none
Внешние IP в репортах ISA Server RRS feed

  • Вопрос

  • Господа, подскажите в каком случае, кроме трафика сервера терминалов, в статистике Top Users могут фигурировать внешние IP адреса? Вот как тут например:

    1

    192.168.3.10

    74390

    16,80 %

    632,91 MB

    69,20 %

    12,37 MB

    0,40 %

    645,27 MB

    14,80 %

    2

    192.168.4.11

    227488

    51,40 %

    124,81 MB

    13,60 %

    3,23 GB

    95,70 %

    3,35 GB

    78,50 %

    3

    188.133.137.141

    15

    0,00 %

    99,07 MB

    10,80 %

    148,38 KB

    0,00 %

    99,21 MB

    2,30 %

    4

    192.168.8.3

    709

    0,20 %

    13,10 MB

    1,40 %

    344,43 KB

    0,00 %

    13,44 MB

    0,30 %

    5

    192.168.4.14

    58527

    13,20 %

    8,95 MB

    1,00 %

    8,60 MB

    0,20 %

    17,55 MB

    0,40 %

    6

    89.255.68.117

    145

    0,00 %

    6,56 MB

    0,70 %

    899,21 KB

    0,00 %

    7,44 MB

    0,20 %

    7

    77.88.46.6

    2

    0,00 %

    4,77 MB

    0,50 %

    1,33 KB

    0,00 %

    4,77 MB

    0,10 %

    8

    192.168.3.20

    12082

    2,70 %

    4,26 MB

    0,50 %

    5,66 MB

    0,20 %

    9,92 MB

    0,20 %

    9

    77.88.61.37

    1

    0,00 %

    3,63 MB

    0,40 %

    679,00 B

    0,00 %

    3,63 MB

    0,10 %

    14 сентября 2009 г. 5:15

Ответы

  • а где ты в репортах видишь указание что там пишутся внутренние клиенты? :)) там написано top users, то есть все клиенты. у меня если сделать репорт будет тоже самое, и pix тут не причем.
    как этого избежать? все очень просто - забудь про встроенные репорты, и вспоминай их в качестве яркого примера как репорты делать НЕ надо :)
    в логах иса пишет все верно, источник и назначение пишутся так как на самом деле открывались соединения. собственно и репорты у исы на основе этого строятся, просто в табличках все смешано в кучу: и внутренние и внешние,

    • Помечено в качестве ответа Dmitry Orel 16 октября 2009 г. 0:21
    6 октября 2009 г. 7:59
    Отвечающий

Все ответы

  • в каком угодно. любой опубликованный сервис или впн клиент.
    вообще проще взять и посмотреть нормальный отчет по логам, а встроенный репорт у исы лучше никогда не запускать, чтобы не удивляться :)

    14 сентября 2009 г. 9:31
    Отвечающий
  • Ну как я понимаю не любой. ВПН нет на этом сервере. Если бы любой был, то и SMTP бы светились все внешние адреса которые приносят почту и FTP так же бы светились. Но вот светятся совершенно очевидно терминальные соединения и что-то еще. А что - я понять пока не могу.
    14 сентября 2009 г. 18:49
  • Пробейте эти неопознанные адреса через whois - так будет быстрее, чем гадать на логах))
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    15 сентября 2009 г. 9:49
    Модератор
  • быстрее по логам пробить кто это и куда ломился по каким протоколам

    15 сентября 2009 г. 21:45
    Отвечающий
  • Как по мне - whois внятнее. По крайней мере будет ясно, кому этот адрес принадлежит, если url неудобоваримый попадется
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    16 сентября 2009 г. 5:08
    Модератор
  • так надо выяснить не кому он принаджежит, а впервую очередь зачем он ломился на ису и что делал, по сути впервую очередь надо выяснить по каким протоколам шел и куда, может сервис какой опубликован или еще что нить
    16 сентября 2009 г. 9:57
    Отвечающий
  • Придерживаясь мнения, что на вкус и цвет все фломастеры разные, предлагаю застопорить флуд и дождаться решения автора. Что ему удобнее, то пусть и пользует.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    16 сентября 2009 г. 9:59
    Модератор
  • Да я честно говоря интересуюсь с какого перепугу там вообще внешние адреса фигурируют. SMTP сервер например тоже опубликован, там же не фигурируют адреса всех SMTP хостов которые на него почту принесли. Насколько я понимаю, в разделе Top Users должны фигурировать только адреса локальной сети, а все равно периодически попадаются какие-то левые внешние адреса. 
    16 сентября 2009 г. 19:47
  • там может фигурировать что угодно, исашный репорт точностью и корректностью работы не отличался :))
    16 сентября 2009 г. 23:29
    Отвечающий
  • Да как раз наоборот - он достаточно точен, только не очень подробен. В общем, посмотрел я ради интереса ваши адреса... Итак:

    188.133.137.141 - принадлежит компании Энфорта-Москва. Ваш провайдер, судя по всему... если только это не вы сами)))

    89.255.68.117  -еще один провайдер - ОблТелеком, Химкинский филиал Какие у вас с ними контакты - это вам лучше знать.

    77.88.46.6 - Яндекс. Без коментариев))) Яндексбары на компьютерах пользователей рекомендую посмотреть и посносить

    77.88.61.37 - см. выше.


    Вот где-то так.


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    17 сентября 2009 г. 6:01
    Модератор
  • Да как раз наоборот - он достаточно точен, только не очень подробен. В общем, посмотрел я ради интереса ваши адреса... Итак:

    188.133.137.141 - принадлежит компании Энфорта-Москва. Ваш провайдер, судя по всему... если только это не вы сами)))

    89.255.68.117  -еще один провайдер - ОблТелеком, Химкинский филиал Какие у вас с ними контакты - это вам лучше знать.

    77.88.46.6 - Яндекс. Без коментариев))) Яндексбары на компьютерах пользователей рекомендую посмотреть и посносить

    77.88.61.37 - см. выше.


    Вот где-то так.


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Ну все это я и  сам посмотрел уже. Меня интересует откуда там эти адреса в репорте. Из всего вышеперечисленного только облтелеком мне известен, это собственно я сам туда терминалом хожу. А вот что делает например яндекс в списке это - я не понимаю. Трафик там не большой в пределах 50м но ОТКУДА он в репорте можете мне пояснить? :) Ну допустим пошел клиент яндекс баром куда нибудь, насколько я понимаю трафик должен фигурировать как этот клиент, но никак не адрес яндекса. Поправьте меня если я не прав :)

    19 сентября 2009 г. 9:48
  • А вот это уже небольшой загон самой ISA. Почему так происходит - затруднюсь ответить, но если на компьютере стоит какой-то тулбар, позволяющий активно взаимодействовать с веншними сайтами в обе стороны, ISA почему-то пишет в логах Top Users адрес именно этих сайтов. Самому было бы интересно узнать причину такого поведения.


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    21 сентября 2009 г. 4:53
    Модератор
  • А вот это уже небольшой загон самой ISA. Почему так происходит - затруднюсь ответить, но если на компьютере стоит какой-то тулбар, позволяющий активно взаимодействовать с веншними сайтами в обе стороны, ISA почему-то пишет в логах Top Users адрес именно этих сайтов. Самому было бы интересно узнать причину такого поведения.


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Вобщем тайна покрытая мраком :( 
    22 сентября 2009 г. 4:13
  • Пока что да. Я уже озадачил этим вопросом людей внутри MS - если что-то новенькое узнаю, то выложу сюда для всеобщего ознакомления

    UPD: Вот вероятная причина появления этих записей:При публикации сайтов наружу клиентом будут являться какие-то внешние адреса, ходящие на опубликованный сайт. Поэтому они и попадают в логи и в отчет. Их можно отфильтровать от внутренних клиентов на основе значений одного из полей в базе
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    22 сентября 2009 г. 5:54
    Модератор
  • я вроде в самом начале сказал что это может быть любой опубликованный сервис или впн клиент

    22 сентября 2009 г. 9:10
    Отвечающий
  • Ну а я изложил более развернутое пояснение данного явления природы))
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    22 сентября 2009 г. 9:31
    Модератор
  • я вроде в самом начале сказал что это может быть любой опубликованный сервис или впн клиент

    Дмитрий, это опять я :) Таки вот не понимаю я логики работы ISA в данной области, может вы мне поясните :) Суть в следующем. ISA сейчас раскорячена как ей положено стоять в режиме NAT. Опубликованы сервисы такие как WEB, терминалы, SMTP сервер, POP3 сервер, а так же у меня любимый босс очень любит торренты - пришлось ему пробросить 3724 порт на его машину чтобы раздавалось лучше. Протокол с портом 3724 я определил как Torrents. Все вроде хорошо, все работает, но вот почему-то он эту толпу личеров начал пихать в статистику как внутренние клиенты. Почему такое не происходит например с SMTP или POP3? Ну принес ему личер трафик, дык пусть считает трафик на локальный внутренний адрес, на фига же мне этот мусор в статистику-то пихать? :) Может поясните в чем тут собака порылась и как бы этого избежать? :)

    Надо сказать, что перед ISA стоит еще PIX и он тоже натит, так как роутить не умеет в принцип. В PIX есть таблица раельных адресов, которая натится в адреса 10.1.0.0 на внешнем интерфейсе ISA. Внутри сеть 192.168.0.0. Это вобщем-то никому не мешает, но вот может в такой связке оно как-то неадекватно воспринимает такой трафик?
    6 октября 2009 г. 7:09
  • а где ты в репортах видишь указание что там пишутся внутренние клиенты? :)) там написано top users, то есть все клиенты. у меня если сделать репорт будет тоже самое, и pix тут не причем.
    как этого избежать? все очень просто - забудь про встроенные репорты, и вспоминай их в качестве яркого примера как репорты делать НЕ надо :)
    в логах иса пишет все верно, источник и назначение пишутся так как на самом деле открывались соединения. собственно и репорты у исы на основе этого строятся, просто в табличках все смешано в кучу: и внутренние и внешние,

    • Помечено в качестве ответа Dmitry Orel 16 октября 2009 г. 0:21
    6 октября 2009 г. 7:59
    Отвечающий
  • Вот тут я полностью согласен с Арамисом)) Точную информацию на ИСА нужно смотреть либо в логах, либо с использованием стороннего генератора отчетов, который извлекает информацию из этих самых логов. Встроенный инструмент ИСА для этой цели не очень удобен.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    6 октября 2009 г. 9:50
    Модератор
  • а где ты в репортах видишь указание что там пишутся внутренние клиенты? :)) там написано top users, то есть все клиенты. у меня если сделать репорт будет тоже самое, и pix тут не причем.
    как этого избежать? все очень просто - забудь про встроенные репорты, и вспоминай их в качестве яркого примера как репорты делать НЕ надо :)
    в логах иса пишет все верно, источник и назначение пишутся так как на самом деле открывались соединения. собственно и репорты у исы на основе этого строятся, просто в табличках все смешано в кучу: и внутренние и внешние,

    Все, дошло кажется ;) Я что-то не сообразил сразу про то, что SMTP траффик с определенных хостов не дотягивает до Top поэтому они и не фигурируют в этом списке :) Но то что репорты ISA это откровенно говоря больше геморрой чем польза - это я уже понял окончательно ;)


    6 октября 2009 г. 10:30