Identicazione Problematiche di Rete

Analizzate le problematiche e la casistica con cui si possono presentare, risul-ta evidente la necessità di analizzare delle possibili variabili che possano essere ricondotte alla classicazione del problema o alla risoluzione di questo.

Come anticipato, la possibilità di inferire nuove informazioni da dati in pos-sesso in forma di log testuali é legata alla identicazione di variabili che siano il più possibile estranee al singolo nodo della rete o al singolo log e che siano invece correlate a fattori che condizionano l'intera rete e ne descrivano caratteristiche sensibili.

3.6.1 Numero utenti connessi

Il numero di utenti connessi é evidentemente una variabile sensibile della rete che condiziona lo spazio degli indirizzi assegnabili ed il traco transitante.

I problemi a cui potrebbe quindi essere correlata sono: 1. Mancata assegnazione dell'indirizzo di rete 2. Degradazione della connettività di rete 3. Problemi di e-mail

Il numero di utenti lo si può dedurre in varie maniere, più o meno precise e fedeli alla realtà, come anticipato prima, però, ci troviamo nella posizione di doverlo dedurre da informazioni di cui già siamo in possesso, ed in particolare di log.

Il numero di utenti connessi può essere dedotto in vari modi che analizzeremo sotto.

3.6 IDENTIFICAZIONE PROBLEMATICHE DI RETE Log Radius : é il server di autenticazione degli utenti della rete. Dai log possiamo venire a conoscenza del numero di autenticazioni eseguite con successo in un arco temporale. I log di Radius memorizzano ogni tentativo fallito di login e il momento in cui essi avvengono. L'inconveniente potrebbe essere che radius non fornisce log di disconnessione ed inoltre non ci fornisce indicazione degli utenti autenticati al di fuori dell'arco temporale preso in considerazione.

Log dns : i log dns ci danno un'idea del numero di utenti connessi in termini di MAC addresses associati ad indirizzi IP.

3.6.2 Numero autenticazioni fallite

Anche se non direttamente associata ad una problematica di rete e generalmente associata ad un errore dell'utente, questa variabile potrebbe evidenziare impor-tanti correlazioni che verranno esposte più avanti.

Le problematiche correlate potrebbero essere: 1. nodo server o access point down

2. mancata autenticazione dell'utente con server RADIUS 3. Un nodo critico perde la congurazione

Questa variabile può essere utilizzata come percentuale di autenticazioni fal-lite, media di autenticazioni fallite in un arco di tempo etc.

Log Radius : i log di radius registrano ogni autenticazione fallita e l'istante in cui vengono eettuate.

3.6.3 Traco attraversante un nodo

Questa variabile é evidentemente molto cruciale nel descrivere una rete e può preludere ad eventi successivi frequenti come disconnessioni, lentezza nei servizi etc.

Le problematiche in particolare a cui é legata sono: 1. Problemi di e-mail

2. Degradazione della connettività di rete

I log da cui si può dedurre il traco attraversante un nodo possono essere molteplici ma si prenderà in considerazione solo quello che lo fornisce come dato esplicito e senza nessun onere aggiuntivo.

MRTG log : i log di mrtg ci forniscono direttamente il traco in Kbyte attraversante un nodo senza nessuna attività sui singoli log di traco.

3.6.4 RTA medio

In forma estesa Round Trip Average rappresenta il tempo medio richiesto ad un pacchetto per raggiungere destinazione: questa variabile potrebbe essere molto indicativa sull'andamento generale della rete e potrebbe allertare gli amminista-tori del vericarsi di eventi o di condizioni che, in passato, hanno creato problemi. I problemi che potrebbe identicare sono quindi:

1. degradazione della connettività di rete 2. nodo server o access point down 3. server unreachable

L'RTA può essere dedotto da più log e può essere utile sia considerato come media degli RTA di un singolo nodo sia di più nodi raggruppati.

Nagios log : i log di nagios contengono RTA di ping ad host preimpostati

3.6.5 Packet Loss

Il packet loss come l'RTA é una variabile che descrive la connettività di un nodo e la degradazione di quest'ultima.

I problemi a cui potrebbe essere correlata, come per l'RTA, sono: 1. degradazione della connettività di rete

2. nodo server o access point down 3. server unreachable

Generalmente il packet loss é legato all'RTA, quindi si trova negli stessi log in cui si trova l'RTA:

3.7 IDENTIFICAZIONE PROBLEMATICHE DI RETE

3.6.6 Altri parametri

Altri parametri utili ad identicare problematiche di rete, o che aggiungereb-bero informazioni interessanti durante la fase di analisi saranno ora brevemente descritti.

Rapporto traco uscente / traco entrante

Il rapporto fra traco entrante ed uscente, con il traco totale in un dato in-tervallo, dovrebbe, di massima, restare costante, oppure seguire dei pattern ben deniti e ripetitivi nell'arco della giornata o della settimana.

Topologia della rete

Pur non essendo una variabile normalmente deducibile dai log in possesso, do-vrebbe essere possibile specicare la topologia della rete come grafo di nodi connessi.

Fascia oraria

Potrebbe essere utile inserire anche una variabile che rappresenta la fascia ora-ria, ma questa é deducibile durante l'analisi dei logs, risulta quindi superuo aggiungere dati facilmente ottenibili.

Numero messaggi anomali

Si potrebbe prevedere di fare un parsing dei le di log, e, tramite un pattern matching, contare il numero di messaggi previsti e generalmente presenti nei log, ed il numero di messaggi di log anomali (in quanto generalmente non presenti, oppure presenti ma in numero inferiore).

Process Mining

Il process mining é utile nel momento in cui evidenzia trend o devianze altrimenti non osservabili dai singoli eventi. E' ipotizzabile un certo numero di correlazioni che un process mining ecace potrebbe trovare sui dati e che potrebbe indirizzare all'aggiunta di nuove variabili o di nuovi log e quindi di dati in ingresso al processo di data mining.

L'aumento di utenti, la diminuzione della banda, l'aumento del Round Trip Average e la degradazione risultante dei servizi é una correlazione immediata, che l'algoritmo di process mining dovrebbe evidenziare.