none
Чтенеи логов ISA 2006 в SQL 2005 RRS feed

  • Вопрос

  • Сохраняю логи в SQL 2005, подскажите пожалуйста, как определить входящий трафик без учёта трафика из кэша. В таблице WebProxyLog есть колонка CacheInfo, что означают данные в этой колонке. Все IP адреса представленны в странной форме - 3232241938, итак и должно быть? Как преобразовать в читаемые данные?

    31 марта 2008 г. 4:49

Ответы

Все ответы

  •  

    Описание полей http://www.microsoft.com/technet/isa/2004/help/FW_C_WebLogFields.mspx?mfr=true

     

    Цитата:

    10

    r-host

    DestHost

    The domain name for the remote computer that provides service to the current connection. A hyphen (-) in this field may indicate that an object was retrieved from the cache and not from the destination.

    11

    r-ip

    DestHostIP

    The network IP address for the remote computer that provides service to the current connection. A hyphen (-) in this field may indicate that an object was sourced from the cache and not from the destination. One exception is negative caching. In that case, this field indicates a destination IP address for which a negative-cached object was returned.

    31 марта 2008 г. 4:59
    Модератор
  •  

    Спасибо большое,

    С кэшем понятно, а как быть с IP адресами, вместо которых непонятные числа?

    И еще, если мой ISA сервер подключается через прокси к ISA серверу из другой организации, должен ли он накапливать свой КЭШ, или будет пользоваться КЭШем  того сервера?

    31 марта 2008 г. 5:56
  •  

    Это двоичное представление адреса. Просто надо преобразовать в dot-формат (http://www.thescripts.com/forum/thread665217.html)
    31 марта 2008 г. 8:34
    Модератор
  •  Toni Montana написано:

    Сохраняю логи в SQL 2005, подскажите пожалуйста, как определить входящий трафик без учёта трафика из кэша. В таблице WebProxyLog есть колонка CacheInfo, что означают данные в этой колонке. Все IP адреса представленны в странной форме - 3232241938, итак и должно быть? Как преобразовать в читаемые данные?



    Если не секрет, по каким полям в каких таблицах считаете траффик?
    8 июня 2008 г. 11:19
  •  

    SELECT ClientUserName, SUM(bytesrecvd) AS bytesrecvd, SUM(bytessent) AS bytessent FROM WebProxyLog WHERE (logTime BETWEEN @datalow AND @datahigh) GROUP BY ClientUserName ORDER BY bytessent DESC
    10 июня 2008 г. 8:45
  • так все таки входящий трафик это bytessent !?

    а из таблицы firewalllog разве не стоит выбрать и просуммировать эти данные, ведь в webproxy только http?

     

    12 июня 2008 г. 5:55
  • Да, bytessent это входящий. Я считаю только  webproxy, т.к. пока у меня все используемые приложения поддерживают proxy

    12 июня 2008 г. 6:58
  • А как сделать красивое суммирование по названиям сайтов (как в стандартном исовом отчете, HostLogger.dll зарегестрированна)?

    Думал использовать поле ReferredServer, а оно не всегда дает имя сервера в чистом виде.

     

    16 июня 2008 г. 8:24
  •  

    referred server вообще не для этого и оно вообще название сайта не дает

    учитывая что левая dll правильно записывает тока uri но не desthost то мы брали тупо "вырезку" сайта из поля uri

    16 июня 2008 г. 16:01
    Отвечающий
  •  Toni Montana написано:

     

    SELECT ClientUserName, SUM(bytesrecvd) AS bytesrecvd, SUM(bytessent) AS bytessent FROM WebProxyLog WHERE (logTime BETWEEN @datalow AND @datahigh) GROUP BY ClientUserName ORDER BY bytessent DESC

     

    Вот смотрите как у меня:

     

    SELECT     SUM(bytesrecvd) AS bytes

    FROM         FirewallLog
    WHERE     (Action = 7) AND ([rule] = 'VPN_TO_INTERNET')

     

    Прокси у меня отключен. 'VPN_TO_INTERNET' - правило разрешающее траффик от VPN клиентов во внешнюю сеть. Вопрос: я весь траффик считаю? Надо ли что то ещё?

     

    16 июня 2008 г. 21:09
  • Но левой тоже пользовались)) а есть готовая наработка, как эту "вырезку" сделать правильно? Был бы очень благодарен.

    А кстати для чего referred server все-таки?

    17 июня 2008 г. 9:10
  •  

    че там делать то, тупо найти строку которая начинается после // и заканчивается на / или конец строки, кода в голове не держу

    reffered server, я так понял, как переводится такой смысл и имеет, сервак с которого клиент получил ссылку, то есть при переходе по ссылке с другого сервака по идее этот сервак должен в это поле и писаться, в 2004 исе такого не было.

    17 июня 2008 г. 12:14
    Отвечающий