<< Click to Display Table of Contents >> Управление сетевой статистикой |
|
С целью детального анализа характера трафика пользователей и внешнего трафика для пользователей и внешних счетчиков может быть включен сбор и запись сетевой статистики.
Статистика собирается в контексте IP-адресов, типов протоколов и портов. Для трафика, снятого с HTTP-прокси, записывается еще и имя хоста.
Для сбора сетевой статистики для каждого объекта учета, пользователя или счетчика заводится коллектор ̶ временная таблица счетчиков, где записи группируются по IP-адресам, протоколам, портам и именам хостов. Данные в коллекторе группируются по IP-адресам, хостам и протоколам. По портам данные также группируются, но здесь прослеживается отдельная логика, которой решаются задачи, с одной стороны, минимизации количества записей, а с другой ̶ запись подробной информация о характере трафика.
Для TCP-трафика данные группируются по порту TCP-сервера. Если имеется несколько соединений на один порт сервера одного адреса, то данные пишутся в одну запись и порт со стороны пользователя не учитывается.
Определить, где сервер, для UDP в общем невозможно, т.к. протокол не является сеансовым. Поэтому для минимизации количества записей порты более 1023 трактуются как динамические, и данные пишутся в одну запись. Есть возможность описать список портов, для которых трафик всегда будет писаться отдельными записями, т.е. без группировки.
В сетевую статистику также пишутся следующие атрибуты трафика:
Трафик с разными атрибутами не группируется, т.е. пишется в отдельные записи сетевой статистики.
По умолчанию для пользователей пишется только платный трафик. Но имеется настройка, где можно включить запись всего трафика, снимаемого с внутренних интерфейсов (подробнее см. в п. Общие настройки программы). Для учета неавторизованного трафика, в этом случае, существует отдельный коллектор. Запись всего трафика может потребоваться для отладки работы программы.
Каждый внешний IP-адрес в коллекторе с использованием DNS может быть преобразован в имя. Это делается отдельной службой, процесс преобразования автономный и на производительности программы никак не сказывается. Но, при наличии большого количества коллекторов, могут появиться проблемы с ресурсами в системе. Поэтому для пользователей это преобразование по умолчанию отключено. Также оно может быть отключено с целью экономии DNS-трафика.
Записи в таблице коллектора сортируются по одному из критериев: входящему, исходящему, сумме или максимуму. Для пользователей этот критерий сортировки берется из тарифа, для внешних счетчиков задается отдельно. Данные коллектора доступны для просмотра в реальном времени и позволяют оценить, что в данный момент происходит в сети, как в контексте пользователя, так и внешнего трафика.
Сетевая статистика с заданным периодом времени пишется в базу данных журнала, и коллектор при этом очищается. С целью минимизации количества записей в журнал из коллектора пишутся все или только наиболее активные записи ̶ в соответствии с их сортировкой. Количество сохраняемых записей и интервал их сохранения определяет степень детализации данных, используемых в дальнейшем для генерации отчетов. Также есть возможность ограничить запись данных по количеству пакетов в коллекторе.
Запись сетевой статистики для счетчика с отфильтрованным трафиком позволяет вести детальный анализ сетевых атак.