Das Aufzeichnen und Analysieren von Datenflüssen in Rechenzentren stellt Admins oft vor Herausforderungen, vor allen Dingen aufgrund hoher Datenraten und großer Datenmengen. So wird die Fehlersuche zur Suche nach der Nadel im Heuhaufen. Wir haben uns das Allegro Network Multimeter angeschaut, um dessen Eignung für den Einsatz im Rechenzentrum zur Datenanalyse zu prüfen. Dieses Produkt besticht durch eine große Schnittstellen- und Modellvielfalt und die vom Hersteller versprochene hohe Performance der Analyse durch die In-Memory-Datenbank. Mitbewerber sind beispielsweise das in IT-Administrator 08/2022 getestete Profitap IOTA, das jedoch nur maximal zwei 10-GBit/s-Schnittstellen bereitstellt.

Wir untersuchten im Test die unterschiedlichen Aufzeichnungsvarianten des Geräts sowie die Analysemöglichkeiten für verschiedene Protokolle wie STP und TCP sowie DNS, SMB, HTTP, SIP, RTP und TLS. Die Einbindung in das Datennetzwerk fand dabei sowohl inline zwischen Server und Managed Switch als auch via Sink-Modus an einem SPAN-Port des Managed Switches sowie über einen TAP statt.

Open-Source-basierte Architektur
In seiner Grundarchitektur baut das Network Multimeter auf unterschiedlichen Open-Source-Projekten auf. Dies fängt beim zugrundeliegenden Betriebssystem mit Debian Linux an. Einen guten Überblick über die eingesetzten Projekte konnten wir uns im "Über"-Bereich verschaffen, da dort alle eingesetzten Projekte mit Lizenz aufgeführt sind. Der Einsatz von Open Source ist an dieser Stelle sehr zu begrüßen, da auch sensible Daten im Netzwerk mitgeschnitten werden können.

Zur Verbesserung der Performance und des Datenschutzes legte das System die Metadaten im Standard lediglich in einer In-Memory-Datenbank ab, was sich bei Abfragen über die GUI als sehr positiv darstellte, da selbst komplexere Abfragen sehr schnell verarbeitet wurden. Die In-Memory-Datenbank ist jedoch Fluch und Segen zugleich, da die aufgezeichneten Metadaten bei einem Neustart verlorengehen. Ein Stromausfall führt zu gleichem Ergebnis. Eine weitere Performanceverbesserung brachte das Open-Source-Projekt Dataplane Development Kit (DPDK) mit, da durch dieses ein direkter Durchgriff von der Applikation auf die Netzwerkkarten erfolgen konnte. Dies ist standardmäßig aktiv.

Für Langzeitanalysen gab es in unserem Test jedoch ebenfalls eine Lösung, ohne Angst vor einem Stromausfall haben zu müssen: Einen sogenannten Paketringspeicher. Bei diesem sicherte die Appliance die aufgezeichneten Pakete auf der integrierten SSD und somit nichtflüchtig. Die Daten standen also auch nach einem Neustart bereit. Über Paketringspeicher-Längenfilter ließen sich datenschutzfreundlich sogar Aufzeichnungsfilter anlegen, wie beispielsweise nur bestimmte IP-Adressen oder bei Telefonie über SIP sogar nur Anrufe bestimmter Rufnummern. Aber auch die Option zum Beschneiden auf bestimmte Paketlängen kann interessant sein, um nur Zugriff auf Daten aus Headern, aber nicht im Payload zu haben. Dies reduzierte gleichzeitig auch die abzuspeichernde Datenmenge. So konnten wir problemlos gezielte Langzeitanalysen einrichten.

Fazit
Das Allegro Network Multimeter bietet vielfältige Möglichkeiten zur Aufzeichnung und Analyse von Datenströmen. Insbesondere die Geschwindigkeit der In-Memory-Datenbank bei der Filterung großer Datenmengen überzeugte uns im Test. Dies ist bei großen Datenmengen, wie sie in Rechenzentren anfallen, ein entscheidendes Kriterium. Vordefinierte Grafiken und Wertungen vereinfachen die Applikationsanalyse auch für weniger routinierte Netzwerkanalysten.

Den kompletten Test finden Sie in Ausgabe 07/2023 ab Seite 22 oder in unserem Heftarchiv.

ln/dr/Benjamin Pfister