Задачка по подсчету трафика
5666
16
Приветствую!
Помогите решить задачку.
Дано локальная сеть, АД. Сервер под 2003 виндой, Kerio Winroute.
Необходимо организовать учет и мониторинг трафика пользователей.
1. В сообщать в случае скачка входящего траффика (человек решил скачать фильм, зациклилось на отправку письмо, плотно засел на порносайтах, и т.д.)
2. Подсчет скаченной юзерами информации по протоколам.
Задача усложняется тем, что винду и керио трогать нельзя. Рекомендованные под статистику кероио проги (IAM, и др.) являются анализаторами логов, соответственно под пп1 не подходят, собственно под пп 2 тоже как-то не особо, т.к. почта в лог у керио не попадает.
Может как вариант - сниффер, но сеть на свиче.. Вобщем, сломал уже голову, посоветуйте чтонить..
Помогите решить задачку.
Дано локальная сеть, АД. Сервер под 2003 виндой, Kerio Winroute.
Необходимо организовать учет и мониторинг трафика пользователей.
1. В сообщать в случае скачка входящего траффика (человек решил скачать фильм, зациклилось на отправку письмо, плотно засел на порносайтах, и т.д.)
2. Подсчет скаченной юзерами информации по протоколам.
Задача усложняется тем, что винду и керио трогать нельзя. Рекомендованные под статистику кероио проги (IAM, и др.) являются анализаторами логов, соответственно под пп1 не подходят, собственно под пп 2 тоже как-то не особо, т.к. почта в лог у керио не попадает.
Может как вариант - сниффер, но сеть на свиче.. Вобщем, сломал уже голову, посоветуйте чтонить..
Mad_Dollar
guru
1. Запретить скачку avi/mpg, помоему только так.
Если человек засел на порносайтах - все в логах это естьВо всяком случае в http-логе. Пишите скрипт который раз в 10 минут (к примеру) забирает и очищает логи http от керио, обрабытывайте и смотрите общее количество jpg/bmp/gif элементов запрошенных по http в единицу времени, при превышении "критического" количества, установленого опытным путем - письмо на ящик контролирующему лицу. Я для "попарсить логи" пользовал перл, благо он и под винду есть.
2. Поставте протоколирование коннектов/пакетов в правилах nat - там пишутся все пакеты. Логи соответственно так же разбираете скриптом раз в энное количество времени, выкладываете в sql-бд и будет вам счастье
Решение не претендует на гениальность, но оно более универсальное чем то что предлагается на рынке и за деньги. И гибкое до ужасаИз недостатков - раз в 10 минут рвется связь (останавливается/запускает винроут энджин - чтоб логи все сбросились, пока стоит - копируются во временную папку, где потом и парсятся), необходимость изучать перл.
Если человек засел на порносайтах - все в логах это естьВо всяком случае в http-логе. Пишите скрипт который раз в 10 минут (к примеру) забирает и очищает логи http от керио, обрабытывайте и смотрите общее количество jpg/bmp/gif элементов запрошенных по http в единицу времени, при превышении "критического" количества, установленого опытным путем - письмо на ящик контролирующему лицу. Я для "попарсить логи" пользовал перл, благо он и под винду есть.
2. Поставте протоколирование коннектов/пакетов в правилах nat - там пишутся все пакеты. Логи соответственно так же разбираете скриптом раз в энное количество времени, выкладываете в sql-бд и будет вам счастье
Решение не претендует на гениальность, но оно более универсальное чем то что предлагается на рынке и за деньги. И гибкое до ужасаИз недостатков - раз в 10 минут рвется связь (останавливается/запускает винроут энджин - чтоб логи все сбросились, пока стоит - копируются во временную папку, где потом и парсятся), необходимость изучать перл.
Anomander
guru
> смотрите общее количество jpg/bmp/gif элементов запрошенных по http в единицу времени
Не могу согласиться. На вполне серьезных страницах бывает по сотне gif-ов, а порнуху обычно смотрят по одной фотографии.
Не могу согласиться. На вполне серьезных страницах бывает по сотне gif-ов, а порнуху обычно смотрят по одной фотографии.
Mad_Dollar
guru
Согласен, это один из примеров. Во всяком случае, если за 10 минут человек запросил N количество байт, из которых 80% - графика: есть повод для того чтобы посмотреть логи. Автоматизированно все равно это не решить. Опять же, можно смотреть URLы, если в урле встречаются определенные комбинации типо gallery и т.п. - вполне вероятно что не по работе ))
vvetc
experienced
Спасибо за идею, но не годится - рвать связь остановкой винроута низзя, пользуются критичные к наличию коннекта приложения :(. Приходит на ум сниффер, запущеный прямо на сервере, слушающий интерфейс локалки. Как идея, имеет право на жизнь ?
Вам удобнее будет использовать Траффик Инспектор в таком случае, да и дешевле.
Почитайте, попробуйте (временная активация на 30 дней) http://www.smart-soft.ru/
Почитайте, попробуйте (временная активация на 30 дней) http://www.smart-soft.ru/
Mad_Dollar
guru
Впринципе, можно и не рвать связь винроутом - доступ же для чтения вполне приемлим, другое дело, что гораздо сложнее получится определять синтаксическую корректность строчки самого лога - возможно в момент чтения строка лога будет не до конца записана, но теоретически возможно и не останавливая винроут снимать копии лога. Но геморно.
Сейчас читают
Уходит муж. Что делать?
86562
224
Меню на НГ
57063
285
Красивые и счастливые мамочки 2012 года (часть 26)
311115
1000
Вы им пользовались ? или пользуетесь ?
Пользуемся. Плюс знаю множество организаций где его используют.
Сразу скажу что если будете пробовать, то ставьте версию 1.1.4. Новая 1.1.5 ещё не до конца оттестирована.
Сразу скажу что если будете пробовать, то ставьте версию 1.1.4. Новая 1.1.5 ещё не до конца оттестирована.
Mad_Dollar
guru
PS - Трафик Инспектор не совместим с керио винроут, трафик инспектор использует встроенный в виндоуз нат, а керио имеет свой "движок" маршрутизации - это к вопросу того что керио не трогать.
если требуется подсчет по относительно распространенным протоколам, то керио все умеет, тока обновите до 6.4.0. - что касается скачка трафика - поставьте ежедневные квоты с уведомлением админа о превышении. да и все.
vvetc
experienced
Спасибо за предупреждение, я в курсе, что вместе они жить не будут. Предложу на выбор - или Трафик инспектор и отказ от керио, или по совету из вышестоящего сообщения попробую обновить.
Обновился кериой :). Модуль STaR - вещь! Статистика именно такая, как нужно. Большое спасибо
керио 6.4 поверх 6.0 без проблем ставится? подтягивает имеющиеся правила? :a?
У меня все подтянулось, без проблем. Только установлена была версия 6.1.4, ее обновить на 6.4 сразу нельзя, нужно было сначала до 6.2, а потом уже до 6.4. Проверено на 12 серверах, траблов не было.
Хм, пасиба, значит напрямую не катит! тогда буду делать новый шлюз, лучше заполню свежеустановленный уже имеющимися в старом правилами...