NEXThink im Test: Performance-, Security- und Compliance-Monitoring für Clients

NEXThink, von Forrester der dritten, neuen Gruppe zugeordnet, tritt an, um diese Lücke mit einem umfassenden Tool für die Erfassung, Überwachung und Analyse der Unternehmens-Desktops und ihres aktuellen Zustands zu schließen.

Das Interesse an EUM-Tools nimmt weiter zu, denn heutige Desktop-Umgebungen werden immer komplexer und schwieriger zu überwachen. Schuld daran sind die zunehmende Abhängigkeit von Netzwerk-Services sowie die wachsende Zahl an Applikationen und Cloud-Diensten. Zudem laufen immer mehr Desktops virtualisiert im Rechenzentrum, was oftmals schwer zu analysierende Performance-Probleme mit sich bringt.

Analyse zahlreicher Aspekte

An dieser Stelle setzt NEXThink v4 an. Anspruch des Schweizer Startups ist, die Qualität der Desktop-Umgebung zu steigern und durch die Analyse von Systemdaten die beteiligten Prozesse und Projekte in der IT zu unterstützen. Das Tool nimmt den Zustand des Endgeräts selbst mit seinen Auswirkungen auf den Anwender unter die Lupe und spricht zentrale Fragen an:

• Performance Monitoring: Wo entstehen Leistungs-Engpässe auf dem Desktop?
• Wie viele und welche Anwendungsfehler und Störungen treten auf?
• Welche Sicherheitsrisiken entstehen und welche Auswirkungen haben sie?
• Compliance: Werden die gesetzlichen und internen Vorgaben eingehalten? Wo weichen Desktop-Systeme vom Standard ab?
• Welche Rechner und welche Software können auf Windows 7 migriert werden?
• Release-Management: Sind die richtigen Versionen einer Software installiert?
• IT Infrastruktur Mapping: Welche Desktop-Systeme sind welchem Netzwerkbereich zugeordnet?
• IT Service Management: Wo werden Services nicht zufriedenstellend erbracht?
• Druckkosten-Optimierung: Welche Drucker sind wie stark ausgelastet und wo können Kosten eingespart werden?
• Ist der Zugriff auf Geschäftsanwendungen an den Remote-Standorten möglich?
• Wie ist die derzeitige Nutzererfahrung für die mobilen Mitarbeiter?

Die Tools bieten neben einer Bestandsaufnahme der Endgeräte sowohl ein Alerting als auch Ad-hoc-Analysen, um auftretenden Störungen schnell auf den Grund zu gehen. Ein Web-Frontend ermöglicht dabei Administratoren oder Abteilungen, aktuelle Reports und Auswertungen zu einzelnen Aspekten wie Auslastung, Verfügbarkeit oder Sicherheit abzurufen. NEXThink bietet sich damit als umfassendes Tool für den IT-Helpdesk und das Service Management an für Troubleshooting und gezielte Anwender-Unterstützung.

Komponenten und Architektur

Server Engine

Die NEXThink-Engine ist die Datenzentrale der Lösung. Sie dient dazu, alle Geräte- und User-Informationen zu speichern, aufzubereiten und für Analysen bereitzustellen. Um die Skalierbarkeit auch bei tausenden Endgeräten zu gewährleisten, können mehrere Engines parallel auf verschiedenen Servern betrieben werden. Als Faustregel gilt dabei, dass pro etwa 5000 Endgeräte eine Engine benötigt wird. Die separat zu installierende Portal-Komponente führt die Daten der verschiedenen Engines zusammen.

Die Sever-Komponente wird als Linux-Appliance geliefert. Das zugrundeliegende CentOS 6.2 kann dabei wahlweise direkt auf die Server-Hardware oder als virtuelle Maschine installiert werden. Der Einrichtungsvorgang ist durch einen Assistenten stark vereinfacht: Der Administrator gibt lediglich die Netzwerkdaten und das root-Passwort an und wählt aus, ob Engine und/oder Portal installiert werden sollen. Der Rest erfolgt dann innerhalb weniger Minuten automatisch. Zu bemängeln ist, dass die Netzwerkparameter hierbei nicht überprüft werden und auch keine DHCP-Option verfügbar ist.

Im Anschluss an das Setup kann die Engine direkt über die NEXThink Console, eine Web-GUI, unter der URL http://ipadresse:99/ erreicht werden (Abbildung 2). Der Administrator verwaltet darüber Netzwerkparameter, Anbindung an das Active Directory für Ermittlung der User-Daten, SMTP-Anbindung der Engine, Administrator-Zugänge sowie den Status der einzelnen Engines. Über die Console kann auch die Client-Komponente Collector heruntergeladen werden.

Collector fungiert als Agent

Beim Collector handelt es sich um ein kleines, Agent-ähnliche Software für Windows ab Version 2000. Es sammelt Ressourcen-Informationen auf dem Endgerät und übermittelt diese an die zentrale NEXThink Engine.

Der Collector arbeitet dabei auf Treiberebene, ist also kein Agent im herkömmlichen Sinne. Er kann manuell als etwa 500 KB kleines Windows-Paket installiert oder über eine Software-Verteilung ausgerollt werden. Der Hersteller gibt an, dass der Agent die CPU und den RAM nur geringfügig belastet und der Netzwerk-Traffic keine nennenswerte Größe erreicht. Da es sich um eine Kernel-nahe und damit systemkritische Komponente handelt, sorgt der Crash Guard für eine automatische Deaktivierung des Agenten, falls er wiederholt abstürzen sollte.

Für Umgebungen, in denen keine Software-Verteilung verfügbar ist, bietet NEXThink über den Finder die Möglichkeit, den Collector automatisch zu verteilen. Hierzu wird entweder über die Anbindung an das Active Directory eine Liste von Zielgeräten generiert und der Zugang geöffnet. Oder es kann eine CSV-Datei mit IP-Adressen oder Hostnamen der Geräte eingelesen und das Programm sodann automatisch installieren. NEXThink unterstützt die Installation auch in VDI-Umgebungen aller namhaften Hersteller wie Citrix und VMware. Für das automatische Update der Collector-Komponente auf den Endgeräten ist zusätzlich der Updater zu installieren.

Auf dem Endgerät werden keine Berechnungen oder Transformationen vorgenommen, sondern alle gesammelten Daten werden direkt an die Engine geschickt und dort aufbereitet, so dass sie direkt für Analysen zur Verfügung stehen. NEXThink betont, dass keine Nutzerprofile erstellt werden und kein Einblick in Benutzerdaten genommen wird, sondern lediglich die Nutzung von Ressourcen zentral gesammelt und analysierbar gemacht wird.

Um unterschiedlichen Ansprüchen an den Datenschutz zu genügen, kennt NEXThink drei Anonymisierungsstufen: Bei der höchsten Anonymisierung wird zum jeweiligen Gerät und Nutzer nur die interne NEXThink ID gespeichert und angezeigt. In der laxesten Stufe werden neben der Windows SID auch der Username und der Rechnername gespeichert.

Finder wertet aus

Der Finder ist die zentrale Auswertungskomponente der NEXThink-Lösung. Das Windows-Programm verbindet sich zur NEXThink Engine und ermöglicht in Echtzeit Analysen aller gesammelten Daten. Dort kann der Administrator auch jederzeit den Zustand der Collector-Gemeinde überwachen: Auf wie vielen Rechnern ist der Agent installiert, wo müssen noch Updates vorgenommen werden, welche PC lassen sich ggf. nicht managen.

Die sogenannten Investigations erlauben dabei eine zielgenaue interaktive Analyse bestimmter Probleme, z.B. welche Geräte auffällige Netzwerkaktivitäten aufweisen, welche PCs besonders lange Boot-Zeiten haben oder auf welche Rechnern schon länger kein Update der Antivirensignaturen eingespielt wurden. Der Administrator kann eigene Investigations für bestimmte Probleme selbst erstellen und kategorisieren oder diese von externen Quellen importieren.

Die Ergebnisse lassen sich dabei weiter durch Drilldown in zusätzliche Informationen analysieren, z.B. welche Events, Objekte oder Applikationen beteiligt oder welche Geräte oder Netzwerkkomponenten betroffen waren. Zudem kann der Finder den betreffenden Netzwerk-Verkehr zur jeweiligen Fragestellung visualisieren und einzelne Knoten per Drilldown weiter aufschlüsseln. Interessant ist dabei auch die Möglichkeit, Vergleichsübersichten zu erstellen. So lässt sich z.B. mit mehreren Klicks eine Übersicht über alle PCs mit der gleichen RAM-Ausstattung oder durchschnittlicher CPU-Auslastung erstellen.

Neben selbst definierten Alerts, welche auf der Finder-Startseite aktuell und historisch dargestellt werden, können IT-Verantwortliche auch ihre netzwerkbasierten Services definieren und kontinuierlich auswerten. NEXThink überwacht dann fortlaufend die mit dem Service in Verbindung stehenden Netzwerkaktivitäten und erlaubt einen Blick in die jeweiligen Endgeräte, Applikationen und bewegten Datenmengen. Auf diese Weise können Fehler in der Kommunikation, Überlastungssituationen und Nutzeraktivitäten überwacht und ad hoc erkannt werden.

Beispiel Exchange: Anhand der Service-Überwachung kann der Administrator Verbindungsabbrüche sowie Downtimes von Clients in Bezug auf den Service erkennen. Über einen Drilldown kann er dann feststellen, welche Aktivitäten bei Einsetzen dieser Probleme erfolgten, wie z.B. das Einspielen von Software-Updates oder Patches im Zusammenhang mit dem Service, z.B. für MS Office oder Outlook, um so die Fehlerursache einzugrenzen und deren Behebung gezielt in die Wege leiten zu können.

Library mit vordefinierten Analysen

Die Library unterstützt den Finder-Anwender mit vorgefertigten Analysen und Templates. Diese lassen sich mit einem Klick im Finder installieren. Dabei werden verschiedenste Themenbereiche abgedeckt, von Performance über Compliance bis hin zu Security, also etwa das Aufdecken von infizierten Endgeräten oder das Auffinden und Auflisten aller Geräte, welche (noch) nicht tauglich sind für eine Windows-7-Migration. Für VDI-Migrationen interessant: Es gibt Szenarien zur Vorher/Nachher-Analyse, um die Auswirkungen der Virtualisierung zu erkennen.

Portal

Das NEXThink Portal ist eine Web-Plattform, über welche im Unternehmen alle relevanten Analysedaten sowie Reports zielgruppengenau bereitgestellt und verteilt werden können. Auf Basis von Rollen und Unternehmenshierarchien – z.B. Abteilungen oder geographischen Regionen – können alle wesentlichen Kennzahlen entweder als interaktive Widgets auf einem Dashboard und/oder als Report per Mail bereitgestellt werden.

Das Portal übernimmt dabei die Rolle der zentralen Datenaggregation: Alle 24 Stunden werden automatisch die Daten aller beteiligten Engines eingesammelt und aufbereitet, so dass die Auswertungen im Tagesrhythmus auf konsolidierte Daten aus dem gesamten Netzwerk zugreifen können.

Einsatz von NEXThink anhand von Beispielen

User-Support bei schlechter Client-Performance

Ein Anwender meldet, dass sein Computer wiederholt zu langsam läuft. Der NEXThink Administrator kann nun im Finder über den Usernamen oder den Computernamen in die aktuellen und historischen Daten des Endgeräts hinein zoomen und dessen Hardwareausstattung prüfen. Über eine vergleichende Analyse kann er die Auslastungsdaten, die Zeiten für Boot- und Login-Vorgang mit denen anderer Rechner im Netzwerk vergleichen, um die Aussagen des Anwenders zu prüfen und die Ursachen weiter einzugrenzen.

Können diese anhand der ermittelten Daten beispielsweise mit sehr hoher Speicher-Auslastung in Verbindung gebracht werden, kann direkt der Rückschluss auf zu wenig Arbeitsspeicher im Endgerät gezogen werden. Um solche Probleme auch bei anderen Geräten bzw. Anwendern proaktiv erkennen zu können, definiert der Sysadmin nun einen entsprechenden Alert. Er generiert dafür eine eigene Kategorie für alle Rechner mit derselben (geringen) Menge an RAM, um diese gemeinsam zu betrachten und auszuwerten. Der Alert informiert die betreffende Abteilung per Mail, falls bei weiteren Maschinen die jeweilige Bedingung wahr wird. Zudem können die Alarme auch an Incident-Management-Systeme weitergeleitet werden.

Szenario: Drucker-Analyse

Mit dem Finder lassen sich Fragen nach der Druckernutzung beantworten: Welche Drucker im Netzwerk sind die aktivsten (Nutzungsdauer, Anzahl gedruckter Seiten), wie werden sie genutzt, was wird jeweils auf ihnen gedruckt. Dabei kann nach lokalen Druckern, Netzwerkdruckern, und an Servern angeschlossenen SMB-Druckern differenziert werden. Drilldown-Analysen im Hinblick auf druckende Applikation, Farbe, Druckqualität dienen der Ermittlung der tatsächlichen Anforderungen der Anwender.

Anhand solcher Analysen können Maßnahmen zur wirtschaftlicheren Nutzung der Drucker vorgenommen werden: Welche Drucker werden kaum genutzt und können gekündigt oder abgeschafft werden? Welche Drucker werden unwirtschaftlich genutzt, z.B. Ausdrucke auf Farbdruckern, obwohl die Drucke viel wirtschaftlicher in Schwarzweiß gedruckt werden könnten.

Szenario: Spammer im eigenen Netzwerk

Wird das Unternehmen Opfer einer netzinternen Spammer-Attacke, was sich etwa im öffentlichen Blacklisting des Mail-Servers äußert, so kann der NEXThink-Admin in mehreren Schritten Ursache und Übeltäter aufspüren. Zunächst erstellt er eine Investigation, welche den gesamten ausgehenden Traffic über die Mail-Ports zeigt. Dabei muss er nicht alle Mailportnummern zusammenstellen, sondern kann direkt die Kategorie "Mail Ports" wählen und erhält damit einen Überblick über sämtliche Mailaktivitäten im Netzwerk, z.B. eingegrenzt auf den ausgehenden Datenverkehr der letzten 48 Stunden.

Die Ausgabe des Reports definiert er dabei so, dass alle beteiligten Mailprogramme gezeigt werden. Tauchen in dieser Liste neben den bekannten Applikations-Binaries wie z.B. outlook.exe unbekannte oder gar verdächtige Programme auf, kann der Administrator diese gezielt auf ihre tatsächliche Aktivität untersuchen und den davon ausgehenden Netzwerkverkehr auch kartographisch darstellen.

Mit einem weiteren Klick kann der Administrator die Geräte ermitteln, auf denen das betreffende Programm zuletzt aktiv war, um dann anhand von historischen Daten den Verlauf der Infektion zu erkennen. Mit einem weiteren Befehl im NEXThink Finder kann er – vorausgesetzt die entsprechende Schnittstelle wurde eingerichtet – Microsoft SCCM anweisen, die Deinstallation der Schadsoftware vollautomatisch auf allen betreffenden Desktops durchzuführen.

Fazit

NEXThink ist ein ausgereiftes, sinnvolles Werkzeug, welches die IT-Administration effektiv dabei unterstützen kann, einen hohen Service Level bei den Anwendern zu realisieren. Es besticht durch seine Fähigkeit, Ad-Hoc Analysen mit Echtzeitdaten aller Desktops durchzuführen und damit jederzeit einen aktuellen Einblick in das Geschehen der Endgeräte zu gewinnen. Damit ist es eine ideale Lösung für proaktives Troubleshooting im Helpdesk-Umfeld, aber auch für fortlaufende Überwachung von SLAs sowie Sicherheitsrichtlinien. Als solche ersetzt es nicht bestehende Monitoring-Lösungen, sondern ergänzt diese um eine Sicht der Anwender und PCs bzw. Desktops.

Installation und Handling sind gut gelöst, der Appliance-Charakter der Server-Komponente sorgt für geringen Aufwand, der Collector lässt sich über gängige Tools einfach ausrollen und belastet Rechner und Netzwerk nicht spürbar. Ein gewisser Nachteil ist dabei im Skalierungsansatz zu sehen: pro 5000 User muss eine separate Engine installiert und jeweils als (virtueller) Server betrieben werden. Neben dem zusätzlichen Verwaltungsaufwand für jeden weiteren Server entsteht eine Begrenzung der Aktivitäten im Finder, da dieser sich immer nur mit jeweils einer Engine verbinden kann, um Analysen durchzuführen.

Die Technik ist derzeit noch beschränkt auf Windows-Geräte. Die Unterstützung für Smartphones sowie Linux-PC ist jedoch in Vorbereitung.

IT-Abteilungen, die NEXThink einführen, müssen damit rechnen, dass der Betriebsrat auf den Plan gerufen wird. Die Schweizer sagen hierzu sehr deutlich, dass keine personenbezogenen Daten erhoben werden. In Verbindung mit den Möglichkeiten zur Anonymisierung wird nach den Erfahrungen des Herstellers daher in den meisten Fällen eine Regelung gefunden, die für alle Seiten tragbar ist.

Lizenzen und Preise

Die Software muss pro überwachtes Endgerät lizenziert werden. Preise wurden vom Hersteller nicht genannt. Auf der Website des Anbieters findet sich eine kostenlose Testlizenz zum Download.

Systemvoraussetzungen

NEXThink Engine: Dedizierter oder virtueller Server mit mind. 2 GB RAM und 20 GB Festplatte, 64Bit CPU. Je zirka 5000 überwachte Endgeräte wird ein separater Engine-Server benötigt.

NEXThink Portal: Wie Engine, jedoch mehr Plattenplatz.

NEXThink Collector (Agent-Software für den Desktop): Windows 2000 SP4, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 – jeweils alle 32- und 64-Bit-Editionen.