Как найти клиента, генерирующего трафик?
Мы работаем с SBS 2003 с пакетом обновления 2 (SP2), и мне интересно, есть ли какой-нибудь простой способ выяснить, был ли получен трафик в течение определенного времени?
В моем случае общее потребление трафика в день составляет примерно 8 ГБ. Меня не беспокоит общий трафик (эти 8 ГБ в основном включают передачу файлов резервных копий в ночное время), но в определенный период времени.
Просто пример: внезапно в 10:30 интернет-соединение замедляется очень заметно. Я проверил наше автоматическое резервное копирование и другие службы передачи, и ни один из них не работает. У меня все еще есть сеть с приблизительно 15 компьютерами, рассеянными вокруг здания, которые могли бы потенциально генерировать трафик.
У нас только небольшая линия 2MBit, таким образом, линия может быть быстро насыщена в рабочее время. Я не подозреваю, что какой-либо пользователь делает что-то не так, я думаю, что происходит какая-то программная автоматизация, но я не уверен. Может быть, это автоматическая загрузка Windows или Adobe, но как я могу знать наверняка?
Я уже просматривал сгенерированный отчет из ISA 2004 и вижу много цифр, но не могу точно сказать, между какими временными рамками какой клиент генерировал трафик.
Я могу увидеть пик на самом сервере, перейдя на вкладку сети в диспетчере задач, и я вижу, что внешний интерфейс 100 Мбит находится на 2% == 2 Мбит, но я не могу понять, откуда он на самом деле идет.
Я думаю, что могу исключить, что именно сервер сам генерирует трафик, потому что график трафика от внешнего интерфейса соответствует интерфейсу локальной сети, который обслуживает моих пользователей (наш интерфейс DMZ, который содержит наши службы автоматического резервного копирования, в это время равен 0).
Как я могу решить эту проблему?
6 ответов
Я уверен, что есть способ лучше интерпретировать информацию, поступающую с вашего ISA-сервера, но на случай, если все не получится: "В Wireshark мы доверяем"
Он также работает на Windows: http://www.wireshark.org/download.html
Я уверен, что вторая отладка с Wireshark, он даст вам как отправляющий и получающий IP-адрес, протокол и даже контент, учитывая, что это не HTTPS/SSL.
Но не может ли быть так, что вы видите чей-то ритуал скрывающихся новостей о кофе-брейках? Если домашние страницы новостных сайтов имеют размер 1 МБ (с изображениями и рекламой), можно быстро ограничить 2 МБ. И 10:30 - хорошее время для перерыва для spiegel.de или ежедневного веб-комикса-тура:)
На SBS 2003 должен быть установлен ISA 2004, что облегчает получение довольно подробных журналов - вместо отчетов, которые вы можете настроить для генерации, которые дают вам сводку трафика за определенный промежуток времени, вам нужно смотреть прямо в журналах ISA, которые могут быть настроены для регистрации брандмауэра, фильтрации пакетов и трафика веб-прокси чрезвычайно детально, либо для регистрации файлов, либо для базы данных. Подробнее о настройке входа в ISA 2004 здесь.
Согласились с другими рекомендациями для Wireshark, но это может быть излишним, netstat -an может дать вам достаточно информации, вы не можете видеть объем трафика, но вы можете видеть источник и пункт назначения.
Некоторые из этих ответов также могут помочь:
Я использую ntop для такого рода вещей почти ежедневно. Он скажет вам, у кого есть трафик и куда они идут, если это необходимо. Очень гладкая и простая в настройке.