Добрый день, пытаюсь считать траффик VPN пользователей. Сумирую:
bytessent из таблицы прокси, где Action=9bytesrecvd из таблицы фаервола, где Action=7
но учтенного траффика получается то больше, то меньше (причем на порядок), чем на компьютере пользователя, согласно BWMeter.Вопрос: Что надо учитывать?
Тот же самый вопрос - как правильно посчитать трафик VPN соединений? Где взять инфу по этому вопросу?
Что делать с action = 11 Intermediate ? Я здесь встречал упоминание, что этот тип записей участвует в подсчете vpn трафика ...
П.С. Извините за поднятие старой темы
intermediate это промежуточная запись в лог, если я правильно помню пишется раз в 15 мин. используется для подсчета длинных подключений, например тех же впн, потому как подсчет по закрытию может выдать неверный результат если закрытие сессии не попало в запрашиваемый период (например считали трафик за сутки, подключение открылось в обед а закрылось следующим утром). но но использовать эти записи надо осторожно, например нельзя по ним тупо суммировать столбцы bytessent и bytesreceived - получишь числа на порядки больше, но можно суммировать дельты (это два других столбца), либо смотреть последнюю запись отфильтровывая по connection id, правда не забывать вычитать первую, а то может случится что и начало коннекта было до запрашиваемого периода и последняя запись опять покажет неверный результат.
А если такая точность не нужна (по дням). Мне хотя бы за месяц получить "похожую" на провайдера картинку... Сейчас полная фигня получается, в наличии два сервера ISA 2006 на одном - пользователи локалки ходят в инет, на другом - vpn + избранные в инет. Так вот на превом - все сходится по простому
"WHERE (SourceNetwork = 'Local Host') AND (DestinationNetwork = 'External') AND (Action = 7)"
А вот со вторым, где vpn - я ну ни как не могу получить даже сумму трафика, совпадающую с суммой провайдера (разница - у меня 5.5 гиг у прова 7.3 гига).
Как считать то через SQL, хотя бы суммарный траф? И чем bytessent и bytesreceived от дельт отличаются? Дельты - это отличие от прошлого значения в строке с intermediate?
так считать то следует в обе стороны, в случае впн клиентов и публикаций source уже будет external
про дельты так и есть, это разница между двумя записями
Ну можешь попробовать
mp.ustu.ru/users/Считалка трафика для ISA2006/
aleks2:Ну можешь попробовать mp.ustu.ru/users/Считалка трафика для ISA2006/
Это типа не похвалишь сам себя, так никто не похвалит?
Если никак не можешь решить проблему, значит, ты сам - часть этой проблемы. Cлабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь. На любой вопрос ответ найдётся здесь
2 aleks2
Я наверное не до конца в ней разобрался, да и логи у меня уже готовые, которые нужно проанализировать (2 журнала по 60 гиг)..
Аська есть? поможешь?
burned:так считать то следует в обе стороны, в случае впн клиентов и публикаций source уже будет external
Непонял немного.. Intermediate записи нужны при таком подсчете или нет? Просто у меня сумма трафика (вх и исх) не сходится. т.е. проблема пока даже не в направлении, а в количестве байт как таковых...
зачем нужен intermediate я уже писал, в случае длинных периодов вероятность более длинных соединений невелика, поэтому можно не использовать
нет, дело именно в направлении, даже школьник знает, что провайдер выдает тебе статистику в удобочитаемом виде - сколько к тебе пришло и сколько от тебя ушло, независимо от того кто был инициатором соединения. но в логи, таже иса, пишет относительно инициатора, если у тебя локальный юзер полез в инет то кол-во скачанного считается по полю recvd с направлением от тебя в external, а если это был внешний чувак, например впн клиент, то чтобы подсчитать твой входящий нужно уже смотреть sent с напрвлением снаружи к тебе.
ps удивительно что такую элементарщину приходится писать
burned:ps удивительно что такую элементарщину приходится писать
Как я уже писал - "Просто у меня сумма трафика (вх и исх) не сходится" именно сумма, а не разделение по вх и вых. т.е. пров насчитал мне сумму 7 гиг за день, а по сумме трафика по исе - 5 гиг получается... по этому и вопрос, в чем подвох. Вообще то.
Т.е. для начала разобраться с подсчета хотя бы объема трафика, а потом уже с направлением...
ты точно все правильно посчитал?
пиши сюда запрос
DECLARE @datevar1 datetime, @datevar2 datetimeSET TRANSACTION ISOLATION LEVEL READ UNCOMMITTEDSET @datevar1 = CONVERT(DATETIME, '20100420', 101)SET @datevar2 = CONVERT(DATETIME, '20100421', 101)SELECT CONVERT(nvarchar(11), logtime,111) AS Date, CAST(CAST(SUM(bytessentDelta) AS decimal)/(1024*1024) AS decimal(10, 2)) AS 'Отправлено mb', CAST(CAST(SUM(bytesrecvdDelta) AS decimal)/(1024*1024) AS decimal(10, 2)) AS 'Получено mb'FROM [gw3].[dbo].[FirewallLog]WHERE (logtime between @datevar1 AND @datevar2) AND (Action <> 11)GROUP BY CONVERT(nvarchar(11), logtime,111)ORDER BY 'Отправлено mb' DESC, Date
Такой вот запрос, соотв. в переменных выбирается диапазон дат за который делать выборку.
Странная метода подсчета. Этож ФСЕ. А не только VPN.
1. Цепляемся по VPN к ISA. Лучше бы по специально сделанному правилу - шоб фильтровать легче.
2. Создаем трафик... какой нада. Записываем показания счетчика на VPN-подключении.
3. Фильтруем журнал ISA по "специально сделанному правилу".
4. Смотрим и чешем репу.
Вот пример VPN-сессии
По счетчику клиента принято: 18 799 000 байт. Я б сказал: усе совпадает.
Я написал запрос которым я, как мне думается, считаю "весь трафик"... Это так?
У меня как раз трафик при таком запросе сильно не сходится, как я и писал выше....
С таким запросом можно посчитать весь трафик включая vpn (без разделения)?