【TechTarget中国原创】网络数据可视化(data visualization)一直被看成是数据的“堕落”,仅仅满足了Raffael Marty等人的品味。Marty是Splunk公司的安全战略总监,最近出版了《Applied Security Visualization(应用安全可视化)》一书,该书由Addison-Wesley Professional出版社出版。
Marty说:“如果你有大量的数据,你应该感受到它们的存在。如果你必须浏览十万个日志文档,当你浏览到一百行时就会已经忘了第一行。”
相反,可视化使网络专家一次浏览大量的数据,并很快发现异常数据或很难探测的趋势。
Marty说当人们换个角度考虑问题时,他们很快就会有所收获。最具挑战的学习曲线是在开始阶段,那时IT专业人士正从数字数据进入到曲线和色彩组成的图表阶段。
问题的一部分是缺少相应的专门数据可视化的工具。象netForensics和CrossTec这样的专业厂商也不准备生产价格在两千到两万美元低价范围内的专门的报告和可视化软件。Marty说费用和复杂性不应成为从可视化中获益的障碍,并且他已经制造了一个名为AfterGlow的开源软件,在SecViz.org网站有该软件的指南。
开展与数据可视化相关的有用工作需要些什么呢?Marty说在解决几乎所有的网络问题时,日志都是非常关键的。
“我想收集(同一位置的)日志应该是一个好的起点”他说,“很多人没有保留准确的日志或是根据用例长时间的保存。”
整理一份好的日志数据不应该成为挑战:防火墙、应用和入侵检测平台都能产生大量的数据,所需要做的就是用一种切实可行的办法重新组织这些数据,这样日志与日志之间就会彼此联系起来。
第二步就是要有明确的目的。
“很多人都说‘我有这些NetFlow日志,我想对他们进行分析’”Marty说,“你是否想验证不符合使用协议的流量,或者寻找攻击?”网络专家越理解自己的需求,他们就越容易发现,比显示不出什么内容的所谓的有趣的墙纸好的多。
在监测方面,许多SecViz用户展示了自己的图表,从发现模式中的蠕虫病毒到检查目前的IP表格配置都能够使用。
Marty还建议网络工作人员读他的书或搜索阅读在线教程以满足自身需要。
“发掘一下那里有些什么是一个不错的理由,甚至会问‘我有这样一个数据集,但我怎样对它进行分析呢?’”他说。
然而真正应用了可视化的强大功能,一些专家将会考虑应用多种脚本语言帮助他们将数据用Excel表格更先进的特殊方法进行自动管理。进入象chartDirector这样的架构意味着更多的技术学习,但更精确的图表能够被设定在新数据进来时进行自我升级。
一旦一名网络专家拥有了成熟的图表,该怎样使用呢?
Marty列举了三个主要的用例领域:
发现领域:在内部对成千上万的日志文档进行筛选是非常没有效率的一项工作,而更糟糕的是关键因素容易被忽视。一个好的图表能够帮助定位发展趋势、并将这些趋势与网络的其他部分相联系,以帮助一步步的定位和诊断问题。
沟通领域:无论是存储组织讨论备份如何存于网络还是CIO研究为什么在这个预算周期对无线控制器进行升级,图表都能帮助没有网络专业知识的人快速了解网络发展趋势和要求。Marty说往往是一个IT组定期的发给另一个组日志资料(假设他们能够自我解释),但第二组总是找不到任何线索直到他们看了图表。
策划领域:日志对于问题定位十分有效,但图表能将网络工作人员上升一个级别,使他们能够看到趋势,给他们一个机会看一幅长的图画,然后能抉择出不仅在未来12个小时而是12个月中网络如何生存。
Marty对那些准备从可视化中受益的人提出了一个警告:“garbage in, garbage out无用(错误)信息输入;无用(错误)信息输出。”
“最危险的事情是如果你不理解日志文档本身,不要假设你能理解它的可视化,甚至归纳出一个有意义的可视化。”他说,“如果我有一个防火墙日志文档,然而我对所使用的IP地址或内部机器的功能一无所知的话,很难对此文档进行分析。”