Важко дати конкретні відповіді, оскільки 90% цієї роботи - це досвід, який вчить, де шукати проблему, а інші 90% знають, де шукати в Google, щоб отримати підказки, з чого почати.
Зазвичай я намагаюся з паперовими пакетами, наприклад, змусити клієнта продемонструвати проблему (в основному, щоб виключити проблеми з пальцями та будь-які проблеми, які клієнт, можливо, описує свою проблему), потім намагаюся дублювати проблему на іншому комп'ютері. Це часто дає вам зрозуміти, де шукати.
Не забувайте про виправлену проблему перезавантаження, особливо для систем Windows, навіть сьогодні. Раніше це було настільки багато, що я б запитав людей "Ви перезавантажили? Ну, спробуйте це, і повідомте мені, якщо проблема не зникне" - це вирішило дуже великий відсоток питань, про які я задавався.
Проблеми з вирішенням DNS та основне підключення часто є також низько висячими фруктами (ACL на маршрутизаторах, повітряні проміжки в мережі, пінг / traceroutes / mtrs на віддалені сайти тощо).
Що стосується служб, які ви безпосередньо контролюєте, запуск нагіосів або щось таке, щоб переконатися, що служба фактично працює, часто може викликати усунення проблем, перш ніж клієнти розповідуть вам про них. Ви, ймовірно, також хочете проводити збір статистики безпосередньо через мунін або щось подібне, або через SNMP на щось на зразок кактусів.
Зазвичай я намагаюся, щоб кактуси протистояли принаймні всім основним комутаторам і брандмауерам; де це можливо, я запускаю кактуси проти всього, що можу. У цих випадках я зазвичай шукаю такі речі, як кількість помилок у порту чи надмірний трафік. Графіки брандмауера з деяких пристроїв можуть показувати використання CPU та одночасні сеанси; ви дізнаєтеся, з яких порогів у вашого брандмауера починаються проблеми.
Ваш брандмауер може мати можливість увійти до пристрою syslog; якщо так, запишіть все, що можете, і перегляньте ці підказки. Це стане простіше, якщо ви запускаєте щось на зразок syslog-ng або rsyslog або splunk, що дозволяє ділити ваші журнали дещо, а не мати справу з одним монолітним файлом.
Я також намагаюся запустити nfsen, принаймні, з внутрішньої сторони брандмауера та, коли це можливо, посилання на Інтернет-провайдера. Це дозволяє вам повернутися назад у часі, щоб переглянути сеанси, щоб побачити, хто що робив; це іноді може наздогнати цікаву поведінку.