Когда я должен поднять тревогу, если я вижу пропущенные пакеты ( packet_in или packet_out)

Question

Когда я должен поднять тревогу, если я вижу пропущенные пакеты ( packet_in или packet_out)

Я пытаюсь создать простое обнаружение тревоги по аномалии, глядя на KPI моих серверов Linux. Мне было интересно, когда я должен пометить сигнал тревоги, если увидите пропущенные пакеты (как packet_in и / или packet_out). Если я возьму процент от общего количества пропущенных / полученных пакетов (и сделаю то же самое для отправленных пакетов), а затем сообщу о тревоге, если я уронил 20% или более пакетов, имеет ли это смысл?

Я понимаю, что отбрасывание пакетов (полученных) может быть нормальным и не должно рассматриваться как проблема с сервером, но я полагаю, что стоит отметить, чтобы сообщить о большей проблеме с локальной подсетью или подключенным коммутатором. Однако ошибки при отправке пакета могут указывать на проблему с картой NIC, проблему согласования скорости с подключенным устройством. Поэтому справедливо отметить пропущенный пакет% >=20? Буду признателен экспертам за ответы и некоторые полезные советы по дальнейшей настройке отчетности.

2

linux-networking nic arch-linux packets dropped

Источник

sunny 30 сен '17 в 19:17

1 ответ

Другие вопросы по тегам linux-networking nic arch-linux packets dropped

Bass 01 окт '17 в 08:57 2017-10-01 08:57 · Answer 1 · 2017-10-01 08:57

Если вы хотите сузить функциональность вашей сети до одной метрики (например, для целей мониторинга или построения графиков), я бы порекомендовал нечто, называемое процент повторной передачи TCP, что довольно близко к тому, что вы предлагаете в своем вопросе.

Вы получите это число, разделив число повторных передач сегмента tcp на общее количество отправленных сегментов tcp и, конечно, умножив на 100%. Обе эти метрики должны быть легко доступны через SNMP, sar и что-нибудь еще.

Этот процент должен быть довольно близок к 0 при нормальных условиях, что-либо более 2%, скорее всего, проблема.