quando devo disparar um alarme se vejo pacotes descartados (packet_in ou packet_out)

2

Estou tentando criar uma detecção de alarme de anomalia simples observando o KPI dos meus servidores Linux. Eu queria saber quando devo sinalizar um alarme se ver os pacotes descartados (ambos packet_in e / ou packet_out). Se eu pegar uma porcentagem total de pacotes descartados / pacotes recebidos (e fazer o mesmo para os pacotes enviados), e então o alarme se eu observar 20% ou mais pacotes sendo descartados, isso faz sentido?

Eu entendo que descartar pacotes (recebidos) pode ser normal e não deve ser visto como um problema com o servidor, mas acredito que vale a pena sinalizar para relatar um problema maior com a sub-rede local ou com o switch conectado. No entanto, erros com pacotes enviados podem indicar problema com a placa NIC, problema de negociação de velocidade com o dispositivo conectado. Portanto, é justo sinalizar um pacote descartado% > = 20? agradeceria muito a resposta dos especialistas e alguns indicadores úteis para aprimorar ainda mais o relatório.

    
por sunny 30.09.2017 / 21:17

1 resposta

0

Se você quiser condensar sua funcionalidade de rede em uma única métrica (por exemplo, para fins de monitoramento ou criação de gráficos), recomendo algo chamado porcentagem de retransmissão TCP, que é bem próxima do que você sugere em sua pergunta.

Você obtém esse número dividindo o número de retransmissões do segmento tcp pelo número total de segmentos tcp enviados e multiplicando por 100%, é claro. Ambas as métricas devem estar prontamente disponíveis via SNMP, sar e what-have-you.

Esse percentual deve ser bem próximo de 0 em condições normais, qualquer coisa acima de 2% é muito provavelmente um problema.

    
por 01.10.2017 / 10:57