Информационные счетчики служат для отдельного учета потребления различного трафика с целью последующего анализа. При их конфигурировании, кроме внешних сетей и интерфейсов, можно задать тип IP-протокола, а также порты для TCP и UDP. В информационных счетчиках пакеты учитываются для каждого счетчика независимо от других, т.е. возможны ситуации, когда пакет не учитывается ни в одном счетчике или учитывается сразу в нескольких счетчиках.
При установке программы по умолчанию имеется несколько информационных счетчиков для наиболее используемых протоколов ̶ HTTP, FTP, SMTP, POP3 и других.
Для информационного счетчика может быть задан особый тип ̶ Счетчик безопасности. Это счетчик, учитывающий только отфильтрованный трафик на внешнем сетевом экране. Он устанавливается на входящий или исходящий трафик. Это полезно для анализа различных сетевых атак и сетевого "мусора": флуда, сканирования портов, ICMP. Один такой счетчик на весь отфильтрованный трафик присутствует по умолчанию. При необходимости вместо одного такого счетчика можно добавить несколько, введя разграничения по различным критериям.
Общий список всех внешних счетчиков (контролируемых и информационных) находится в разделе Учет трафика -> Счетчики консоли администратора. Помимо этого в этом разделе отдельно для информационных счетчиков есть специальный подраздел.
В рамках управления информационными счетчиками в Traffic Inspector реализованы следующие операции:
- общие настройки информационных счетчиков;
- создание/изменение информационного счетчика;
- настройка атрибутов информационного счетчика;
- сброс информационного счетчика;
- удаление информационного счетчика.
Общие настройки информационных счетчиков
Общие настройки позволяют задавать настройки, которые будут применяться для информационных счетчиков по умолчанию. Однако при необходимости можно отключить использование этих настроек непосредственно в свойствах счетчика и задать индивидуальные параметры (см. ниже).
Для установки общих параметров информационных счетчиков выполните следующие действия:
- Откройте окно настройки общих параметров информационных счетчиков. Сделать это можно с помощью контекстного меню в разделе Учет трафика -> Счетчики -> Информационные счетчики.
- При необходимости на вкладке Информационные счетчики включите ведение сетевой статистики и укажите интервал ее записи, количество записываемых направлений (записываются самые активные направления) и минимальное количество сетевых пакетов, необходимых для записи (берется максимальное значение от исходящих и входящих пакетов).
- Настройте параметры записи трафика в журнал. Для этого укажите периодичность (в минутах), с которой трафик будет сохраняться.
- Сохраните внесенные изменения.
Создание/изменение информационного счетчика
Для создания нового или изменения существующего информационного счетчика выполните следующие действия.
- Откройте окно свойств нового или существующего информационного счетчика. Сделать это можно с помощью контекстного меню в разделе Учет трафика -> Счетчики -> Информационные счетчики консоли администратора или в блоке Внешние счетчики, расположенном на главной странице раздела Учет трафика.
- На вкладке Наименование введите уникальное наименование информационного счетчика и, при необходимости, произвольное примечание. Здесь же можно при необходимости временно заблокировать счетчик, не удаляя его. При этом счетчик не будет считать трафик, а также система не будет предпринимать никаких действий, связанных с его состоянием (например, блокировать сети).
- На вкладке Тип счетчика выберите тип информационного счетчика:
- Обычный ̶ ведет учет трафика, который пропущен драйвером Traffic Inspector на внешних интерфейсах;
- Счетчик безопасность (Вх.) ̶ ведет учет входящего трафика, который был отфильтрован, то есть заблокирован сетевым экраном, используется для анализа сетевой активности.
- Счетчик безопасность (Исх.) ̶ аналогичен предыдущему, но ведет учет исходящего трафика.
- На вкладке Условия выберите внешний сетевой интерфейс, с которого будет снимать трафик данный счетчик. Если нужно снимать трафик со всех внешних интерфейсов, то выберите значение "-".
- Если данный счетчик должен учитывать трафик, поступающий только с определенного IP-адреса или сети, то укажите их в разделе Внешняя сторона на вкладке IP адрес. Сделать это можно вручную или с помощью определенных ранее IP-сетей (подробнее про IP-сети см. в п. IP-сети). В первом случае укажите один конкретный IP-адрес или IP-адреса границ диапазона, а во втором ̶ предварительно созданную IP-сеть. При выборе второго варианта можно перейти к редактированию активной или созданию новой IP-сети непосредственно из данной вкладки.
- Если данный счетчик должен учитывать только поступающий определенный внутренний IP-адрес или сеть, укажите их в разделе Сторона сервера на вкладке IP адрес.
- Если данный счетчик должен учитывать только трафик, передаваемый по определенному протоколу, то укажите его и, при необходимости, сетевой порт. Сделать это можно с помощью подсказки или вручную. В первом случае выберите в шаблон одного из наиболее распространенных типов трафика (например, ICMP, DNS client, HTTP client, FTP client и т.п.). При этом все параметры будут настроены автоматически.
Для ручной настройки выберите нужный протокол. Если был выбран вариант UDP или TCP, то также укажите сетевой порт. Это может быть конкретный номер, диапазон номеров сетевых портов или динамический порт.
- В Traffic Inspector реализована возможность автоматического запуска внутренних скриптов при изменении статуса счетчика. При необходимости включите ее на вкладке Автоматизация и укажите предварительно созданный скрипт (подробнее о скриптах см. в документации по SDK).
- Если для данного счетчика нужно установить собственные параметры записи сетевой статистики, отличные от обычных (см. выше), то на вкладке Сетевая статистика выключите загрузку параметров по умолчанию и самостоятельно настройте их (описание параметров см. выше в разделе Общие настройки информационных счетчиков).
- Если для данного счетчика нужно установить собственные параметры записи трафика в журнал, то на вкладке Журнал выключите загрузку параметров по умолчанию и самостоятельно настройте их (описание параметров см. выше в разделе Общие настройки информационных счетчиков).
- Сохраните внесенные изменения.
Настройка атрибутов информационного счетчика
Атрибуты используются для хранения любой дополнительной информации объекта конфигурации (подробнее см. в п. Атрибуты). Изменение атрибутов информационного счетчика осуществляется в специальном окне, запустить которое можно с помощью контекстного меню в разделе Учет трафика -> Счетчики -> Информационные счетчики консоли администратора. В этом окне отображается список всех атрибутов, которые могут устанавливаться для информационных счетчиков. Значения атрибутов можно вводить вручную или выбирать в выпадающем списке (для некоторых типов атрибутов) их значение.
Сброс информационного счетчика
Под сбросом информационного счетчика понимается обнуление всех его данных. Выполнение этой операции осуществляется с помощью контекстного меню в разделе Учет трафика -> Счетчики консоли администратора.
Удаление информационного счетчика
Удаление информационного счетчика осуществляется с помощью контекстного меню в разделе Учет трафика -> Счетчики -> Информационные консоли администратора.