Задачка по подсчету трафика
5666
16
Приветствую!
Помогите решить задачку.

Дано локальная сеть, АД. Сервер под 2003 виндой, Kerio Winroute.
Необходимо организовать учет и мониторинг трафика пользователей.
1. В сообщать в случае скачка входящего траффика (человек решил скачать фильм, зациклилось на отправку письмо, плотно засел на порносайтах, и т.д.)
2. Подсчет скаченной юзерами информации по протоколам.

Задача усложняется тем, что винду и керио трогать нельзя. Рекомендованные под статистику кероио проги (IAM, и др.) являются анализаторами логов, соответственно под пп1 не подходят, собственно под пп 2 тоже как-то не особо, т.к. почта в лог у керио не попадает.

Может как вариант - сниффер, но сеть на свиче.. Вобщем, сломал уже голову, посоветуйте чтонить..
vvetc
1. Запретить скачку avi/mpg, помоему только так.
Если человек засел на порносайтах - все в логах это есть:улыб:Во всяком случае в http-логе. Пишите скрипт который раз в 10 минут (к примеру) забирает и очищает логи http от керио, обрабытывайте и смотрите общее количество jpg/bmp/gif элементов запрошенных по http в единицу времени, при превышении "критического" количества, установленого опытным путем - письмо на ящик контролирующему лицу. Я для "попарсить логи" пользовал перл, благо он и под винду есть.
2. Поставте протоколирование коннектов/пакетов в правилах nat - там пишутся все пакеты. Логи соответственно так же разбираете скриптом раз в энное количество времени, выкладываете в sql-бд и будет вам счастье:улыб:
Решение не претендует на гениальность, но оно более универсальное чем то что предлагается на рынке и за деньги. И гибкое до ужаса:улыб:Из недостатков - раз в 10 минут рвется связь (останавливается/запускает винроут энджин - чтоб логи все сбросились, пока стоит - копируются во временную папку, где потом и парсятся), необходимость изучать перл.
Mad_Dollar
> смотрите общее количество jpg/bmp/gif элементов запрошенных по http в единицу времени

Не могу согласиться. На вполне серьезных страницах бывает по сотне gif-ов, а порнуху обычно смотрят по одной фотографии.
Anomander
Согласен, это один из примеров. Во всяком случае, если за 10 минут человек запросил N количество байт, из которых 80% - графика: есть повод для того чтобы посмотреть логи. Автоматизированно все равно это не решить. Опять же, можно смотреть URLы, если в урле встречаются определенные комбинации типо gallery и т.п. - вполне вероятно что не по работе ))
Mad_Dollar
Спасибо за идею, но не годится - рвать связь остановкой винроута низзя, пользуются критичные к наличию коннекта приложения :(. Приходит на ум сниффер, запущеный прямо на сервере, слушающий интерфейс локалки. :umnik: Как идея, имеет право на жизнь ?
vvetc
Вам удобнее будет использовать Траффик Инспектор в таком случае, да и дешевле.
Почитайте, попробуйте (временная активация на 30 дней) http://www.smart-soft.ru/
vvetc
Впринципе, можно и не рвать связь винроутом - доступ же для чтения вполне приемлим, другое дело, что гораздо сложнее получится определять синтаксическую корректность строчки самого лога - возможно в момент чтения строка лога будет не до конца записана, но теоретически возможно и не останавливая винроут снимать копии лога. Но геморно.
Tt002
Вы им пользовались ? или пользуетесь ?
vvetc
Пользуемся. Плюс знаю множество организаций где его используют.
Сразу скажу что если будете пробовать, то ставьте версию 1.1.4. Новая 1.1.5 ещё не до конца оттестирована.
Tt002
Ок, спасибо. Попробую.
vvetc
PS - Трафик Инспектор не совместим с керио винроут, трафик инспектор использует встроенный в виндоуз нат, а керио имеет свой "движок" маршрутизации - это к вопросу того что керио не трогать.
vvetc
если требуется подсчет по относительно распространенным протоколам, то керио все умеет, тока обновите до 6.4.0. - что касается скачка трафика - поставьте ежедневные квоты с уведомлением админа о превышении. да и все.
Mad_Dollar
Спасибо за предупреждение, я в курсе, что вместе они жить не будут. Предложу на выбор - или Трафик инспектор и отказ от керио, или по совету из вышестоящего сообщения попробую обновить. :agree:
ADmitry
Обновился кериой :). Модуль STaR - вещь! Статистика именно такая, как нужно. Большое спасибо :respect:
vvetc
керио 6.4 поверх 6.0 без проблем ставится? подтягивает имеющиеся правила? :a?
ak
У меня все подтянулось, без проблем. Только установлена была версия 6.1.4, ее обновить на 6.4 сразу нельзя, нужно было сначала до 6.2, а потом уже до 6.4. Проверено на 12 серверах, траблов не было.
vvetc
Хм, пасиба, значит напрямую не катит! тогда буду делать новый шлюз, лучше заполню свежеустановленный уже имеющимися в старом правилами...