Um den Funktionsumfang von NEXThink einordnen zu können, helfen Analysen von Forrester Research. Sie unterteilen den Markt des sogenannten End User Experience Monitoring (EUM) in drei Gruppen: Application Performance Management (APM), Web Monitoring Lösungen und Client-zentrierte Monitoring-Tools. APM-Anbieter betrachten mit ihren End-to-End Monitoring Werkzeugen vorwiegend Applikationen und Services auf Netzwerkebene. Andere Lösungen für das End User Experience Monitoring arbeiten auf Basis immer wieder abgespielter Transaktionen, wobei der tatsächliche Zustand des Endgeräts außen vor bleibt und nicht explizit definierte Prüfszenarien durch das Raster fallen. Der schweizerische Anbieter NEXThink, von Forrester der dritten, neuen Gruppe zugeordnet, tritt an, um diese Lücke mit einem umfassenden Tool für die Erfassung, Überwachung und Analyse von Unternehmens-Desktops und ihres aktuellen Zustands zu schließen.

Das Interesse an EUM-Tools nimmt weiter zu, denn heutige Desktop-Umgebungen werden immer komplexer und schwieriger zu überwachen. Schuld daran sind die zunehmende Abhängigkeit von Netzwerk-Services und die wachsende Zahl an Applikationen und Cloud-Diensten. Zudem laufen immer mehr Desktops virtualisiert in VDI-Umgebungen, was oftmals schwer zu analysierende Performance-Probleme mit sich bringt.

Vielfältige Fragestellungen

Diese Aspekte verlangen nach einer durchgängigen Überwachung der Verfügbarkeit der Desktop-Ressourcen und einer Übersicht von eventuell auftretenden Störungen mit einer effektiven Möglichkeit, ihre Ursachen aufzuspüren. An dieser Stelle setzt NEXThink V4 an. Anspruch des schweizerischen Startups ist, die Qualität der Desktop-Umgebung zu steigern, der IT-Abteilung die Erbringung dieses Services zu erleichtern und durch die Analyse von Systemdaten die beteiligten Prozesse und Projekte in der IT zu unterstützen. Das Schweizer Werkzeug nimmt den Zustand des Endgeräts selbst mit seinen Auswirkungen auf den Anwender unter die Lupe und adressiert zentrale Fragen:

• Performance Monitoring: Wo entstehen Leistungs-Engpässe und Beeinträchtigungen auf dem Desktop?

• Wie viele und welche Anwendungsfehler und Störungen passieren?

• Welche Sicherheitsrisiken entstehen und welche Auswirkungen haben sie?

• Compliance: Werden die gesetzlichen und internen Vorgaben eingehalten? Wo weichen Desktop-Systeme vom Standard ab?

• Welche Rechner und welche Software können auf Windows 7 migriert werden?

• Release-Management: Sind die richtigen Versionen der Email-Software und der Virenscanner installiert?

• IT Infrastruktur Mapping: Welche Desktop-Systeme sind welchem Netzwerkbereich zugeordnet?

• IT Service Management: Wo werden Services nicht zufriedenstellend erbracht?

• Druckkosten-Optimierung: Welche Drucker sind wie stark ausgelastet und wo können Kosten eingespart werden?

• Ist der Zugriff auf Geschäftsanwendungen an den Remote-Standorten möglich?

• Wie ist die derzeitige Nutzererfahrung für die mobilen Mitarbeiter?

Die Tools bieten neben einer Bestandsaufnahme der Endgerätelandschaft sowohl Alarmfunktionen als auch ad-hoc Analysen, um aktuellen Störungen schnell auf den Grund zu gehen. Eine Portal-Lösung ermöglicht dabei einzelnen Administratoren oder Abteilungen, per Web-GUI aktuelle Reports und Auswertungen zu Fragen wie Auslastung, Verfügbarkeit, Sicherheit etc. abzurufen.

NEXThink bietet sich damit als umfassendes Werkzeug für den IT-Helpdesk an sowie für das Service Management und für Troubleshooting und gezielte Anwender-Unterstützung.

NEXThink
Architektur und Programmkomponenten.

NEXThink Console
Die webbasierte Admin-GUI.

NEXThink Engine
Installation.

NEXThink Collector
Optionale Einstellungmöglichkeiten im Collector auf dem Client.

NEXThink Finder
Zentrale Collector-Installation via Finder.

NEXThink Finder Home-Screen
Mit Überblick über Alerts und Status.

NEXThink Finder
Interaktive Analyse des Netzwerkverkehrs.

NEXThink Finder
Eigene Investigation in Finder definieren.

NEXThink Finder
Ad-hoc Analyse von Desktops mit auffälliger Netzwerkaktivität.

NEXThink Library
Hier die Übersicht.

Portal-Report
Anwendungen, die HTTP, Mail, HTTPS und Proxy Ports nutzen.

Portal-Report
Performance-Probleme auf dem Desktop.

NEXThink Portal
Definieren eines Widgets im NEXThink Portal.

NEXThink Portal
Hier ein Portal Widget.

NEXThink Portal
Aktuelle Auswertung im Portal.

Portal-Report
Internet-Explorer unter der Lupe.

NEXThink Finder
Vergleichende Analyse der Login-Zeiten verschiedenster Rechner mit aktuellem Endgerät.

Komponenten

Server Engine

Die NEXThink Engine ist die Datenzentrale der Lösung. Sie dient dazu, alle Geräte- und User-Informationen zu speichern, aufzubereiten und für Analysen bereitzustellen.

Um Skalierbarkeit auch bei hunderttausenden Endgeräten zu gewährleisten, können mehrere Engines parallel auf verschiedenen Servern betrieben werden. Als Faustregel gilt dabei, dass pro 5000 Endgeräte eine Engine benötigt wird. Die Zusammenführung der Daten der verschiedenen Engines übernimmt die separat zu installierende Portal-Komponente der Lösung.

Die Sever-Komponente wird als Linux-Appliance geliefert. Das zugrundeliegende CentOS 6.2 kann dabei wahlweise "Bare Metal" oder als virtuelle Maschine installiert werden. Der Einrichtungsvorgang ist durch einen Assistenten stark vereinfacht: Der Administrator gibt lediglich die Netzwerkdaten und das root-Passwort an und wählt aus, ob Engine und/oder Portal installiert werden sollen. Der Rest erfolgt dann innerhalb weniger Minuten automatisch. Zu bemängeln ist, dass die Netzwerkparameter hierbei nicht überprüft und auch keine DHCP-Option verfügbar ist.

Im Anschluss an die Einrichtung kann die Engine direkt über die NEXThink Console, eine Web-GUI, unter der URL http://ipadresse:99/ erreicht werden. Der Administrator verwaltet darüber Netzwerkparameter, Anbindung an das Active Directory für Ermittlung der User-Daten, SMTP-Anbindung der Engine, Administrator-Zugänge sowie den Status der einzelnen Engines. Über die Console kann auch die Client-Komponente Collector heruntergeladen werden.

Collector sammelt Daten

Beim Collector handelt es sich um ein kleines, Agent-ähnliches Stück Software für Windows ab Version 2000. Es sammelt Ressourcen-Informationen auf dem Endgerät und übermittelt diese an die zentrale NEXThink Engine.

Der Collector arbeitet dabei auf Treiberebene, ist also kein Agent im herkömmlichen Sinne. Er kann manuell als etwa 500 KB kleines Windows-Paket installiert oder über eine Software-Verteilung ausgerollt werden. Für Umgebungen, in denen keine Software-Verteilung verfügbar ist, bietet NEXThink über den Finder die Möglichkeit, den Collector automatisch zu verteilen. Hierzu wird entweder über die Anbindung an das Active Directory eine Liste von Zielgeräten generiert und der Zugang geöffnet. Oder es kann eine CSV-Datei mit IP-Adressen oder Hostnamen der Geräte eingelesen und das Programm sodann automatisch installiert werden. NEXThink unterstützt die Installation auch in VDI-Umgebungen aller namhaften Hersteller wie Citrix und VMware.

NEXThink übernimmt auf Wunsch auch das automatische Updaten der Collector-Komponente auf den Endgeräten. Hierfür ist zusätzlich der Updater zu installieren.

Im Finder kann der Administrator jederzeit den Zustand der Collector-Gemeinde überwachen: Auf wie vielen Rechnern ist der Agent installiert, wo müssen noch Updates vorgenommen werden, welche PC lassen sich ggf. nicht managen?

Der Hersteller gibt an, dass der Agent die CPU und den RAM nur geringfügig belastet und der Netzwerk-Traffic keine nennenswerte Größe erreicht. Da es sich um eine Kernel-nahe und damit systemkritische Komponente handelt, sorgt der Crash Guard für eine automatische Deaktivierung des Agenten, falls er wiederholt abstürzen sollte.

Auf dem Endgerät werden keine Berechnungen oder Transformationen vorgenommen, sondern alle gesammelten Daten werden direkt an die Engine geschickt und dort aufbereitet, so dass sie direkt für Analysen zur Verfügung stehen. NEXThink betont, dass keine Nutzerprofile erstellt werden und kein Einblick in Benutzerdaten genommen wird, sondern lediglich die Nutzung von Ressourcen zentral gesammelt und analysierbar gemacht wird.

Um unterschiedlichen Ansprüchen an den Datenschutz zu genügen, kennt NEXThink drei Anonymisierungsstufen: Bei der höchsten Anonymisierung wird zum jeweiligen Gerät und Nutzer nur die interne NEXThink ID gespeichert und angezeigt. In der laxesten Stufe werden neben der Windows SID auch der Username und der Rechnername gespeichert.

Finder wertet aus

Der Finder ist die zentrale Auswertungskomponente der NEXThink-Lösung. Das Windows-Programm verbindet sich zur NEXThink Engine und ermöglicht in Echtzeit Analysen aller gesammelten Daten.

Über den Finder kann der Administrator Endgeräte und ihren aktuellen wie historischen Zustand unter die Lupe nehmen, Alarme anlegen und Services überwachen.

Die sogenannten Investigations erlauben dabei eine zielgenaue interaktive Analyse bestimmter Fragestellungen, etwa welche Geräte auffällige Netzwerkaktivitäten aufweisen, welche PCs besonders lange Bootzeiten haben oder welche Desktops zu lange ohne Update der Antivirensignaturen leben. Die Ergebnislisten lassen sich dabei weiter analysieren durch Drilldown in zusätzliche Informationen, zum Beispiel welche Events, Objekte oder Applikationen beteiligt oder welche Geräte oder Netzwerkkomponenten betroffen waren. Zudem kann der Finder den betreffenden Netzwerk-Verkehr zur jeweiligen Fragestellung visuell darstellen und einzelne Knoten per Drilldown weiter aufschlüsseln. Interessant ist dabei auch die Möglichkeit, Vergleichsübersichten zu erstellen. So lässt sich mit mehreren Klicks eine Übersicht über alle PCs nach Menge an Memory oder durchschnittlicher CPU-Auslastung erstellen, die nach Gruppen eingeteilt ist.

Der Administrator kann Investigations nach eigenen Fragestellungen selbst erstellen und kategorisieren, oder diese von externen Quellen importieren.

Neben selbst definierten Alerts, welche auf der Finder-Startseite aktuell und historisch dargestellt werden, können IT-Verantwortliche auch ihre netzwerkbasierten Services definieren und kontinuierlich auswerten. Populäre Beispiele sind Microsoft Exchange, das Intranet-Portal, die ERP-Lösung. NEXThink überwacht dann fortlaufend die mit dem Service in Verbindung stehenden Netzwerkaktivitäten und erlaubt einen Blick in die jeweiligen Endgeräte, Applikationen und bewegten Datenmengen. Auf diese Weise können Fehler in der Kommunikation, Überlastungssituationen und Nutzeraktivitäten überwacht und ad hoc erkannt werden. Beispiel Exchange: Anhand der Service-Überwachung kann der Administrator Verbindungsabbrüche sowie Downtimes von Clients in Bezug auf den Service erkennen. Über einen Drilldown kann er dann feststellen, welche Aktivitäten bei Einsetzen dieser Probleme erfolgten, wie zum Beispiel das Einspielen von Softwareupdates oder Patches im Zusammenhang mit dem Service, etwa für MS Office oder Outlook, um so die Fehlerursache einzugrenzen und deren Behebung in die Wege leiten zu können.

Unterstützung aus der Library

Die Library unterstützt den Finder-Anwender mit vorgefertigten zusätzlichen Analysen und Templates. Diese lassen sich mit einem Klick im Finder installieren. Dabei werden verschiedenste Themenbereiche abgedeckt, von Performance über Compliance bis hin zu Security, also etwa das Aufdecken von Endgeräten die möglicherweise mit dem Conficker Wurm identifiziert sind oder das Auffinden und Auflisten aller Geräte, welche (noch) nicht tauglich sind für eine Windows 7 Migration. Für VDI-Migrationen interessant: Es gibt Szenarien zur Vorher/Nachher-Analyse, um die Auswirkungen der Virtualisierung zu erkennen.

Portal

Das NEXThink Portal ist eine Web-Plattform, über die im Unternehmen alle relevanten Analysedaten sowie Reports zielgruppengenau bereitgestellt und verteilt werden können. Auf Basis von Rollen und Unternehmenshierarchien - zum Beispiel Abteilungen oder geographische Regionen - können alle wesentlichen Kennzahlen entweder als interaktive Widgets auf einem Dashboard und/oder als Report, der auch regelmäßig per Mail zugestellt werden kann, bereitgestellt werden.

Das Portal übernimmt dabei die Rolle der zentralen Datenaggregation: Alle 24 Stunden werden automatisch die Daten aller beteiligten Engines eingesammelt und aufbereitet, so dass die Auswertungen im Tagesrhythmus auf konsolidierte Daten aus dem gesamten Netzwerk zugreifen können.

Datamining im Einsatz

Die NEXThink-Lösung spielt ihre Stärken aus, wenn es um Ad-Hoc Analysen von historischen und Echtzeit-Daten geht.

Szenario: Support für User mit schlechter Performance

Ein Anwender meldet, dass sein Computer wiederholt zu langsam läuft. Der NEXThink Administrator kann nun im Finder über den Usernamen oder den Computernamen in die aktuellen und historischen Daten des Endgeräts hinein zoomen und dessen Hardwareausstattung prüfen. Über eine vergleichende Analyse kann er mit wenigen Klicks die Auslastungsdaten, die Zeiten für Bootvorgang und Loginvorgang mit denen anderer Rechner im Netzwerk vergleichen, um die Aussagen des Anwenders zu prüfen und die Ursachen weiter einzugrenzen. Dabei kann der Support-Mitarbeiter zudem die historischen Daten des Desktops in Augenschein nehmen und so etwaige Performanceprobleme auf Anwendungs- und Netzwerkebene finden. Dies schließt auch die Erfassung aller aufgetretenen Applikations-Abstürze ein. Können diese anhand der ermittelten Daten beispielsweise mit sehr hoher Speicher-Auslastung in Verbindung gebracht werden, kann im Beispiel direkt der Rückschluss auf zu wenig Arbeitsspeicher im Endgerät gezogen werden. Um solche Probleme auch bei anderen Geräten oder Anwendern proaktiv erkennen zu können, kann der Sysadmin nun einen entsprechenden Alert definieren. Er generiert dafür eine eigene Kategorie für alle Rechner mit derselben (geringen) Menge an RAM, um diese gemeinsam zu betrachten und auszuwerten. Der Alert informiert die betreffende Abteilung per Mail, falls bei weiteren Maschinen die jeweilige Bedingung wahr wird. Zudem können die Alarme auch zu Event/Incident-Management Systemen weitergeleitet werden.

Szenario: Drucker-Analyse

Mit dem Finder lassen sich Fragen nach der Druckernutzung beantworten: Welche Drucker im Netzwerk sind die aktivsten (Nutzungsdauer, Anzahl gedruckter Seiten), wie werden sie genutzt, was wird jeweils auf ihnen gedruckt? Dabei kann nach lokalen Druckern, Netzwerkdruckern, und an Servern angeschlossenen (SMB) Druckern differenziert werden. Drilldown-Analysen der tatsächlichen Nutzung im Hinblick auf druckende Applikation, Farbe oder Druckqualität dienen der Ermittlung der tatsächlichen Anforderungen der Anwender. Anhand solcher Analysen können Maßnahmen zur wirtschaftlicheren Nutzung der Drucker vorgenommen werden: Welche Drucker werden kaum genutzt und können gekündigt oder abgeschafft werden? Welche Drucker werden unwirtschaftlich genutzt? (Zum Beispiel Ausdrucke auf Farbdruckern, obwohl die Drucke viel wirtschaftlicher in Schwarzweiß gedruckt werden könnten.)

Szenario: Spammer im eigenen Netzwerk

Wird das Unternehmen Opfer einer netzinternen Spammer-Attacke, was sich etwa im öffentlichen Blacklisting des Mailservers äußert, so kann der NEXThink-Admin in mehreren Schritten Ursache und Übeltäter aufspüren. Zunächst erstellt er eine Investigation, welche den gesamten ausgehenden Traffic über die Mail-Ports zeigt. Dabei muss er nicht alle Mailportnummern zusammenstellen, sondern kann direkt die Kategorie "Mailports" wählen und erhält damit einen Überblick über sämtliche Mailaktivitäten im Netzwerk, zum Beispiel eingegrenzt auf den ausgehenden Datenverkehr der letzten 48 Stunden. Die Ausgabe des Reports definiert er dabei so, dass alle beteiligten Mailprogramme gezeigt werden. Tauchen in dieser Liste neben den bekannten Applikations-Binaries wie etwa outlook.exe unbekannte oder gar verdächtige Programme auf, kann der Administrator diese gezielt auf ihre tatsächliche Aktivität untersuchen und den davon ausgehenden Netzwerkverkehr auch kartographisch darstellen. Mit einem weiteren Klick kann der Administrator die Geräte ermitteln, auf denen das betreffende Programm zuletzt aktiv war, um dann anhand dessen historischen Daten den Verlauf der "Infektion" zu erkennen, wie beispielsweise den Ausfall des Virenscanners, erhöhte Belastung und Netzwerkaktivität sowie dem Installationszeitpunkt der Schadsoftware. Mit einem weiteren Befehl im NEXThink Finder kann er - vorausgesetzt die entsprechende Schnittstelle wurde eingerichtet - Microsoft SCCM anweisen, die Deinstallation der Schadsoftware vollautomatisch auf allen betreffenden Desktops durchzuführen.

Fazit

NEXThink ist ein ausgereiftes Werkzeug, das IT-Administratoren effektiv dabei unterstützen kann, einen hohen Servicelevel bei den Anwendern zu realisieren. Es besticht durch seine Fähigkeit, Ad-Hoc Analysen mit Echtzeitdaten aller Desktops durchzuführen und damit jederzeit einen aktuellen Einblick in das Geschehen der Endgeräte zu gewinnen. Damit ist es eine gute Lösung für proaktives Troubleshooting im Helpdesk-Umfeld, aber auch für fortlaufende Überwachung von SLAs sowie Sicherheitsrichtlinien. Als solche ersetzt es nicht bestehende Monitoring-Lösungen, sondern ergänzt diese um eine Sicht der Anwender und PCs beziehungsweise Desktops.

Installation und Handling sind gut gelöst, der Appliance-Charakter der Server-Komponente "Engine" sorgt für geringen Aufwand, der Collector lässt sich über gängige Tools einfach ausrollen und belastet Rechner und Netzwerk nicht spürbar. Ein gewisser Nachteil ist dabei im Skalierungsansatz zu sehen: pro 5000 User muss eine separate Engine installiert und jeweils als (virtueller) Server betrieben werden. Neben dem zusätzlichen Verwaltungsaufwand für jeden weiteren Server entsteht eine Begrenzung der Aktivitäten im Finder, da dieser sich immer nur mit jeweils einer Engine verbinden kann, um Analysen durchzuführen. Die Technik ist derzeit noch beschränkt auf Windows-Geräte. Die Unterstützung für Smartphones sowie für Linux-PCs ist jedoch in Vorbereitung.

IT-Abteilungen, die NEXThink einführen, müssen damit rechnen, dass der Betriebsrat auf den Plan gerufen wird. Die Schweizer sagen hierzu sehr deutlich, dass keine personenbezogenen Daten erhoben werden. In Verbindung mit den Möglichkeiten zur Anonymisierung wird nach den Erfahrungen des Herstellers daher in den meisten Fällen eine Regelung gefunden, die für alle Seiten tragbar ist. (wh)

Lizenzen und Preise

Die Lizenzierung erfolgt pro überwachtem Endgerät. Preise wurden vom Hersteller nicht genannt. Auf der Website des Anbieters findet sich eine kostenlose Testlizenz zum Download.

Web-Links

NEXThink Produktwebsite: http://www.nexthink.com

NEXThink Dokumentation: http://doc.nexthink.com/

NEXThink Library: http://library.nexthink.com/