1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 23, 2025 21:22

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 13 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Dimadim
 Заголовок сообщения: Помогите разобраться в ЛОГАХ DFL-700
СообщениеДобавлено: Пн дек 12, 2005 11:13 
Не в сети

Зарегистрирован: Вт ноя 22, 2005 11:00
Сообщений: 18
Откуда: г Химки МО
Пишу программу для анализа трафика. Помогите разобраться в логах или кинте ссылку.
Вопросы:
1)В каких логах содержатся данные о принятом и переданном трафиках. В каких единицах они передаются.
2)Что значит prio=1 в логах
3)origsent=721 termsent=1360 - похоже и есть трафик, но какой и что означает?

Пример лога:
<134>EFW: CONN: prio=1 rule=allow_standard conn=close connipproto=TCP connrecvif=LAN connsrcip=192.168.0.52 connsrcport=1607 conndestif=WAN conndestip=82.142.131.132 conndestport=9091 origsent=721 termsent=1360

4) В документации написано что в логе USAGE также содержится информация о трафике. Что это за трафик и в каких единицах он передставлен?

Ещё пример лога:
<133>EFW: USAGE: conns=180 if0=core ip0=127.0.0.1 tp0=0.00 if1=LAN ip1=192.168.0.1 tp1=4.16 if2=WAN ip2=83.237.71.132 tp2=0.03 if3=DMZ ip3=127.0.0.1 tp3=0.00 if4=l2tpServer ip4=192.168.0.1 tp4=0.00</Log>
Вернуться наверх
 Профиль  
 
Dimadim
 Заголовок сообщения:
СообщениеДобавлено: Пн дек 12, 2005 13:53 
Не в сети

Зарегистрирован: Вт ноя 22, 2005 11:00
Сообщений: 18
Откуда: г Химки МО
После часа сбора логов и их исследования получил такаой результат:

Если в паре termsent=1360 -- левое это ключ, а правое это значение то программа нашла в логах 74 ключа Вот они:

- HeadersItems {Count=74}
[0] "prio"
[1] "rule"
[2] "action"
[3] "recvif"
[4] "srcip"
[5] "destip"
[6] "ipproto"
[7] "ipdatalen"
[8] "icmptype"
[9] "unreach"
[10] "srcport"
[11] "destport"
[12] "ack"
[13] "fin"
[14] "conn"
[15] "connipproto"
[16] "connrecvif"
[17] "connsrcip"
[18] "connsrcport"
[19] "conndestif"
[20] "conndestip"
[21] "conndestport"
[22] "origsent"
[23] "termsent"
[24] "srcusername"
[25] "reason"
[26] "rst"
[27] "algmod"
[28] "algsesid"
[29] "ses"
[30] "event"
[31] "url"
[32] "peer"
[33] "authrule"
[34] "authagent"
[35] "authevent"
[36] "username"
[37] "udptotlen"
[38] "conns"
[39] "if0"
[40] "ip0"
[41] "tp0"
[42] "if1"
[43] "ip1"
[44] "tp1"
[45] "if2"
[46] "ip2"
[47] "tp2"
[48] "if3"
[49] "ip3"
[50] "tp3"
[51] "if4"
[52] "ip4"
[53] "tp4"
[54] "idletimeout"
[55] "sessiontimeout"
[56] "groups"
[57] "tcphdrlen"
[58] "syn"
[59] "psh"
[60] "shutdown"
[61] "time"
[62] "startup"
[63] "corever"
[64] "uptime"
[65] "cfgfile"
[66] "cfgver"
[67] "previous_shutdown"
[68] "delay"
[69] "bidir"
[70] "echoid"
[71] "echoseq"
[72] "connsrcid"
[73] "conndestid"

Думаю что это не все возможные значения.
Вернуться наверх
 Профиль  
 
Alexander Shebaronin
 Заголовок сообщения:
СообщениеДобавлено: Пн дек 12, 2005 15:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
у нас в FAQ есть статья с примером скрипта для анализа трафика. Если взять его то разобраться как и что считается можно. общий формат описан в документации.

_________________
С уважением -- Александр Шебаронин.
Вернуться наверх
 Профиль  
 
Dimadim
 Заголовок сообщения:
СообщениеДобавлено: Пн дек 12, 2005 16:11 
Не в сети

Зарегистрирован: Вт ноя 22, 2005 11:00
Сообщений: 18
Откуда: г Химки МО
В скрипте подсчёт производит этот кусок:
if(match($0, "destif=" strIface " .*destip=([^ ]+).*origsent=([0-9] +).*termsent=([0-9]+)", a)>0) Похоже сдесь записывается массив a[] ?
{
if(bUsernames && match($0, "destusername=(\"[^\"]+\"|[^ ]+)", b)>0)
user=b[1];
else
user=a[1];
num[user]++;
sent[user]+=int(a[3]); вот суммирование переданного трафика
recv[user]+=int(a[2]); вот суммирование принятого трафика

if(bPortstats)
{
if(match($0, "proto=([^ ]+).*destport=([^ ]+)", b)>0)
foo = b[2] "/" scrubproto(b[1]);
else if(match($0, "proto=([^ ]+)", b)>0)
foo = scrubproto(b[1]);
else
foo = "?";
portsent_destif[foo]+=int(a[3]);
portrecv_destif[foo]+=int(a[2]);
}
}


Получается origsent - переданный трафик, а termsent - принятый? Так?

А на каком языке скрипт написан? Perl?
Вернуться наверх
 Профиль  
 
Dimadim
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 15, 2005 16:48 
Не в сети

Зарегистрирован: Вт ноя 22, 2005 11:00
Сообщений: 18
Откуда: г Химки МО
Отвечаю сам себе

Output types
There are a number of output types defined that are used when specifying what data to be returned by the query.

All output types return data in plain text, except the binary type, which will return the data in a binary form used in the query tool. The binary output type is the only output type that is allowed when using the query analyzer tool, and it cannot be mixed with the plain text output types.

The following output types are defined:

Name
Description

binary
Binary form output, only used within the query tool

srcip
Source IP address

destip
Destination IP address

srcport
Source port

destport
Destination port

hwsrc
Source ethernet address

hwdest
Destination ethernet address

iphdrlen
IP header length

ipdatalen
IP data length

iptotlen
IP total length (data + header)

udpdatalen
UDP data length

udptotlen
UDP total data length

firewall
Name of the firewall that sent the data

time
The time when the event took place

recvif
Receiving interface

destiface
Destination interface

ttl
Time To Live field in the IP header

date
The date when the packet arrived at the logger

description
Description of the event

arp
ARP packet type

arphwdest
Destination hardware address in ARP events

arphwsrc
Source hardware address in ARP events

ipproto
IP protocol

icmptype
ICMP type

icmpsrcip
Source IP in an ICMP-encapsulated IP packet

icmpdestip
Destination IP in an ICMP-encapsulated IP packet

icmpsrcport
Source port of an ICMP-encapsulated UDP/TCP packet

icmpstd
ttl, icmptype, icmpipproto, icmpdestip, icmpsrcip and icmpdestport

tcpflags
All TCP flags

enetproto
Ethernet protocol

usage
Interface throughput

connusage
Connection statistics

rule
Name of the rule that this log entry matched

satsrcrule
Name of the SAT source rule that this entry matched

satdestrule
Name of the SAT destination rule that this entry matched

origsent
Amount of data sent by the originator (client end) of the connection

termsent
Amount of data sent by the terminator (server end) of the connection

conn
Conn event type

ack
TCP ACK flag (0 or 1)

fin
TCP FIN flag (0 or 1)

psh
TCP PSH flag (0 or 1)

rst
TCP RST flag (0 or 1)

syn
TCP SYN flag (0 or 1)

urg
TCP URG flag (0 or 1)

ece
TCP EXE flag (0 or 1)

cwr
TCP CWR flag (0 or 1)

category
Category of the logged event

tcphdrlen
TCP header length

tcpdatalen
TCP data length

tcptotlen
TCP total length (data + header)

standard
date, time, firewall, category, recvif, srcip, srcport, destip, destport, ipproto and description

tcpstd
tcpdatalen, tcphdrlen, fin, syn, rst, psh, ack, urg, ece and cwr

udpstd
udpdatalen

severity
Log message severity

algmod
Name of the ALG module that this log message originated from

algsesid
ID of the ALG session that this log message originated from

authrule
Name of the userauth rule applied

authagent
User authentication agent

authevent
User authentication event

username
Name of the user that logged in/out

usernames
username, srcusername, and destusername

srcusername
The user that originated this connection/packet

destusername
The destination user
Вернуться наверх
 Профиль  
 
Alexander Shebaronin
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 15, 2005 18:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт апр 22, 2004 09:33
Сообщений: 2037
Откуда: D-Link Moscow
Спасибо что не поленились опубликовать.

_________________
С уважением -- Александр Шебаронин.
Вернуться наверх
 Профиль  
 
superstasik
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 12, 2007 13:45 
Не в сети

Зарегистрирован: Чт окт 21, 2004 14:38
Сообщений: 64
Откуда: Moscow
Спасибо, земляк!
Вернуться наверх
 Профиль  
 
Dimadim
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 12, 2007 16:24 
Не в сети

Зарегистрирован: Вт ноя 22, 2005 11:00
Сообщений: 18
Откуда: г Химки МО
Да прошло чуть более года с того времени как я озадачился подсчётом трафика при помощи маршрутизатора-брандмауэра DFL700. Это время время не было потрачено зря. С тех пор я написал программу для подсчёта трафика в своей локальной сети. И имею обширную информацию о событиях в сети. Прграмма кроме подсчета общего трафика умеет считать трафик с оддельных IP адресов и по отдельным Пользователям. Также ведётся статистика по портам, т.е. я всегдамогу сказать сколько трафика съела например исходящая почта. Так-же программа показывает загрузку(использование) интернета с периодичностью по годам, месяцам, дням, часам или минутам. И все эти данные можно получить за любой промежуток времени.
Что теперь меня интерисует, так это можно ли программу использовать с другими моделями маршрутизаторов или брандмауэров.
Вернуться наверх
 Профиль  
 
Dimadim
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 12, 2007 16:44 
Не в сети

Зарегистрирован: Вт ноя 22, 2005 11:00
Сообщений: 18
Откуда: г Химки МО
Для иллюстрации привожу скриншоты моей программы

Изображение
Изображение
Вернуться наверх
 Профиль  
 
Pavel Anisimov
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 12, 2007 16:50 
Не в сети

Зарегистрирован: Чт мар 31, 2005 08:58
Сообщений: 73
Откуда: Kolomna
Пора это дело ставить на коммерческую основу. :)
Вернуться наверх
 Профиль  
 
Dimadim
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 12, 2007 17:03 
Не в сети

Зарегистрирован: Вт ноя 22, 2005 11:00
Сообщений: 18
Откуда: г Химки МО
Программа работает уже год и время от времени моими усилиями улучшается. Программу я написал на C#.NET и ADO.NET. Если бы поситители этого форумуа выразили свой интерес к программе то я мог бы закончить её (ещё нет установщика) и предложить для распространения. И хтелось бы узнать сколько кто готов заплатить за такую программу (если вообще готов)
Вернуться наверх
 Профиль  
 
Stanislav Kozlov
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 12, 2007 17:03 
Только пожалуйста не здесь.
Вернуться наверх
  
 
Dimadim
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 12, 2007 17:35 
Не в сети

Зарегистрирован: Вт ноя 22, 2005 11:00
Сообщений: 18
Откуда: г Химки МО
Не сдесь так не сдесь. Пишите arganza@arganza.ru
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 13 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 274

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB