none
Проблема с трафиком (чтение логов ISA) RRS feed

  • Вопрос

  • Доброго времени суток!

     

    Помогите разобраться с ISA. Давно установлен в сети, проблем не было, поэтому и понимать его не торопился. Однако вчера ситуация изменилась, провайдер показал за ночь траффик на 1000 у.е., когда месячный трафик офиса был в пределах 400-600 у.е.. Поднял отчет ISA за эти сутки, фигуририет огромный трафик 10Gb, однако он висит только на IP предоставляемом VPN-провайдера и на IP самого vpn сервера провайдера (как дестинейшн), тут же в дестинейшн еще три каких то внешних IP, сумма трафика на которых примерно равна трафику на IP vpn-сервера провайдера.

     

     

    29 февраля 2008 г. 11:49

Все ответы

  • Информацию по ip-адресам можно получить тут http://member.dnsstuff.com/pages/tools.php?ptype=free

    И по логам посмотреть по какому протоколу был доступ на эти адреса и от кого - многое станет ясно.

     

    29 февраля 2008 г. 12:44
    Модератор
  • схема сети такая-
    -радиоканал с провайдером, между мной и радиомодулем - свич, на свиче несколько клиентов, сетевая, получает по dhcp IP сети провайдера, поверх него WAN PPTP.
    На той машине, которая устанавливает соединение с инетом ISA, там же VPN-коннекшн до нашего другого офиса.

    Логи ISA показывают след:

    - В локалке за эту ночь никакого трафика нет.
    - Веб-трафика нет.

    В разделе Top application Users (byites in)
    весь этот трафик (10,41Гб) проходит по статическому паблик IP, получаемому нами по WAN PPTP.

    В разделе Top Destinations (bytes in)
    на IP VPN-сервера провайдера (к которому цепляется WAN PPTP) - 10,92Гб
    на 3 IP адреса
                91.121.97.110         4,72
      91.121.71.150         3,16
      91.121.78.65           2,50

    почему в обоих этих разделах трафик проходит как bytes in (входящий)? как разобраться в этом отчете?
    3 марта 2008 г. 6:34
  •  

    ты логи посмотри, а не эти убогие отчеты Smile
    3 марта 2008 г. 8:06
    Отвечающий
  • понимаю, что нубский вопрос... чем смотреть и анализировать?

    Дописываю пост... вопрос чем смотреть пока снят - установил ISA Server MDF viewer. Однако тут ждал небольшой сюрприз - не вижу напрочь IP-шники 91.121.97.110, 91.121.71.150 и 91.121.78.65, который присутствуют в том самом report-е от ISA.......
    3 марта 2008 г. 8:39
  •  

    действительно нубский, не потому что глупо спрашивать "чем?", а потому что глупо спрашивать не сообщив как ты их хранишь Smile) мы же не телепаты
    3 марта 2008 г. 9:50
    Отвечающий
  • Логи не хранил, поводу не было)
    В системе сохранились недельные mdf-файлы, как раз тот период, который мне нужен.
    3 марта 2008 г. 11:38
  •  

    что значит не хранил, если бы логов не было то и отчетов бы не было.

    недельные mdf это значит у тебя с исой был установлен msde с настройками логирования по умолчанию (7 дней). читается любым софтом умеющим запрашивать из sql базы, например тем же query analyzer из поставки ms sql 2000.

    3 марта 2008 г. 11:56
    Отвечающий
  • Так оно и есть)
    3 марта 2008 г. 12:55
  • Вопрос по теме, а w3c логи чем ковыряются?
    4 марта 2008 г. 11:58
  • Самое доступное это Notepad

    Можно делать SQL запросы с помощью LogParser 2.2
    4 марта 2008 г. 13:29
    Модератор