APM-V3.0-产品技术白皮书

APM应用性能管理产品技术白皮书深信服科技有限公司深信服APM应用性能管理版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。免责条款 本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。 深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈 如果您有任何宝贵意见，请反馈： 信箱：广东省深圳市南山区麒麟路1号创业中心四楼邮编：518052电话/p>

传真-mail：master@产品咨询热线：800-830-9565 您也可以访问深信服科技网站：获得最新技术和产品信息APM应用性能管理，IT管理新思路概述IT系统成为生产资料，必须保障稳定和高效我们看到中国的电子商务市场正在以每年70%的速度增长，已经成为一个超过15万亿容量的大市场；经过几年的持续建设，中国的电子政务也越来越成熟，我们能以更快的速度、更低的成本、更好的体验享受到政府提供的各类服务，例如网上报税、网上年检等；而对于众多企业，分布式协同办公已趋于常态。可以说互联网技术已悄然改变了我们的生活，也改变了我们的生产。当组织机构依托IT技术开展业务时，我们甚至可以这样认为：IT建设的成败将直接影响到生产效率，甚至影响到生产效益！我们可以假想一下，一个用户登录网上商城购物，而他打开一个产品介绍的页面感觉很慢，下单付款的关键时刻又发现系统失去响应，那么这个用户还会选择继续在网上商城消费吗？作为纳税人，我们通过网上报税系统进行申报、入库操作，但是如果我们发现这个系统有时可以登录，有时无法登陆，无规律中断，我想这肯定也不会让我们满意。同样的，对于一个大型企业，分支机构的员工访问总部的ERP系统总是比较缓慢，又如何实现高效办公呢？——应用性能的好坏将直接影响到组织的商业收益！作为IT管理与运维人员，针对终端用户反映的应用慢、系统中断的问题根本无从定位问题根源，面临的职业压力也持续增大。而网络设备、服务器、软件应用系统等越来越多，错综复杂的关联关系，让数据中心的管理和维护面临前所未有的挑战。传统的IT管理思路已现疲态提到IT管理，我们最容易想到的就是NMS（NetworkManagementSystem，网管系统），事实上，大多数用户也都部署了该方案。NMS通过SNMP、WMI、SSH等帮我们实现了对服务器、网络设备等硬件性能的监控，而基于NMS技术衍生出的“统一运维管理”、“综合服务管理”等方案将管理的面延伸到资产管理、业务系统模拟访问等层面。但我们发现，往往即使我们已经部署了网管系统，但是我们的IT服务并不能达到客户的要求。通过“统一运维管理平台”模拟用户访问行为，发现财务系统访问速度没问题，但事实与模拟的结果并不相符；从网管平台上看到网络设备、服务器的的CPU占用很低，但仍然有用户投诉应用访问缓慢甚至中断……这给我们的工作带来了极大的困扰。导致以上问题有两个原因，一是传统网管系统理念的局限性，缺乏关联分析。引发用户访问变慢或中断的原因并不仅仅局限在硬件设备，诸如带宽被挤占、网络连接失败、应用软件效率低下都会导致问题的出现，单纯的关注硬件并不能解决所有问题；二是技术的局限性，通过模拟一个客户端访问应用服务器的方式，所获知的信息都是“模拟”信息，而并非“用户真实体验”，可以作为系统上线前的一次“演习”，但是系统上线之后的日常监控管理，则必须是“实时的、真实用户体检监控”，否则我们就只能在问题已经发生、损失已经造成之后才后知后觉。面向业务服务的网络及应用性能管理成为主流APM（ApplicationPerformanceManagement，应用性能管理）是一种较为新颖的网络及应用管理理念，侧重对企业的关键业务应用进行监控、优化，提高关键应用的可靠性和服务质量，保证用户获得良好的访问体验。端到端的真实终端用户体验监控关键业务应用系统的性能强大，可以帮助组织提高竞争力，并取得商业成功。深信服APM采用智能旁路监听分析技术，实现完全Agentless，无需在应用服务器和用户端安装插件，不会对当前架构造成任何影响。通过探针（Probe）捕获用户真实网络访问行为的相关数据包，数据包解包及7层应用协议深度解码技术可以实现从终端用户的体验角度评估网络及应用性能。譬如用户访问邮件服务器过程的网络延时、服务器响应时间、页面加载时间、HTTP错误/TCP错误等分段信息，为网络管理者提供一个真实的、可量化的应用系统性能监控分析数据，以便提升用户访问体验。多因素关联与深入分析影响用户访问体验的因素是多样的，深信服APM实现了对链路质量、流量分布、硬件设备性能、软件应用前端性能、后台数据库等多因素关联分析。除了网络链路质量分析及全局流量可视，IT管理者往往希望在出现性能问题的时候，能够定位是网络问题、应用服务的问题还是后台数据库的问题，深信服APM还提供后台数据库和中间件的性能监控，可查看Oracle和Weblogic的处理流程及关键性能指标，包含实时和历史信息。在故障之前发现问题为了满足IT运维人员对于系统的维护需求，降低维护难度，APM提供7x24小时不间断性能检测机制，SNMPTrap、应用响应阀值等实现邮件和短信自动告警，协助故障定位，减少故障恢复时间。管理人员根据告警信息提示，可以快速的解决系统涉及的线路异常、流量异常、硬件异常、应用变慢、系统中断等节点故障，在客户之前发现问题、解决问题，打造一个稳定而强壮的应用系统。Gartner关于APM的定义Gartner给出了APM市场定义的五个维度模式，分别是：最终用户体验监控、用户自定义事务处理剖析、应用组件发现与建模、应用组件深入监控、应用性能管理数据库。其中前四个维度记录了端到端应用行为的具体而又全面的视图，而最后一个维度则涉及与前四个维度分别相关的极大数据集的实时和历史关联，以及对这些数据集的分析。虽然刚开始时，各APM厂商的意图是仅重点关注五个维度中的一部分，但在2009年，各厂商已意识到所有五个维度是同等重要的，陆续提供涵盖五个维度的整体方案。此外，Gartner还给出了五种容易与APM混淆的技术，分别是应用管理(AM)、业务服务管理(BSM)、业务流程管理（BPM）、业务事务管理（BTM）、应用感知网络性能监控（AANPM）。这五种技术专注的领域不一样，但又有交集。“网络性能工具的目标重点在于基于TCP、UDP和NetFlow的包聚合，而APM工具主要从HTTP和HTTPS方面考虑已定义的用户事务”。作为IT运维和管理人员，我们更期待看到各种技术的融合，为我们带来一个广义的APM。深信服的观点APM（ApplicationPerformanceManagement，应用性能管理）产品为用户提供一种崭新的网络及应用性能管理思路，通过全网可视、性能监控、智能预警三大机制帮助IT运维人员预见和规避系统故障，保障网络应用的高可用性，放大IT系统作为生产资料的价值，提升组织的商业竞争力。APM系统架构及相关技术要点APM部署方式APM设备只支持旁路模式部署，通过Probe口监听核心交换机镜像过来的内网数据，MANAGE口连接内网用来管理并主动监控路由器、交换机、服务器主机、Oracle、Weblogic、应用系统等运行状况。典型部署拓扑图如下所示：深信服APM部署简单，用户无需进行繁琐的应用配置，也无需考虑在服务器端安装Agent软件，只需为APM设备提供镜像流量导入即可，深信服APM产品将为您提供一个涵盖链路质量、流量分布、硬件设备性能、软件应用系统性能、终端用户体验等多个因素在内的自动关联分析报告，降低IT运维工作量，提升网络及应用性能。通常我们建议将APM产品部署在用户的核心交换设备上，您将获得全局的流量和设备可视；同样您也可以根据具体需求监控您的某一网段，例如DMZ区。大多数三层交换机及部分二层交换机均具备（PortMirroring）端口镜像功能，而对于您所监控的某一区域，例如DMZ区，没有镜像端口，可以考虑采用（TAP）网络分接器，深信服APM同样支持。配置步骤第一步：在核心交换机上配置镜像接口，如有多台交换机数据需要监控，则在多台交换机上配置镜像接口，并将镜像接口和APM设备的Probe口进行连接。配置步骤第二步：将APM设备的MANAGE口和内网交换机相接。配置步骤第三步：登录APM设备进行配置。交换机镜像接口的配置方式，请参考各品牌交换机用户配置手册或咨询交换机厂商技术工程师。APM数据处理流程深信服APM逻辑处理模块深信服APM除底层OS外，提供旁路分析（流量可视和WEB解码分析）、设备监控、Oracle监控、Weblogic监控、系统监控（应用系统监控状态探测）、告警服务、数据库更新等应用处理模块。基本设计理念及处理流程旁路数据流分析主动捕获网络信息分析网络可视化实现流程示例网络可视的目标：1.统计线路流量、系统流量、主机流量、协议流量、会话流量、来源流量2.以SNMP、WMI等方式统计设备信息，包括：CPU、进程等3.识别异常的流量和异常的设备信息设计思路、原理及背景系统以“旁路方式”分析和统计数据中心的“数据流”，并保存在“数据库”中，通过web以总览视角、系统视角、主机视角、协议视角、会话视角展示出来。数据分析思路：以主动方式获取和统计数据中心中的设备信息，包括CPU、进程等，结果保存在“数据库”中，通过web以设备管理界面展示出来。结构说明及工作流程数据包抓取模块：抓取网络上的数据包旁路分析模块：从数据抓包模块中获取数据包，并分析出所需要的信息，将结果传给数据库模块数据库模块：存放详细的分析结果，供报表、WebUI等其它模块查询主动分析模块：通过SNMP、WMI、SSH查询设备信息；通过主动探测技术判断系统监控状态告警服务：短信告警及邮件告警调用工作流程数据包抓取模块从数据中心把数据包抓取到旁路分析模块，经分析后把结果保存到数据库中。报表和WebUI读取数据库信息，把结果展现给用户。主动分析模块通过SNMP、WMI、SSH查询设备信息APM关键技术点介绍被动型深度数据包解包技术包(Packet)是TCP/IP协议通信传输中的数据单位，一般也称“数据包”。数据包主要由“目的IP地址”、“源IP地址”、“净载数据”等部分构成。数据包的结构与我们平常写信非常类似，目的IP地址是说明这个数据包是要发给谁的，相当于收信人地址；源IP地址是说明这个数据包是发自哪里的，相当于发信人地址；而净载数据相当于信件的内容。正是因为数据包具有这样的结构，安装了TCP/IP协议的计算机之间才能相互通信。我们在使用基于TCP/IP协议的网络时，网络中其实传递的就是数据包。理解数据包，对于网络管理的网络安全具有至关重要的意义。举个例子，我们上网打开网页，这个简单的动作，就是我们（client端）先发送数据包给网站（server端），网站（server端）接收到了之后，根据我们（client端）发送的数据包的IP地址，返回给（client端）网页的数据包，也就是说，网页的浏览，实际上也就是数据包的交换。通过数据包捕获软件，也可以将数据包捕获并加以分析，可以看到捕获到的数据包的MAC地址、IP地址、协议类型端口号等细节。通过分析这些数据，网管员就可以知道网络中到底有什么样的数据包在活动了。示例：1、版本（4bit）IP协议版本已经经过多次修订，1981年的RFC0791描述了IPV4，RCF2460中介绍了IPV6。2、报头长度（4bit）报头长度是报头数据的长度，以4字节表示，也就是以32字节为单位。报头长度是可变的。必需的字段使用20字节（报头长度为5，IP选项字段最多有40个附加字节（报头长度为15）。3、服务类型（8bit）该字段给出发送进程建议路由器如何处理报片的方法。可选择最大可靠性、最小延迟、最大吞吐量和最小开销。路由器可以忽略这部分。4、数据报长度（16bit）该字段是报头长度和数据字节的总和，以字节为单位。最大长度为65535字节。5、标识符（16bit）原是数据的主机为数据报分配一个唯一的数据报标识符。在数据报传向目的地址时，如果路由器将数据报分为报片，那么每个报片都有相同的数据标识符。6、标志（3bit）标志字段中有2为与报片有关。位0：未用。位1：不是报片。如果这位是1，则路由器就不会把数据报分片。路由器会尽可能把数据报传给可一次接收整个数据报的网络；否则，路由器会放弃数据报，并返回差错报文，表示目的地址不可达。IP标准要求主机可以接收576字节以内的数据报，因此，如果想把数据报传给未知的主机，并想确认数据报没有因为大小的原因而被放弃，那么就使用少于或等于576字节的数据。位2：更多的报片。如果该位为1，则数据报是一个报片，但不是该分片数据报的最后一个报片；如果该位为0，则数据报没有分片，或者是最后一个报片。7、报片偏移（13bit）该字段标识报片在分片数据报中的位置。其值以8字节为单位，最大为8191字节，对应65528字节的偏移。例如，将要发送的1024字节分为576和424字节两个报片。首片的偏移是0，第二片的偏移是72（因为72×8＝576）。8、生存时间（8bit）如果数据报在合理时间内没有到达目的地，则网络就会放弃它。生存时间字段确定放弃数据报的时间。生存时间表示数据报剩余的时间，每个路由器都会将其值减一，或递减需要数理和传递数据报的时间。实际上，路由器处理和传递数据报的时间一般都小于1S，因此该值没有测量时间，而是测量路由器之间跳跃次数或网段的个数。发送数据报的计算机设置初始生存时间。9、协议（8bit）该字段指定数据报的数据部分所使用的协议，因此IP层知道将接收到的数据报传向何处。TCP协议为6，UDP协议为17。10、报头检验和（16bit）该字端使数据报的接收方只需要检验IP报头中的错误，而不校验数据区的内容或报文。校验和由报头中的数值计算而得，报头校验和假设为0，以太网帧和TCP报文段以及UDP数据报中的可选项都需要进行报文检错。11、源IP地址（32bit）表示数据报的发送方。12、目的IP地址（32bit）表示数据报的目的地。由于数据包捕获软件对于操作人员的技术要求较高，普通的数据包分析软件受限于其性能（不足以支撑捕获全局数据）和功能方面（参数有限，且不能按照多个维度统一展现）的不足，往往无法帮助用户达到管理方面的要求。深信服APM基于旁路被动型数据包分析技术，无需更改用户网络架构，也无需用户掌握较深的数据包分析技术，由APM后台完成数据包的全面分析，以友好的UI统一展现网络关键性能指标。7层协议智能解码技术由于TCP/IP传输主要工作在网络层和传输层，因此TCP/IP数据包解包技术尚无法针对当前越来越多的7层应用做深入分析。WEB化是一个大趋势，各类业务应用都开始向WEB转型，因此深信服APM还提供针对7层WEB应用的智能解码分析，通过对HTTP协议做深入分析，帮助用户实现针对WEB应用的性能监控和预警。HTTP是一个属于应用层的面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。它于1990年提出，经过几年的使用与发展，得到不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的规范化工作正在进行之中，而且HTTP-NG(NextGenerationofHTTP)的建议已经提出。一次HTTP操作称为一个事务，其工作过程可分为四步：首先客户机与服务器需要建立连接。只要单击某个超级链接，HTTP的工作就开始了。建立连接后，客户机发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。2.服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。3.客户端接收服务器所返回的信息通过浏览器显示在用户的显示屏上，然后客户机与服务器断开连接。4.如果在以上过程中的某一步出现错误，那么产生错误的信息将返回到客户端，有显示屏输出。对于用户来说，这些过程是由HTTP自己完成的，用户只要用鼠标点击，等待信息显示就可以了。提示代码表达信息1xx信息2xx成功3xx重定向4xx客户端错误5xx服务器端错误实例分析：通常HTTP消息包括客户机向服务器的请求消息和服务器向客户机的响应消息。这两种类型的消息由一个起始行，一个或者多个头域，一个指示头域结束的空行和可选的消息体组成。HTTP的头域包括通用头，请求头，响应头和实体头四个部分。每个头域由一个域名，冒号（:）和域值三部分组成。域名是大小写无关的，域值前可以添加任何数量的空格符，头域可以被扩展为多行，在每行开始处，使用至少一个空格或制表符。通用头域通用头域包含请求和响应消息都支持的头域，通用头域包含Cache-Control、Connection、Date、Pragma、Transfer-Encoding、Upgrade、Via。对通用头域的扩展要求通讯双方都支持此扩展，如果存在不支持的通用头域，一般将会作为实体头域处理。下面简单介绍几个在UPnP消息中使用的通用头域。Cache-Control头域Cache-Control指定请求和响应遵循的缓存机制。在请求消息或响应消息中设置Cache-Control并不会修改另一个消息处理过程中的缓存处理过程。请求时的缓存指令包括no-cache、no-store、max-age、max-stale、min-fresh、only-if-cached，响应消息中的指令包括public、private、no-cache、no-store、no-transform、must-revalidate、proxy-revalidate、max-age。各个消息中的指令含义如下：Public指示响应可被任何缓存区缓存。Private指示对于单个用户的整个或部分响应消息，不能被共享缓存处理。这允许服务器仅仅描述当用户的部分响应消息，此响应消息对于其他用户的请求无效。no-cache指示请求或响应消息不能缓存no-store用于防止重要的信息被无意的发布。在请求消息中发送将使得请求和响应消息都不使用缓存。max-age指示客户机可以接收生存期不大于指定时间（以秒为单位）的响应。min-fresh指示客户机可以接收响应时间小于当前时间加上指定时间的响应。max-stale指示客户机可以接收超出超时期间的响应消息。如果指定max-stale消息的值，那么客户机可以接收超出超时期指定值之内的响应消息。Date头域Date头域表示消息发送的时间，时间的描述格式由rfc822定义。例如，Date:Mon,31Dec200104:25:57GMT。Date描述的时间表示世界标准时，换算成本地时间，需要知道用户所在的时区。Pragma头域Pragma头域用来包含实现特定的指令，最常用的是Pragma:no-cache。在HTTP/1.1协议中，它的含义和Cache-Control:no-cache相同。请求消息请求消息的第一行为下面的格式：MethodSPRequest-URISPHTTP-VersionCRLFMethod表示对于Request-URI完成的方法，这个字段是大小写敏感的，包括OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE。方法GET和HEAD应该被所有的通用WEB服务器支持，其他所有方法的实现是可选的。GET方法取回由Request-URI标识的信息。HEAD方法也是取回由Request-URI标识的信息，只是可以在响应时，不返回消息体。POST方法可以请求服务器接收包含在请求中的实体信息，可以用于提交表单，向新闻组、BBS、邮件群组和数据库发送消息。SP表示空格。Request-URI遵循URI格式，在此字段为星号（*）时，说明请求并不用于某个特定的资源地址，而是用于服务器本身。HTTP-Version表示支持的HTTP版本，例如为HTTP/1.1。CRLF表示换行回车符。请求头域允许客户端向服务器传递关于请求或者关于客户机的附加信息。请求头域可能包含下列字段Accept、Accept-Charset、Accept-Encoding、Accept-Language、Authorization、From、Host、If-Modified-Since、If-Match、If-None-Match、If-Range、If-Range、If-Unmodified-Since、Max-Forwards、Proxy-Authorization、Range、Referer、User-Agent。对请求头域的扩展要求通讯双方都支持，如果存在不支持的请求头域，一般将会作为实体头域处理。典型的请求消息：GEThttp://download.microtool.de:80/somedata.exeHost:download.microtool.deAccept:*/*Pragma:no-cacheCache-Control:no-cacheReferer:http://download.microtool.de/User-Agent:Mozilla/4.04[en](Win95;I;Nav)Range:bytes=554554-上例第一行表示HTTP客户端（可能是浏览器、下载程序）通过GET方法获得指定URL下的文件。棕色的部分表示请求头域的信息，绿色的部分表示通用头部分。Host头域Host头域指定请求资源的Intenet主机和端口号，必须表示请求url的原始服务器或网关的位置。HTTP/1.1请求必须包含主机头域，否则系统会以400状态码返回。Referer头域Referer头域允许客户端指定请求uri的源资源地址，这可以允许服务器生成回退链表，可用来登陆、优化cache等。他也允许废除的或错误的连接由于维护的目的被追踪。如果请求的uri没有自己的uri地址，Referer不能被发送。如果指定的是部分uri地址，则此地址应该是一个相对地址。Range头域Range头域可以请求实体的一个或者多个子范围。例如，表示头500个字节：bytes=0-499表示第二个500字节：bytes=500-999表示最后500个字节：bytes=-500表示500字节以后的范围：bytes=500-第一个和最后一个字节：bytes=0-0,-1同时指定几个范围：bytes=500-600,601-999但是服务器可以忽略此请求头，如果无条件GET包含Range请求头，响应会以状态码206（PartialContent）返回而不是以200（OK）。User-Agent头域User-Agent头域的内容包含发出请求的用户信息。响应消息响应消息的第一行为下面的格式：HTTP-VersionSPStatus-CodeSPReason-PhraseCRLFHTTP-Version表示支持的HTTP版本，例如为HTTP/1.1。Status-Code是一个三个数字的结果代码。Reason-Phrase给Status-Code提供一个简单的文本描述。Status-Code主要用于机器自动识别，Reason-Phrase主要用于帮助用户理解。Status-Code的第一个数字定义响应的类别，后两个数字没有分类的作用。第一个数字可能取5个不同的值：1xx:信息响应类，表示接收到请求并且继续处理2xx:处理成功响应类，表示动作被成功接收、理解和接受3xx:重定向响应类，为了完成指定的动作，必须接受进一步处理4xx:客户端错误，客户请求包含语法错误或者是不能正确执行5xx:服务端错误，服务器不能正确执行一个正确的请求响应头域允许服务器传递不能放在状态行的附加信息，这些域主要描述服务器的信息和Request-URI进一步的信息。响应头域包含Age、Location、Proxy-Authenticate、Public、Retry-After、Server、Vary、Warning、WWW-Authenticate。对响应头域的扩展要求通讯双方都支持，如果存在不支持的响应头域，一般将会作为实体头域处理。典型的响应消息：HTTP/1.0200OKDate:Mon,31Dec200104:25:57GMTServer:Apache/1.3.14(Unix)Content-type:text/htmlLast-modified:Tue,17Apr200106:46:28GMTEtag:"a030f020ac7c01:1e9f"Content-length:39725426Content-range:bytes554554-40279979/40279980上例第一行表示HTTP服务端响应一个GET方法。棕色的部分表示响应头域的信息，绿色的部分表示通用头部分，红色的部分表示实体头域的信息。Location响应头Location响应头用于重定向接收者到一个新URI地址。Server响应头Server响应头包含处理请求的原始服务器的软件信息。此域能包含多个产品标识和注释，产品标识一般按照重要性排序。（版权声明：以上为HTTP协议分析示例资料，来源于互联网，便于读者理解）由于HTTP协议涉及到网络开发底层，一般为网络开发人员所掌握，而网络管理人员及使用人员皆无法对其进行深入的分析。深信服APM针对HTTP协议进行智能解码分析，无需更改用户网络架构，也无需用户掌握较深的协议解码分析技术，由APM后台完成协议的解码分析，以友好的UI统一展现网络关键性能指标。应用层网络流量识别及分类技术网络应用极其丰富，由此引发各种管理和安全问题。识别是管理的基础，全面的应用识别帮助管理员透彻了解网络应用现状和用户行为，保障管理效果。但基于Flow技术的流量可视化无法做到7层可视，给用户的管理带来了一定困扰深信服将在7层应用流量识别方面的技术积累融入了APM中，采用多种应用识别技术，全面识别各种应用流量。主要包括：应用规则识别库：APM拥有国内最大的应用识别库，该库由深信服应用规则研发团队定期维护，保证库处于最新状态；该库支持360种以上网络主流应用，680条以上规则能识别40种以上IM、50种以上P2P/P2P流媒体、100种以上游戏、20种以上OA、15种以上网银、20种以上股票行情软件、15种以上股票交易软件、10种以上木马、10种以上代理软件；文件类型识别：识别并过滤HTTP、FTP、mail方式上传下载的文件，即使删除文件扩展名、篡改扩展名、压缩、加密后再上传，AC同样能识别和报警；深度内容检测：IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等，基于数据包特征精准识别，且支持管理员自行定义新规则，以及深信服科技及时更新和快速响应；智能识别：种类泛滥的P2P行为，静态“应用识别规则”已经捉襟见肘，通过P2P智能识别，识别不常见、未来可能出现的P2P行为。完全Agentless主动型探测技术在IT运维管理过程中，需要对服务器、应用和网络设备进行轮询和监控。对于网络设备，大多数厂商都采用SNMP简单网络管理协议。但是对于主机和应用的监控，各个厂商在软件的实现上却出现了分歧，有些厂商采用Agent方式，有些厂商采用Agentless方式。所谓Agent监控方式，顾名思义，就是在被监控应用所在的主机上面，安装小的Agent软件，即代理软件，通过它，实现对数据的采集和管理。市面上Agent监控代理软件，一般都可以在一台主机上实现对主机和主机上应用的监控。因为Agent代理软件运行在被监控主机和应用端，所以对Agent软件的性能和可靠性就提出了很高的要求，一般要求Agent代理软件占用系统资源（CPU、内存等）比较低，但是采集的数据量比较大。只有这样，才能很好的发挥Agent代理软件作用的同时，保证主机和应用的正常运行。而Agentless监控方式，是指在被监控应用所在的主机上面，不安装代理软件采集相应的信息，而是通过一些标准的协议，这些包括主机使用的SNMP、Telnet、SSH、WMI等，以及应用使用的JMX、JDBC、ODBC等。SNMPWHISSH：基于SNMP、WMI、SSH的智能设备管理功能，用户不用担心由于硬件设备品牌/型号不一而造成的管理困扰，可获知硬件设备的CPU、内存占用、网口流速等性能指标。深信服APM主动探测支持TCPCONNECT、URL探测、自定义探测、支持正则表达式。注：TCPConnect探测，是指用TCP3次握手进行探测，仅探测传输层的响应，握手成功则认为系统是可用的，否则不可用；HTTPURL探测适用于对网站的可用性进行探测。通过对URL进行访问，检查系统的4层和7层响应。若4层不响应，或者7层不响应，则认为是系统不可用；若7层响应，但是返回的内容不符合期望(如期望返回“200OK”，但是返回了“502”错误)，则认为系统出现故障；返回期望的7层回应，才认为系统正常。自定义内容探测，是可以让用户自己定义发送内容和响应内容的7层探测。基于数据库及中间件监控标准接口：无需用户在数据包、中间件服务器安装agent，用户只需提供一个具有monitor权限的账号交予APM，APM即可对数据库及中间件的性能指标及运行情况做监控分析。网络及应用性能评分模型APM提供基线和性能模型两种评断标准，用于对用户当前的网络、应用性能做评估分析。性能基线来源于用户的历史性能数据表现，根据内部建模算法建立，此外，用户可自定义基线的灵敏度以匹配实际业务特点。此外，深信服APM还提供遵循IPSLA的网络性能模型，除了内置模型，用户同样可以自定义评分标准模型。深信服APM应用性能管理功能模块全局流量可视想了解您网络的利用情况吗？想了解哪个用户占用了最多的带宽吗？想了解哪台主机消耗了最多的出口带宽吗？想了解哪个系统消耗了最多的出口带宽吗？深信服APM提供多维度的流量可视化，实现包含链路层、传输层、网络层、应用层在内的2-7层流量可视。流量可视全局流量可视，有助于获得流量分布并及时发现异常流量包含链路层、传输层、网络层、应用层的2-7层流量可视多维度分析基于系统、主机、来源、协议、会话、事件多个维度进行分析支持基于IP、端口等对数据包进行分析和流量监视精准应用层识别能够基于应用协议类型进行分析和流量监视能够识别500种以上常见的网络应用通过全网应用服务器的流量可视，可直观的查看到数据库服务器、邮件服务器等业务服务器精确到年、月、周、日、时的统计数据交互信息，如总流量、总数据包、响应延时、响应时延峰值、连接成功/失败次数、异常关闭连接数、发送TCP零窗口次数等、发送错包率、发送/接受流量速率等各种详细数据交互信息。这些统计信息为应用系统、服务器的使用状况分析提供了详尽的依据，实现透明化、全可视化管理。专线性能分析分析专线流量构成针对专线用户，APM基于专线（业务分支）维度，提供专线流量构成分析功能。可以帮助用户实现对专线（分支）总流量可视、每条专线（分支）流量构成可视。如用户通过专线访问总部数据中心业务，专线流量分布是否合理，是否需要扩容；有无异常事件，有无中断风险等，APM都可以按照用户需求进行友好的呈现分析。分析专线性能专线是端到端组网较为常见的一种方式，但往往承载重要业务数据的专线也会存在线路中断、性能低下等困扰。APM提供专线性能的IPSLA建模分析监控，此外提供定期的专线运行分析报告，除此之外，当专线及专线承载的业务出现故障风险时，可提前预警，帮助用户规避业务风险。智能设备监控随着业务规模的扩大，不同品牌/型号的网络设备、服务器越来越多，数据中心的管理面临前所未有的挑战。深信服APM提供基于SNMP、WMI、SSH的智能设备管理功能，用户不用担心由于硬件设备品牌/型号不一而造成的管理困扰。深信服APM可对应用服务器以下状态进行智能监控：设备监控可监控路由器、交换机、防火墙、服务器等基础硬件设备健康状态监测提供CPU/内存/磁盘利用率、网口流量等信息监控进程监控能够实时监视服务器当前运行的进程情况阀值告警可根据不同的健康等级定为阀值告警 通过对服务器运行状态的监控，可实时查看到各服务器的硬件资源使用状态，根据这些信息可判断当前服务器是否满足组织目前的使用量，并为下一步的应用系统改造、服务器改造、网络改造提供充分的依据。譬如对于数据库服务器等经常需要进行查询等高CPU运算量的应用，可根据服务器状态智能监控查看当前服务器配置是否满足该组织人员规模下使用要求，为进一步提高用户对各应用系统的使用体验从整体的角度提供材料。核心业务系统健康度监测及性能分析业务系统健康度主动探测关键业务应用的性能强大，可以帮助组织提高竞争力，并取得商业成功，因此，加强应用性能管理可以产生巨大商业收益。APM对于数据中心的所有应用系统提供监控状态监测功能。应用的发现既可以让用户手动添加，也可以让APM自动添加。健康状态监测支持FTP、Lotus、SAP、Exchange等各类OA、ERP、Mail系统状态参数提供系统状态、可用性、响应时延、告警状态等信息探测技术支持TCPCONNECT、URL探测、自定义探测、支持正则表达式阀值告警可根据不同的健康等级定为阀值告警创新优势：深信服APM除了能够通过观察流量中的SYN握手情况，来确定系统是否可用，另外增加了主动探测功能，通过主动访问系统，来判断系统的运行状态。APM可以直接通过TCP握手探测，来判断系统是否存活，当然这还不够，仅通过TCP握手无法判断应用层的状态，可能系统活着，但是已经不正常了。因此APM也可以通过定义应用层交互内容，来判断系统应用层的状态。WEB系统深入解码分析深信服APM提供7层WEB应用的性能监控，系统页面、终端用户数、页面加载时间、RTT、带宽利用率、TCP/HTTP错误、网络/服务时延、吞吐率、丢包率等用户体验因素可自动关联判断。WEB性能分析可实时监视指定WEB应用的性能、页面加载时间、受影响用户数、错误数等信息分析展示能够通过曲线等图表直观展示WEB服务的页面加载时间变化趋势、HTTP/TCP错误数变化趋势、页面加载时间/网络延时变化趋势等进程监控可详细记录响应慢的页面中各子URL的详细信息，便于分析页面慢的原因用户感知支持直观展现访问该页面速度慢的用户来源区域分布、页面访问时间等信息创新优势：深信服APM采用智能监听分析技术，实现完全Agentless，不会对用户业务造成任何影响。提供主动轮询和监听双重机制，解决单一主动轮询机制受限于轮询时间间隔，无法保障监控实时性的困扰。通过应用性能分析，可通过模拟客户主机访问反应用户在终端对该应用的真实体验，譬如用户对邮件服务器加载页面的打开需要多长时间、是否较正常情况延时，历史HTTP错误/TCP错误数目、该延时情况对多少用户产生影响、影响的比例为多少等真实应用访问体验。可精确到年、月、周、日、时的应用性能监控状态统计，结合该统计信息、服务器状态监控、全网服务器交互/流量监控，可对造成应用访问效果不佳的瓶颈问题进行定位，究竟是带宽挤占、服务器本身性能、应用系统本身设计还是使用用户数据增长等问题导致用户平均访问体验下降。数据库中间件等后台应用组件深入分析Oracle数据库性能分析仅仅通过观察网络来定位系统问题，无法更确切地获知更深层次的原因，因为看不到除流量以外的信息。IT管理者往往希望在出现性能问题的时候，能够定位到是网络问题、应用服务的问题还是后台数据库的问题，深信服APM还提供针对后台数据库的性能监控。Oracle版本支持Oracle9i/10g/11g,OracleRAC10g/11g等版本无插件方式性能监控监控优势提供Oracle处理流程及关键性能指标的友好查看界面可查看实时及历史信息可以与数据库关联的硬件、应用、网络等信息联动，而非局限在数据库性能指标包括：数据库响应时间、当前总用户数、当前活跃用户数、繁忙度柱图、SQL*NET接收速率、SQL*NET发送速率、PGA大小、PGA使用、内存排序率、专用Sever数、共享Sever数、dispatcher繁忙度、任务平均排队时间、redo日志逻辑写速率、redo日志物理写速率、SQL执行速率、闪回日志写入速率、数据逻辑写速率、数据物理写速率、数据逻辑读速率、数据物理读速率、数据直接读速率、归档日志物理写速率、是否开启自动内存管理、SGA大小、RedoBuffer大小、SharedPool大小、BufferCache大小、LargePool大小、JavaPool大小、Redo写入成功率、SQL解析命中率、缓存命中率、死锁数、LGWR/RVWR/DBWR/ARCH进程、数据库大小、重做日志组、归档日志、数据库IO时延等创新优势：深信服APM无需在用户数据库服务器上安装插件，不会对用户当前IT架构造成任何影响。通过Oracle/RAC自身的接口读取相关信息，无风险。用户只需提供一个查看数据库“系统视图”的普通管理员账号即可（例如v$session,v$sysstat这种视图的查询）。当添加正确的Oracle数据库后，系统即可自动识别Oracle版本及相关性能指标。Weblogic中间件性能分析WeblogicServer支持包括EJB、JSB、JMS、JDBC、XML和WML在内的业内多种标准，使Web应用系统的实施更为简单，并且保护了投资，同时也使基于标准的解决方案的开发更加简便。用户除了希望针对WEB做深入解码分析，还希望获知Weblogic的工作状况，深信服APM提供Weblogic性能监控。Weblogic版本支持Weblogic9.0/9.1/9.2/10.0/10.3/11g(10.3.1)等版本无插件性能监控监控优势提供Weblogic处理流程及关键性能指标的友好查看界面可查看实时及历史信息可以与数据库关联的硬件、应用、网络等信息联动，而非局限在数据库性能指标包括：weblogic可用性、响应延迟等状态信息、JVM信息、线程池使用、执行队列列表、等待处理的请求数、JDBC信息、WEB应用列表、会话数、Servlet、EJB应用缓存命中趋势、池的使用率、Bean列表、JTA活动处理数、时间、次数、JMS消息数、等待消息趋势、server详情等创新优势：深信服APM无需在用户WeblogicServer上安装插件，不会对用户当前IT架构造成任何影响。通过Weblogic自身的接口读取相关信息，无风险。用户只需提供一个拥有monitor权限的用户账号即可。当添加正确的WeblogicServer后，系统即可自动识别Weblogic版本及相关性能指标。系统故障定位与预警为了满足IT运维人员对于系统的维护需求，降低维护难度，提供7x24小时不间断性能检测，SNMPTrap、应用响应阀值等实现邮件和短信自动告警，协助故障定位，减少故障恢复时间。管理人员根据告警信息提示，可以快速的解决系统涉及的线路异常、网络异常、主机异常、应用异常、区域异常、磁盘异常等节点故障。自动关联分析支持对网络质量、硬件设备、软件系统、流量分布自动关联分析智能告警支持SNMPTRAP告警、邮件告警、短信告警报表服务支持手工、自动生产PDF、EXCEL等报表自定义告警指定应用、网站、网页持续一分钟(可自定义)无响应，即可自动告警 APM应用系统管理默认告警含系统可用性告警、系统响应缓慢告警、线路流量异常告警、区域网络异常告警、线路网络异常告警、网络攻击告警、区域流量异常告警等信息，并可根据APM设备监控、应用系统监控、流量监控等信息为特定的服务器量身定做自定义告警策略，提高管理的效率及响应及时性。商业智能分析随着互联网逐步从业务工具开始变成组织机构开展业务赖以生存的生产资料，网络及应用系统对于组织业务生产的贡献越来越大。APM产品可以提供用户时段分析、用户地域分析、用户类别分析等数据，让企业决策者清晰了解访问者分布及特点，为管理提供智慧决策依据。商业智能商业智能提供商业智能报表，为业务决策提供数据支撑地域分布支持以直观报表展示访问组织业务的用户来源地域分布用户喜好分析支持用户喜好分析，可统计用户访问喜好热度报表支持报表展现访问用户最关注的URL统计、URL年度分析能够对组织的上网用户进行URL统计分析、热点应用排行分析等针对对外发布的Web应用、网站、网上商城等，商业智能报表根据用户区域分布、用户运营商分布、用户访问时间分布、关注度最高的版本、用户操作系统分布、用户浏览器分布提供详尽的柱状图、饼状图、统计数据等信息，为企业商业规划、系统规划、应用规划、重点策略的调整提供可靠的依据。深信服APM能为您解决以下问题基于不用场景需求，灵活部署下图所示的五种典型场景是我们最常见的，深信服APM可根据用户在此5种不同场景中的需求，灵活部署，以满足用户不同的需求。网络流量分析深信服APM提供多维度的流量可视化，实现包含链路层、传输层、网络层、应用层在内的2-7层流量可视。流量可视全局流量可视，有助于获得流量分布并及时发现异常流量包含链路层、传输层、网络层、应用层的2-7层流量可视多维度分析基于系统、主机、来源、协议、会话、事件多个维度进行分析支持基于IP、端口等对数据包进行分析和流量监视精准应用层识别能够基于应用协议类型进行分析和流量监视能够识别500种以上常见的网络应用匹配用户场景：数据中心对外发布多种业务系统，希望获知用户访问数据中心流量构成希望获知用户出站链路的流量构成希望获知每条线路的流程构成及带宽占用情况专线性能分析专线是端到