Marvis Actions: una visión de las operaciones de back-end
Eche un vistazo más de cerca a los factores que Marvis utiliza para identificar problemas clave y categorizarlos como acciones de Marvis.
Marvis escanea su red de manera proactiva en busca de eventos e información procesable. Con el uso de datos de estadísticas y eventos, Marvis identifica los problemas que afectan al usuario relacionados con la conectividad por cable, WAN e inalámbrica, tanto para las experiencias previas como posteriores a la conexión. Al destacar las acciones de alta eficacia y automatizar el análisis de la causa raíz, Marvis ayuda a reducir el tiempo promedio de resolución/inocencia (MTTR/MTTI).
Tenga en cuenta que Marvis Actions no reemplaza a las alertas. Las alertas se activan en tiempo real cuando ocurren eventos, por ejemplo, un evento de puerto activo o inactivo. Para obtener información acerca de las alertas, consulte Información general sobre alertas.
Glosario de términos
| Definición de término | |
|---|---|
| Función de entrada de modelo | Las entradas o entidades que consume el modelo para determinar si se cumple la condición para generar la acción específica. |
| Condiciones de activación | Las condiciones que activan el modelo para crear acciones de Marvis. |
| Tiempo de validación | El tiempo que tardó Marvis en marcar una acción abierta de Marvis como resuelta. Es posible que un usuario haya solucionado el problema. O es posible que los síntomas ya no se observen. |
Acciones de capa 1
| activación | de la función de entrada del modelo | de acción de Marvis | Tiempo de validación |
|---|---|---|---|
| Cable defectuoso | Estadísticas y eventos de borde de AP, conmutador o WAN | Cambios de velocidad, errores reportados en los puertos, vínculo del puerto de conmutación tráfico activo pero que no pasa, y desconexiones y reinicios frecuentes (solo AP) durante el período monitoreado. | 7 días |
Acciones de conectividad
| activación | de la función de entrada del modelo | de acción de Marvis | Tiempo de validación |
|---|---|---|---|
| Error de autenticación | Clientes por cable e inalámbricos | Desviaciones de la línea de base predicha. El modelo basado en LSTM basa los eventos de éxito o fracaso de la autenticación en todo el sitio. El modelo considera la gravedad del problema para generar esta acción de Marvis. Cuanto mayor sea la gravedad y la desviación de la línea de base, mayor será la confianza del modelo para generar esta acción dentro de la duración de tiempo observada. |
1 día |
| Error de DHCP | Clientes por cable e inalámbricos | Desviaciones de la línea de base predicha. El modelo basado en LSTM basa los eventos de éxito o fracaso del Protocolo de configuración dinámica de host (DHCP) en todo el sitio. El modelo considera la gravedad del problema para generar esta acción de Marvis. Cuanto mayor sea la gravedad y la desviación de la línea de base, mayor será la confianza del modelo para generar esta acción dentro de la duración de tiempo observada. |
1 día |
| Fallo de ARP | Clientes por cable e inalámbricos | Desviaciones de la línea de base predicha. El modelo basado en LSTM basa los eventos de éxito o fracaso del Protocolo de resolución de direcciones (ARP) en todo el sitio. El modelo considera la gravedad del problema para generar esta acción de Marvis. Cuanto mayor sea la gravedad y la desviación de la línea de base, mayor será la confianza del modelo para generar esta acción dentro de la duración de tiempo observada. |
1 día |
| Fallo de DNS | Clientes por cable e inalámbricos | Desviaciones de la línea de base predicha. El modelo basado en LSTM basa los eventos de éxito o fracaso del Sistema de nombres de dominio (DNS) en todo el sitio. El modelo considera la gravedad del problema para generar esta acción de Marvis. Cuanto mayor sea la gravedad y la desviación de la línea de base, mayor será la confianza del modelo para generar esta acción dentro de la duración de tiempo observada. |
1 día |
Acciones inalámbricas
| activación | de la función de entrada del modelo | de acción de Marvis | Tiempo de validación |
|---|---|---|---|
| Sin conexión | Estadísticas de AP | Uno o varios AP están localmente activos o inactivos (solo pérdida de conectividad de la nube). El modelo se correlaciona para identificar la causa de que el AP esté inactivo, es decir, si el problema se debe a una interrupción en el conmutador, el sitio, la región o el ISP. Si desea recibir notificaciones cuando los dispositivos se desconecten, configure alertas de infraestructura para eventos de dispositivo activo o inactivo y especifique un umbral. |
15 minutos |
| Error en la comprobación de estado | Estadísticas de AP | Los AP o las radios permanecen inoperables repetidamente después de la recuperación automática. |
30 días |
| Incumplimiento | Estadísticas de AP | Diferencia en la versión del firmware en un AP o en varios AP con respecto a la de la configuración de cumplimiento de versiones configurada en la configuración del sitio. |
30 minutos |
| Agujero de cobertura | Estadísticas de clientes y AP | Anomalía en la línea de base de la SLE causada por un RSSI bajo repetido informado por todos los clientes asociados con un AP o varios AP en un área de alto impacto. El modelo considera la recurrencia del problema y la conciencia del patrón de franjas en el caso de puntos de acceso al aire libre o puntos de acceso ubicados en la entrada o salida del edificio. El modelo considera la fuerza de la anomalía para generar la acción de Marvis para indicar un problema de agujero de cobertura que afecta al usuario. Si el índice de anomalías es fuerte, el modelo genera la acción más rápido que cuando el índice de anomalías es débil. El modelo examina múltiples lotes de datos para identificar puntos de acceso para problemas de agujeros de cobertura. |
7 días |
| Capacidad insuficiente | Estadísticas de clientes y AP | Anomalía en la línea de base causada por AP con restricciones de capacidad repetidas y prolongadas que no son de naturaleza estacional. El modelo factoriza la intensidad de la anomalía para generar la acción de Marvis e indicar un problema de capacidad que afecta al usuario. Si el índice de anomalías es fuerte, el modelo genera la acción más rápido que cuando el índice de anomalías es débil. El modelo examina múltiples lotes de datos para identificar puntos de acceso para problemas de capacidad. |
7 días |
| Se detectó un bucle AP | Eventos de AP | Eventos de reflexión en un AP desencadenados por bucles de red causados por una mala configuración o una configuración incorrecta. Los eventos de reflexión se producen cuando un AP recibe el paquete que envió en la misma VLAN o en otra. Los eventos de reflexión se generan casi inmediatamente en eventos del sitio, lo que le permite supervisar estos eventos para un seguimiento basado en estadísticas sin procesar. |
30 minutos |
Acciones por cable
| activación | de la función de entrada del modelo | de acción de Marvis | Tiempo de validación |
|---|---|---|---|
| Falta de VLAN | Estadísticas de puertos AP | Estadísticas de puerto de enlace ascendente que informa un AP que falta una VLAN. Esta acción correlaciona los datos de dos o más AP para determinar si falta una VLAN activa utilizada por los clientes en el puerto AP. Esta correlación ayuda a evitar la generación de la acción VLAN faltante si ningún cliente en todo el sitio no utiliza una VLAN. |
30 minutos |
| Negociación incompleta | Estadísticas de puertos de conmutación individuales | Se informa de un error de negociación automática en los puertos del conmutador. |
Hasta 60 minutos |
| discordancia de UMT | Estadísticas de puertos de conmutación individuales | discordancia de MTU entre cualquier puerto de conmutación y los dispositivos conectados. Las estadísticas notificadas indican errores en el puerto. El modelo considera la gravedad y el tiempo para generar la acción de Marvis. Cuanto mayor sea la discordancia de MTU, mayor será la gravedad, lo que resulta en una generación más rápida de la acción de Marvis. |
1 día |
| Bucle detectado | Eventos del puerto de conmutación | Un bucle introducido intencionalmente o no intencionalmente en la topología que da como resultado cambios de topología rápidos y repetidos del Protocolo de árbol de expansión (STP). El modelo utiliza el evento de cambios de topología STP como una característica de entrada y considera la gravedad y el tiempo. Cuanto mayor sea la frecuencia de los cambios de topología STP en cada período, más rápida será la detección. Alternativamente, un bucle que causa eventos a un ritmo más lento durante más tiempo también activa la acción de Marvis. |
30 minutos |
| Movimiento de puerto de red | Eventos de puertos de conmutación (solo puerto troncal) | Rebote de puerto consistente en un puerto configurado como puerto de troncalización. El modelo considera la frecuencia y el tiempo. Cuanto mayor sea la frecuencia de las oscilaciones de puertos, mayor será la gravedad del problema. Para las oscilaciones de puerto lentas que ocurren durante más tiempo, el modelo detecta las oscilaciones de puerto en un par de horas o unos pocos días. |
30 minutos |
| CPU alta | Estadísticas de chasis de conmutador | Uso medio de la CPU consistentemente superior al 90 % durante la duración monitoreada. El modelo considera la frecuencia y la duración del problema. Las estadísticas que muestran un uso promedio alto de la CPU para cada muestra del conjunto de datos monitoreado indican un problema grave que afecta al usuario. El modelo genera la acción de Marvis rápidamente para tal problema. |
30 minutos |
| Puerto bloqueado | Estadísticas de puertos de conmutación | Desviación repentina de los patrones de tráfico de los dispositivos finales en los puertos de acceso. El modelo no genera falsos positivos para patrones de tráfico estacionales recurrentes. También considera los patrones de tráfico a través de puntos de conexión similares para inferencia. . Esta acción de Marvis es autónoma. Cuando se detecta un problema de puerto bloqueado , el puerto rebota automáticamente para volver a poner en funcionamiento el punto de conexión. El modelo genera la acción solo si el punto de conexión no puede volver a funcionar después de un rebote automático de puerto o si el problema de puerto bloqueado se repite varias veces. . |
30 minutos |
| Anomalía de tráfico | Estadísticas de puertos de conmutación | Cualquier desviación en los contadores de tramas de difusión y multidifusión de los patrones de tráfico previstos. El modelo marca los patrones de tráfico en cada conmutador o puerto de conmutación cada dos días. Esta acción utiliza el modelo basado en la memoria a corto y largo plazo (LSTM). El modelo genera esta acción de Marvis en función de la gravedad del problema. Para desviaciones fuertes que duran toda la duración monitoreada, el modelo genera la acción rápidamente. El modelo puede tardar más en generar acciones para desviaciones menores y duraderas. |
1 día |
| Puerto mal configurado | Estadísticas del puerto del conmutador de enlace ascendente | UMT, VLAN, modo o discordancia dúplex entre los puertos de enlace ascendente identificados. El modelo identifica discrepancias en las conexiones entre conmutadores en el borde. |
60 minutos |
Acciones de la WAN
| activación | de la función de entrada del modelo | de acción de Marvis | Tiempo de validación |
|---|---|---|---|
| discordancia de UMT | Estadísticas de borde de WAN | discordancia de MTU entre un puerto perimetral de WAN y los dispositivos conectados. El modelo examina las estadísticas notificadas que indican ciertos errores en el puerto. El modelo considera la gravedad y el tiempo para generar esta acción de Marvis. Cuanto mayor sea la discordancia de MTU, mayor será la gravedad y la acción se generará dentro de una duración de tiempo específica. |
30 minutos |
| Enlace ascendente de WAN defectuoso | Puertos de enlace ascendente en bordes de WAN | Alta latencia, caídas de paquetes, congestión y fallas de servicio de red como ARP o DHCP reportadas en las estadísticas de puertos WAN, lo que indica un cambio en el comportamiento de referencia. Los problemas determinados como problemas de alta gravedad se enumeran antes que los problemas de baja gravedad. |
1 día |
| Ruta de VPN inactiva | Túneles VPN o rutas de pares | Problema de ruta de par inactiva en cualquiera de las siguientes rutas:
Suscríbase a la alerta de monitoreo de puertos críticos para alertas sin procesar si su requisito es recibir alertas en cada escenario de puerto activo o inactivo. Los problemas determinados como problemas de alta gravedad se enumeran antes que los problemas de baja gravedad. |
1 hora |
| Incumplimiento | Firewall de la serie SRX | Diferencia en la versión de Junos OS en las particiones principal y de copia de seguridad. |
30 minutos |
Otras Marvis Actions
| activación | de la función de entrada del modelo | de acción de Marvis | Tiempo de validación |
|---|---|---|---|
| Clientes con fallas constantes | Clientes por cable e inalámbricos | Clientes que continuamente fallan al autenticarse y conectarse a la red. Se observan fallas persistentes de forma continua durante el período de tiempo monitoreado. El tiempo de activación depende del sitio, es decir, del número de clientes y de los errores simultáneos correlacionados. |
60 minutos |
| Solapa del puerto de acceso | Puertos de acceso en un conmutador | Eventos coherentes de puerto activo o descendente para un puerto configurado como puerto de acceso. El modelo considera la frecuencia y la duración del problema. Cuanto mayor sea la frecuencia de las oscilaciones de puertos, mayor será la gravedad del problema. Para las oscilaciones de puerto lentas que ocurren durante más tiempo, el modelo detecta las oscilaciones de puerto en un par de horas o unos pocos días. |
30 minutos |