/limits.conf文件，[search]段落中use_bloomfilter的值，设置为true/false来确定是否打开bloom filters功能；然后修改每一个app中的indexes.conf文件，通过设置bloomHomePath的值来定义bloom filters文件的路径，修改createBloomfilter的值来设置是否建立一个bloom filters文件。 新特性- Real time backfill完整数据视图 当开始进行一次实时搜索时，可以设置Splunk是否将开始时间点之前，指定的时间窗口大小之内的事件也显示出来。例如，选择实时搜索时间间隔为5分钟，开始实时搜索的时间点为12:00，则可以设置，在开始进行搜索时，是否将11:55–12:00以内符合条件的事件也显示出来。可以通过修改/opt/splunk/etc/system/default/limits.conf文件，[realtime]段落中的default_backfile值来设置是否开启realtime backfill特性。 新功能-导入数据预览 在旧版本的Splunk中，有时会发生这样的情况：当我们把所有的数据都导入到Splunk中进行索引后，发现Splunk的处理结果与我们预想的情况并不一致，那么这时如果对已经导入的数据进行删除操作或是调整都会非常困难，并且也白白浪费掉License的流量。 在Splunk 4.3中，用户可以在正式导入数据前先进行一次测试，预览Splunk对导入数据处理的结果，导入数据预览可以有效避免导入数据时的失误。 用户在点击数据导入->文件或目录界面中的新建按钮时，会弹出数据预览的界面，选择一个希望导入Splunk的文件样本，按continue继续。 选择新数据的来源类型，可以创建新的来源类型，也可以使用预定义好的来源类型，如果预览的结果不符合实际需求，可以通过预定义来源类型来对Splunk的处理结果进行调整。 数据预览界面，可以预览Splunk对数据的时间戳判断以及断行的情况，对于Splunk无法正确判别的事件，会产生一个提示并将文件的修改时间作为该事件的时间戳。 若需要对导入数据的处理结果进行调整，点击预览界面左上角的adjust timestamp and event break settings连接，打开的调整界面可以对数据的断行以及时间戳判别进行调整。 数据处理结果调整完成后，点击预览界面右下角的continue按钮继续，如果之前选择预览数据时来源类型为新类型，则为可以将调整完成的数据保存为一个新的来源类型，保存完成后便可以利用新建的数据来源类型模板来批量导入新的数据了，批量导入数据时还可以将来源类型设置为之前保存好的来源类型模板。 新功能- Per-result alerting针对特定事件告警 Per-result alerting功能可以实时的根据特定事件产生告警，例如，实时搜索客户端地址为192.168.100.120的连接请求，（index=”test1″ clientadr=”192.168.100.120″），一旦发生这样的事件便产生一条告警信息。 新功能-多用户时区 在大型网络中会有处于不同时区的用户对系统数据进行访问，所以Splunk在新版本中开始支持可以针对不同的用户设置不同时区，以便处于不同时区的用户在对数据进行查看时可以根据自己所处的时区获得正确的时间。 新功能-结构化格式文件处理 由于越来越多的IT数据采用结构化格式，例如XML及JSON，为了更好地解析这些数据，Splunk提供了新的命令spath用于对结构化格式的数据进行处理。 [...]

历经多年的网络流量分析工作，见识了各行各业的用户通过使用NetScout流量分析系统，在日常的网络运维、应用性能等流量管理分析工作中对他们工作方式的影响和改变。

近年来，企业在关键业务应用性能管理过程中，用户体验解决方案已经成为提高竞争力的标志之一。实际上，关于“用户监测”技术确实还存在着显著差异。本文从应用性能管理角度出发，总结了在评估用户体验监测解决方案时值得注意的十大要素。

前言 还记得刚开始学习网络知识的时候，手里捧着CCNA的教材，桌子上放着一台废置的思科路由器，用console线连接着老旧的台式机。每当看到教材上介绍一条简单的命令时，就在键盘上自己照着敲一遍，看到屏幕上简单的文字输出，心里还暗自高兴，觉得自己又学会了一条新的命令。

概述 许多重大的商业网络任务，诸如：流量工程，服务质量测量（QOS），SLA查证都需要具有精确测量网络响应时间，数据流带宽和包的延迟。而所有的这些都依赖于对数据包到达某一端时间的精确测量。

简单，顾名思义，是相对于复杂而言的。在全球化和信息化两个强有力引擎推动下，我们的社会，我们自身都不由自主的向前狂奔。快速的变化使人们目迷五色，海量的信息汹涌而来，裹挟着人们向未知的未来前进。

作为应用性能管理领域的领导厂商，Netscout以应用流量数据分析和性能管理方面的先进技术闻名业界，其中以CDM（common data model 通用数据模型）和KPI（Key performance indicator关键性能指标）为核心的流量管理方法论更是为广大用户推崇。

BPC者，Business Performance Center也，然BPC Enterprise乃针对企业推出的一个BPC套件，今天我就来对它作一个介绍。 BPC Enterprise特别适合NetScout的用户，因为它整合了NetScout系统的数据源，通过BPC Engine处理，针对核心应用制成Dashboard，提升企业的运维视角。特别是它监控长连接，实时发出告警的特性，对金融客户的帮助非常明显。

很久以来，系统管理员在人们心目中就是一群艺高人胆大的独行侠客。浩如烟海的命令组合、巧夺天工的脚本逻辑、深不可测的参数调优，无数匪夷所思的疑难杂症在快捷灵巧的键盘击打中烟消云散……

NetScout的报表是广受赞誉的一个功能。我曾经在一个用户现场听到过用户要求某厂商的网管平台，参照NetScout PM的报表功能，提供随意定制的用户界面和运营视图。

前一段时间，新闻报道新西兰发生地震。7.2 级的地震让新西兰的马路上洒落着建筑物和玻璃的碎渣，汽车被压坏，自来水泄露，电力供应中断。然后让我更加关注的是，这次大地震只造成 2人重伤，数人轻伤而已。

如大家所知，Netis 专注于网络流量分析技术领域，不仅仅是为用户提供整体解决方案，我们的技术人员还长期服务于行业用户。当用户遇到突发事件往往先找到我们，所以我们常常充当救火队员的角色，第一时间赶到用户现场去做流量分析和故障诊断。这些年来，大大小小、或简单，或复杂的案例我们经历了很多。  

日前，笔者对手中管理的部分Cisco交换机进行IOS 版本升级，升级过程一切顺利。但升级完成后，发现运行一段时间后的交换机性能出现下降的现象。登录交换机使用命令查看系统资源使用情况发现，交换机的内存使用量到达一个相当高的水平。试着对其中一台交换机进行重启后，发现系统启动之初内存使用量与未升级的同类交换机相差无几。那么，交换机内存上升必然是发生在运行的过程中。

最近，常常会听到人们关于曾经来势汹汹的金融危机是否已经过去，又或者是企业何时能够恢复元气的争论。在这旷日已久的危机笼罩下，企业们早已各自练就了一套独门秘笈，只是，这各揣一本的秘笈，是否就可以做到外敌侵略内除奸贼？ 随着国际金融危机席卷而来，国内的企业对 IT的投入受到了诸如资金供给不足、应用支撑不利、成本过大等多方面因素的影响。不少企业都不得不通过削减投入来应对金融危机，而 IT投入一般都会被列为削减的前列，甚至被砍掉。但企业中的管理层又需要在资金短缺的前提下，达到相同的功效。 另一方面，金融危机波及全球，企业海外市场随着萎缩，企业的业务部门要在一些崭新的行业和竞争极为激烈的渠道上积极开拓新项目、新业务，这就需要大量的 IT系统、IT 人员，以及变革性的管理手段支持，从而形成了两者互搏的矛盾状况发生。 另一方面， 当今全球化已经成为了一个越来越重要的趋势，很多公司的运营都遍布全世界，人们离总部越来越远的时候，对网络的要求也越来越高。 如何构建一个高效、节省资源、能带来很好投资回报并适应面向未来的IT 网络， 是我们现在面临的一个关键性问题。 如何充分整合和利用现有 IT资源，利用技术策略发挥现有企业中IT资源的最大潜力？如何利用捉襟见肘的IT投资，选择更好的技术和产品，最大程度提高企业的效率，降低企业成本？如何利用现有绿色IT 技术，降低企业IT方面的能耗支出，从而帮助企业降低 IT能耗本？…… 这些都将是企业构建IT网络环境的新目标，也是面临的新挑战。 不少企业都有着优化 IT 战略，利用 IT技术减少管理成本，借助 IT技术拓展企业市场占有率，使用 IT技术增强企业核心竞争力，在经济动荡时期成就领先地位的迫切需求。 我们还发现，随着近年来计算机终端设备越来越多，使得管理日益增长的分布式和异构环境成为 IT部门面临的最大挑战之一。对于一个规模达到几十台至几千台甚至更多的企业来说，如若管理不善，极有可能会造成网络业务的中断，这对那些对 IT依赖性高，不允许出现长时间宕机的企业而言，是绝对需要避免的。 这在很大程度上加剧了管理维护的困难。而技术的飞速发展使得硬件设备也越来越复杂，再加上 IT设备使用的自主性高，人为因素多，终端环境始终处在变动的状态，迫使 IT 管理者经常处于救火的状态，企业缺乏对 IT 的整体规划，这对于企业来说无异于大大提高了管理的风险与投入，并且在长期的运维过程中，以往的一些不合理设备，造成的能耗开销也使其不堪重负。 在当前的信息化时代里，企业组织、政府机关、医疗保健等各类组织，日益依赖信息技术和互联网来开展业务，维持日常运行。 随着企业自身的发展，网络设备的数量大幅增长，网络应用的逐渐增加，给企业的网络管理者带来了巨大的挑战，传统的被动响应技术和解决方案已无法很好地迎接这些挑战，以及企业的现有安全孤岛，诸如，防垃圾邮件、防病毒、防恶意软件、防间谍软件等各自为政等等，这带来了复杂性、可扩展性和报告等方面的问题，也给企业的管理带来了挑战。 面对全球釐融危机的压力，当前很多企业都在探寻如何为企业节省资釐，减少设备的添置数量。但大家可能都忽略了一个更为关键的问题，就是一味地降低IT投资并不能从根本上解决釐融危机带来的成本力，反而会因为企业网络的不稳定运行导致企业效益的降低。那么企业要如何有效地控制成本、提高企业网络的运行效率、降低风险呢？ 这使得企业内部的管理难度增加了，其所面对的各种隐患也在逐渐增长，不可忽视。 另外，在安全问题方面，企业信息系统往往面临着内部漏洞、黑客侵袭、人为错误、病毒干扰等威胁，可能会遭遇到信息系统被破坏、信息或者IT资产被盗用、安装未经授权的硬件和软件、系统安全漏洞、违法访问等一系列问题。 随着网络覆盖范围以及传输速度的增加，这些威胁已经不再仅仅局限于传统的服务器、客户端，而是日益扩散到各种移动设备如移动电话、PDA，乃至利用互联网服务的汽车、主宰电话和卫星通信之中。 值得注意的是，在面对种种内在问题以及外在冲击时，企业还要受到规章制度的压力。在制度遵从方面，很多企业现有的制度遵从策略、程序和流程并不完善，也缺乏有效的策略监控和制度遵从报告机制，面对现有的政策和法规的要求，企业的准备并不完善，尚无法满足政策和法规的要求。 各种各样的IT问题带来的不仅仅是干扰，还包括重大的经济损失，如身份窃取活动越来越猖獗，来自企业内部的威胁就会给企业造成经济损失，以及公司品牌和股东信心的损害，所造成的损失不仅巨大而且很难估量。 总而言之，高效而节用的网络产品和技术，以及如何做到用最少的投入，使企业的网络可以更适应当前环境的变化，不仅仅是在金融危机这一关键时刻中最重要的选择，更是企业赖以生存下去的制胜法宝。 Nancy

实时的业务,需要实时的 IT 当IT 影响到业务的步伐，一个能够快速执行并做出响应的 IT 组织机构就显得至关重要。然而，当你需要对数据进行管理、保护、审计或在其中挖掘有关信息的时候，这些数据却被整个 IT基础架构的现有技术所分割。而通过现有的工具或终端手动过滤 IT 数据就显得费时费力，代价高昂且不具规模。  

管理和操作IT 的难度日益加剧，企业面临的压力是无情的：新技术、严格的管理措施、监管任务以及不断演变的安全威胁，所有这些都使得运行一个 IT的成本和复杂性大幅度增加。仅在 2008年，全球所有有关行业在管理 IT方面的花费就超过1 万亿美元。  

从前人们说起网络管理人员，在很多人的眼里，他们也许是“可以帮你重装系统的救护神、搬箱子的壮丁、为你找一根网线的保管员„„”，可是不管是什么印象，总之属于无关大局的那部分。只有当网络或各种应用真的无法正常运行的时候，网络管理人员才会被派上用场。

网络流量分析，顾名思义在分析之前首先要做的就是获取网络流量数据，这里我们暂且把这些网络流量数据称为被分析的数据源。

某金融行业重要Web业务服务器发生多次 CPU使用率接近 100%。对系统性能分析发现，CPU异常时段业务网卡上进入流量有明显异常，约为正常情况的 5 倍。一开始，看到大量的 FIN包，不禁令人联想到了安全事件，有人开始怀疑这是一次攻击，后来，查出在不久前刚给web 服务器软件iplanet打过补丁，人们怀疑的目光又投向了iplanet……正在大家漫无目标地寻找着问题根源的时候，故障又重现了……

在过去一期的 Flows 中我曾经提及一个基于 TCP 会话进行故障诊断的话题，那时我主要的观点是针对基于 TCP 的应用，TCP 连接才是直接承载应用程序数据交易的最小通道。如果存在异常，在相对应的 TCP 会话交易过程中一定有所表现。

随着企业IT技术的不断发展，如何有效集中计算资源成为每个 CIO需要认真考虑的事情。通过使用虚拟化技术，不但可以将原来分散的计算资源集中，还可以加快应用服务部署时间、提升应用系统的可靠性，节省电力供应等。  

Netexpert.cn又有新 Toy发布，这次是一个 WireShark的加强版本。 

很久以来，NetScout 的Sniffer 产品就被认为是以太网络、ATM、POS 等领域的协议分析权威，每每谈到以太网络、TCP/IP 等协议簇的封包、信令等，总是会不自觉地想到“用 Sniffer看一下”。 

自2007年底NetScout 收购Network General之后，仅用了一年的时间两家核心硬件产品 AFMon和InfiniStream就已经双剑合璧，成功合为一体。在这个阶段NG的老牌便携式网络分析产品SnifferPro悄无声息，然而NetScout 怎会遗忘这款经典的便携式网络分析产品。终于在 2009年初，也就是NetScout产品合并计划的第二阶段初期，正式推出了 Sniffer Portable Professional 3.0，经典的便携式Sniffer得以延续，并且给我们带来一些惊喜。

现代IP 网络 IP网络从商用之初发展至今已经发生了翻天覆地的变化。过去在网络上面运行的业务应用及其有限，仅有少量简单的请求、响应型业务应用和文件传输应用，语音业务则由另外一套模拟网络独立承载。所以在那个时候只有少数商业处理流程会因为 IP网络故障或者性能下降而受到影响。

现代通讯网络的发展速度令人印象深刻，局域网络从过去的10M、 100M到1000M乃至 万兆，将近20年的时间里，网络速度提高了数千倍，网络能够承载的通讯能力、处理的应用的复杂度和并发能力都已经进入出神入化的状态。同样的，广域网络技术现在也已经经历了数千倍的速率提升，甚至有几 M 几十 M 的链路进入普通的商用。然而，相比局域网络的技术发展，广域网络通常仍然很难到达令人满意的效果。

一个成立于 1984 年，另一个成立于 1986 年，同样是网络和性能分析领域的老牌厂商，NetScout和Network General（下文简称 NG）命运截然不同。自成之日立起，NetScout 一直坚持其统一分析平台的产品设计理念，创建了独到的通用数据模型(CDM)，发展至今，其解决方案的成熟度，以及对于用户需求理解的深入程度已经在业界遥遥领先；相比之下，NG 的命运则稍显坎坷，从家喻户晓的 Sniffer Portable，到Sniffer企业级解决方案，也曾经风云一时，纵然如此，经历过 NAI的合并和拆分，命运波折的 NG最终难逃被 NetScout收购的结局。 在 20多年的发展历史中，两家公司都是业内的领军厂商，而各自具有区别明显的技术优势，NetScout更注重统计报告的呈现，为用户提供统一的高层次分析和管理视图；而 NG则以强大的解码功能和专家系统著称，其早期产品 Sniffer Portable（Sniffer Pro）至今仍是众多 IT 技术人士手边的一把利器。NetScout 收购 NG，自然不仅仅看中其品牌价值，要牢牢把握住用户和在行业内的领先地位，NetScout更加看重的是产品自身的技术优势。 使用过Sniffer Portable（Sniffer Pro）的朋友都会有这样的体验，外观朴实而功能强大，参数众多甚至十分繁琐，但是结构严谨，对于每一个协议，每一个事件都设计了极其具有针对性的解码和分析模型。而正是这种严谨成就了 Sniffer Portable 的精髓：解码模块和专家系统——识别相互关联的数据包，并把它们解构成表征问题本质的事件和度量值。其协议解码的深度，以及专家系统针对网络层和应用层事件发现的广度和精确度即使历经多年，仍然保持着活力和竞争力，也正因为如此，这个老爷车级别的便携式分析软件经久不衰。 然而NG在发展后期，在其旗下的众多产品线中 Sniffer Portable 仅占有了销售额的一小部分，戏份更多的主角是 Sniffer企业级解决方案。看到网络和应用架构的发展趋势和市场需求，NG后来开发了高性能的硬件平台 Sniffer InfiniStream，和面向应用的 Sniffer Intelligence，以及 Visualizer、Administrator、NetVigil统一管理平台，软、硬件结合，分布式的三层架构组成 Sniffer 企业级解决方案。 同样是面向企业级用户，在 NetScout 收购NG 之前两家公司即是竞争对手，在产品架构和功能上有一定的重叠。NetScout 企业级解决方案的硬件探针和 nGenius Performance Manager（nGenius PM）管理平台具有深厚的技术功底，高度的统一性、可扩展性和强大的统计信息报表功能更加适用于企业级应用环境。不论是设计理念还是产品成熟度，NG原有的Visualizer、Administrator、NetVigil在管理平台这些层面上都不及nGenius PM，因此在产品的整合阶段陆续结束生命周期也就理所当然。 自收购之日算起，历经一年的产品整合期，初步整合之后的新产品终于在9月份发布。NG原有的Sniffer Portable（Sniffer Pro）升级为 [...]