Acciones de Marvis: una visión de las operaciones de back-end
Eche un vistazo más de cerca a los factores que Marvis utiliza para identificar problemas clave y categorizarlos como acciones de Marvis.
Marvis analiza su red de forma proactiva en busca de eventos e información procesable. Mediante el uso de datos de estadísticas y eventos, Marvis identifica los problemas que afectan al usuario relacionados con la conectividad por cable, WAN e inalámbrica para experiencias previas y posteriores a la conexión. Al destacar las acciones de alta eficacia y automatizar el análisis de la causa raíz, Marvis ayuda a reducir el tiempo medio de resolución/inocencia (MTTR/MTTI).
Tenga en cuenta que Marvis Actions no reemplaza las alertas. Las alertas se activan en tiempo real a medida que ocurren eventos, por ejemplo, un evento de puerto arriba o abajo. Para obtener información acerca de las alertas, consulte Información general sobre alertas.
Glosario de términos
| Término | Definición |
|---|---|
| Función de entrada de modelo | Las entradas o características que consume el modelo para determinar si se cumple la condición para generar la acción específica. |
| Condiciones de activación | Las condiciones que activan el modelo para crear acciones de Marvis. |
| Tiempo de validación | El tiempo que tarda Marvis en marcar una acción abierta de Marvis como resuelta. Es posible que un usuario haya solucionado el problema. O es posible que los síntomas ya no se observen. |
Acciones de capa 1
| de activación de características de entrada | delmodelo de acción | de Marvis | Tiempo de validación |
|---|---|---|---|
| Cable defectuoso | Estadísticas y eventos de AP, conmutadores o WAN Edge | Cambios de velocidad, errores reportados en puertos, tráfico de enlace de puerto de conmutación activo pero no de paso, y desconexiones y reinicios frecuentes (solo AP) durante el período monitoreado. | 7 días |
Acciones de conectividad
| de activación de características de entrada | delmodelo de acción | de Marvis | Tiempo de validación |
|---|---|---|---|
| Error de autenticación | Clientes cableados e inalámbricos | Desviaciones de la línea de base prevista. El modelo basado en LSTM marca como base los eventos de éxito o error de autenticación en todo el sitio. El modelo considera la gravedad del problema para generar esta acción de Marvis. Cuanto mayor sea la gravedad y la desviación de la línea de base, mayor será la confianza del modelo para generar esta acción dentro de la duración del tiempo observado. |
1 día |
| Error de DHCP | Clientes cableados e inalámbricos | Desviaciones de la línea de base prevista. El modelo basado en LSTM marca como base los eventos de éxito o error del Protocolo de configuración dinámica de host (DHCP) en todo el sitio. El modelo considera la gravedad del problema para generar esta acción de Marvis. Cuanto mayor sea la gravedad y la desviación de la línea de base, mayor será la confianza del modelo para generar esta acción dentro de la duración del tiempo observado. |
1 día |
| Error de ARP | Clientes cableados e inalámbricos | Desviaciones de la línea de base prevista. El modelo basado en LSTM utiliza eventos de éxito o fracaso del Protocolo de resolución de direcciones (ARP) en todo el sitio. El modelo considera la gravedad del problema para generar esta acción de Marvis. Cuanto mayor sea la gravedad y la desviación de la línea de base, mayor será la confianza del modelo para generar esta acción dentro de la duración del tiempo observado. |
1 día |
| Error de DNS | Clientes cableados e inalámbricos | Desviaciones de la línea de base prevista. El modelo basado en LSTM marca como base los eventos de éxito o error del Sistema de nombres de dominio (DNS) en todo el sitio. El modelo considera la gravedad del problema para generar esta acción de Marvis. Cuanto mayor sea la gravedad y la desviación de la línea de base, mayor será la confianza del modelo para generar esta acción dentro de la duración del tiempo observado. |
1 día |
Acciones inalámbricas
| de activación de características de entrada | delmodelo de acción | de Marvis | Tiempo de validación |
|---|---|---|---|
| Sin conexión | Estadísticas de AP | Un punto de acceso o varios puntos de acceso están localmente activos o inactivos (solo pérdida de conectividad en la nube). El modelo se correlaciona para identificar la causa de la caída del AP, es decir, si el problema se debe a una interrupción del conmutador, sitio, región o ISP. Si desea recibir una notificación cuando los dispositivos se desconecten, configure alertas de infraestructura para eventos de actividad o caída del dispositivo y especifique un umbral. |
15 minutos |
| Error en la comprobación de estado | Estadísticas de AP | Los AP o las radios permanecen repetidamente inoperables después de la recuperación automática. |
30 días |
| No conforme | Estadísticas de AP | Diferencia en la versión del firmware en un AP o en varios AP con respecto a la de los ajustes de cumplimiento de versión configurados en Configuración del sitio. |
30 minutos |
| Orificio de cobertura | Estadísticas de AP y clientes | Anomalía en la línea de base del LES causada por RSSI baja repetida reportada por todos los clientes asociados con un AP o múltiples AP en un área de alto impacto. El modelo considera la recurrencia del problema y el conocimiento del patrón marginal en el caso de AP o AP al aire libre ubicados en la entrada o salida del edificio. El modelo considera la fuerza de la anomalía para generar la acción de Marvis para indicar un problema de agujero de cobertura que afecta al usuario. Si el índice de anomalía es fuerte, el modelo genera la acción más rápido que cuando el índice de anomalía es débil. El modelo examina múltiples lotes de datos para identificar puntos de acceso para problemas de agujeros de cobertura. |
7 días |
| Capacidad insuficiente | Estadísticas de AP y clientes | Anomalía en la línea de base causada por PA con restricciones de capacidad repetidas y prolongadas que no son de naturaleza estacional. El modelo factoriza la fuerza de la anomalía para generar la acción de Marvis e indicar un problema de capacidad que afecta al usuario. Si el índice de anomalía es fuerte, el modelo genera la acción más rápido que cuando el índice de anomalía es débil. El modelo examina múltiples lotes de datos para identificar los puntos de acceso por problemas de capacidad. |
7 días |
| Bucle de AP detectado | Eventos de AP | Eventos de reflexión en un AP desencadenados por bucles de red causados por una configuración incorrecta o incorrecta. Los eventos de reflexión ocurren cuando un AP recibe el paquete que envió en la misma VLAN o en una diferente. Los eventos de reflexión se generan casi inmediatamente en eventos del sitio, lo que le permite supervisar estos eventos para realizar un seguimiento basado en estadísticas sin procesar. |
30 minutos |
Acciones cableadas
| de activación de características de entrada | delmodelo de acción | de Marvis | Tiempo de validación |
|---|---|---|---|
| Falta VLAN | Estadísticas del puerto AP | Estadísticas del puerto de enlace ascendente reportadas por un AP que carece de una VLAN. Esta acción correlaciona los datos de dos o más puntos de acceso para determinar si falta una VLAN activa utilizada por los clientes en el puerto de punto de acceso. Esta correlación ayuda a evitar la generación de la acción VLAN faltante si ningún cliente no utiliza una VLAN en todo el sitio. |
30 minutos |
| Negociación incompleta | Estadísticas de puertos de conmutadores individuales | Error de negociación automática notificado en los puertos del conmutador. |
Hasta 60 minutos |
| Desajuste de MTU | Estadísticas de puertos de conmutadores individuales | MTU no coincide entre cualquier puerto de conmutación y los dispositivos conectados. Las estadísticas reportadas indican errores en el puerto. El modelo considera la gravedad y el tiempo para generar la acción de Marvis. Cuanto mayor sea la discordancia de MTU, mayor será la gravedad, lo que resulta en una generación más rápida de la acción de Marvis. |
1 día |
| Bucle detectado | Eventos de puertos de conmutación | Bucle introducido intencionalmente o no en la topología que da como resultado cambios rápidos y repetidos en la topología del Protocolo de árbol de expansión (STP). El modelo usa el evento de cambios de topología STP como una característica de entrada y considera la gravedad y el tiempo. Cuanto mayor sea la frecuencia de los cambios de topología STP en cada período, más rápida será la detección. Alternativamente, un bucle que causa eventos a un ritmo más lento durante más tiempo también desencadena la acción de Marvis. |
30 minutos |
| Aleta de puerto de red | Eventos de puertos de conmutación (solo puerto troncal) | Rebote de puerto coherente en un puerto configurado como puerto troncal. El modelo considera la frecuencia y el tiempo. Cuanto mayor sea la frecuencia de las aletas de puerto, mayor será la gravedad del problema. Para las aletas de puerto lentas que se producen durante un período más largo, el modelo detecta las aletas de puerto en un par de horas o unos pocos días. |
30 minutos |
| CPU alta | Estadísticas del chasis del conmutador | Uso promedio de la CPU consistentemente superior al 90% durante la duración monitoreada. El modelo considera la frecuencia y la duración del problema. Las estadísticas que muestran un alto uso promedio de la CPU para cada muestra del conjunto de datos supervisado indican un grave problema que afecta al usuario. El modelo genera la acción de Marvis rápidamente para este problema. |
30 minutos |
| Puerto atascado | Estadísticas del puerto del conmutador | Desviación repentina de los patrones de tráfico de los dispositivos finales en los puertos de acceso. El modelo no genera falsos positivos para patrones de tráfico estacionales recurrentes. También considera los patrones de tráfico a través de puntos finales similares para la inferencia. . Esta acción de Marvis es autónoma. Cuando se detecta un problema de puerto atascado , el puerto rebota automáticamente para volver a poner en funcionamiento el punto de conexión. El modelo genera la acción solo si el extremo no vuelve a funcionar después de un rebote automático de puertos o si el problema de puerto atascado se repite varias veces. . |
30 minutos |
| Anomalía de tráfico | Estadísticas del puerto del conmutador | Cualquier desviación en los contadores de tramas de difusión y multidifusión de los patrones de tráfico previstos. El modelo basa los patrones de tráfico en cada conmutador o puerto de conmutación cada dos días. Esta acción utiliza el modelo basado en memoria a corto plazo (LSTM). El modelo genera esta acción de Marvis en función de la gravedad del problema. Para desviaciones fuertes que duran toda la duración monitoreada, el modelo genera la acción rápidamente. El modelo podría tardar más en generar acciones para desviaciones menores y duraderas. |
1 día |
| Puerto mal configurado | Estadísticas del puerto del conmutador de enlace ascendente | MTU, VLAN, modo o dúplex no coinciden entre los puertos de enlace ascendente identificados. El modelo identifica discrepancias en las conexiones conmutador-conmutador en el borde. |
60 minutos |
Acciones de WAN
| de activación de características de entrada | delmodelo de acción | de Marvis | Tiempo de validación |
|---|---|---|---|
| Desajuste de MTU | Estadísticas del borde de WAN | MTU no coincide entre un puerto de borde WAN y los dispositivos conectados. El modelo examina las estadísticas reportadas que indican ciertos errores en el puerto. El modelo considera la gravedad y el tiempo para generar esta acción de Marvis. Cuanto mayor sea la discordancia de MTU, mayor será la gravedad, y la acción se genera dentro de un período de tiempo específico. |
30 minutos |
| Enlace ascendente WAN defectuoso | Puertos de enlace ascendente en bordes WAN | Alta latencia, caídas de paquetes, congestión y errores del servicio de red, como ARP o DHCP, notificados en las estadísticas del puerto WAN, lo que indica un cambio en el comportamiento de línea base. Los problemas determinados como problemas de gravedad alta se enumeran antes que los problemas de gravedad baja. |
1 día |
| Ruta VPN hacia abajo | Túneles VPN o rutas de pares | Problema de ruta de acceso del mismo nivel en cualquiera de las siguientes rutas:
Suscríbase a la alerta de monitoreo de puertos críticos para recibir alertas sin procesar si su requisito es recibir alertas en cada escenario de puerto arriba o abajo. Los problemas determinados como problemas de gravedad alta se enumeran antes que los problemas de gravedad baja. |
1 hora |
| No conforme | Firewall serie SRX | Diferencia en la versión de Junos OS en las particiones principal y de respaldo. |
30 minutos |
Otras acciones de Marvis
| de activación de características de entrada | delmodelo de acción | de Marvis | Tiempo de validación |
|---|---|---|---|
| Clientes que fallan persistentemente | Clientes cableados e inalámbricos | Clientes que continuamente fallan al autenticarse y conectarse a la red. Las fallas persistentes se observan continuamente durante el período de tiempo monitoreado. El tiempo de activación depende del sitio, es decir, del número de clientes y de los errores simultáneos correlacionados. |
60 minutos |
| Aleta de puerto de acceso | Puertos de acceso en un conmutador | Eventos coherentes de transferencia hacia arriba o hacia abajo para un puerto configurado como puerto de acceso. El modelo considera la frecuencia y la duración del problema. Cuanto mayor sea la frecuencia de las aletas de puerto, mayor será la gravedad del problema. Para las aletas de puerto lentas que se producen durante un período más largo, el modelo detecta las aletas de puerto en un par de horas o unos pocos días. |
30 minutos |