Datamining im Einsatz
Die NEXThink-Lösung spielt ihre Stärken aus, wenn es um Ad-Hoc Analysen von historischen und Echtzeit-Daten geht.
Szenario: Support für User mit schlechter Performance
Foto: Andrej Radonic
Ein Anwender meldet, dass sein Computer wiederholt zu langsam läuft. Der NEXThink Administrator kann nun im Finder über den Usernamen oder den Computernamen in die aktuellen und historischen Daten des Endgeräts hinein zoomen und dessen Hardwareausstattung prüfen. Über eine vergleichende Analyse kann er mit wenigen Klicks die Auslastungsdaten, die Zeiten für Bootvorgang und Loginvorgang mit denen anderer Rechner im Netzwerk vergleichen, um die Aussagen des Anwenders zu prüfen und die Ursachen weiter einzugrenzen. Dabei kann der Support-Mitarbeiter zudem die historischen Daten des Desktops in Augenschein nehmen und so etwaige Performanceprobleme auf Anwendungs- und Netzwerkebene finden. Dies schließt auch die Erfassung aller aufgetretenen Applikations-Abstürze ein. Können diese anhand der ermittelten Daten beispielsweise mit sehr hoher Speicher-Auslastung in Verbindung gebracht werden, kann im Beispiel direkt der Rückschluss auf zu wenig Arbeitsspeicher im Endgerät gezogen werden. Um solche Probleme auch bei anderen Geräten oder Anwendern proaktiv erkennen zu können, kann der Sysadmin nun einen entsprechenden Alert definieren. Er generiert dafür eine eigene Kategorie für alle Rechner mit derselben (geringen) Menge an RAM, um diese gemeinsam zu betrachten und auszuwerten. Der Alert informiert die betreffende Abteilung per Mail, falls bei weiteren Maschinen die jeweilige Bedingung wahr wird. Zudem können die Alarme auch zu Event/Incident-Management Systemen weitergeleitet werden.
Szenario: Drucker-Analyse
Mit dem Finder lassen sich Fragen nach der Druckernutzung beantworten: Welche Drucker im Netzwerk sind die aktivsten (Nutzungsdauer, Anzahl gedruckter Seiten), wie werden sie genutzt, was wird jeweils auf ihnen gedruckt? Dabei kann nach lokalen Druckern, Netzwerkdruckern, und an Servern angeschlossenen (SMB) Druckern differenziert werden. Drilldown-Analysen der tatsächlichen Nutzung im Hinblick auf druckende Applikation, Farbe oder Druckqualität dienen der Ermittlung der tatsächlichen Anforderungen der Anwender. Anhand solcher Analysen können Maßnahmen zur wirtschaftlicheren Nutzung der Drucker vorgenommen werden: Welche Drucker werden kaum genutzt und können gekündigt oder abgeschafft werden? Welche Drucker werden unwirtschaftlich genutzt? (Zum Beispiel Ausdrucke auf Farbdruckern, obwohl die Drucke viel wirtschaftlicher in Schwarzweiß gedruckt werden könnten.)
Szenario: Spammer im eigenen Netzwerk
Wird das Unternehmen Opfer einer netzinternen Spammer-Attacke, was sich etwa im öffentlichen Blacklisting des Mailservers äußert, so kann der NEXThink-Admin in mehreren Schritten Ursache und Übeltäter aufspüren. Zunächst erstellt er eine Investigation, welche den gesamten ausgehenden Traffic über die Mail-Ports zeigt. Dabei muss er nicht alle Mailportnummern zusammenstellen, sondern kann direkt die Kategorie "Mailports" wählen und erhält damit einen Überblick über sämtliche Mailaktivitäten im Netzwerk, zum Beispiel eingegrenzt auf den ausgehenden Datenverkehr der letzten 48 Stunden. Die Ausgabe des Reports definiert er dabei so, dass alle beteiligten Mailprogramme gezeigt werden. Tauchen in dieser Liste neben den bekannten Applikations-Binaries wie etwa outlook.exe unbekannte oder gar verdächtige Programme auf, kann der Administrator diese gezielt auf ihre tatsächliche Aktivität untersuchen und den davon ausgehenden Netzwerkverkehr auch kartographisch darstellen. Mit einem weiteren Klick kann der Administrator die Geräte ermitteln, auf denen das betreffende Programm zuletzt aktiv war, um dann anhand dessen historischen Daten den Verlauf der "Infektion" zu erkennen, wie beispielsweise den Ausfall des Virenscanners, erhöhte Belastung und Netzwerkaktivität sowie dem Installationszeitpunkt der Schadsoftware. Mit einem weiteren Befehl im NEXThink Finder kann er - vorausgesetzt die entsprechende Schnittstelle wurde eingerichtet - Microsoft SCCM anweisen, die Deinstallation der Schadsoftware vollautomatisch auf allen betreffenden Desktops durchzuführen.