web-dev-qa-db-ja.com

ログに記録されないトラフィックパケットを軽減する

チャオ、

何年も前からFortigateデバイスを使用しており、プロトコルごとに帯域幅の使用状況を確認する必要がありますが、これは不可能です。このテストを行いました:

1)すべてのポリシーログオプション-すべてのセッションをログに記録します2)forticloudが有効になります3)2つのsyslogdサーバーのセットアップ(config syslogd filterがすべて有効になります)4)インターネットコンピューターから実行されたFTP getと内部LANのFTPサーバー(VIP NAT)。約50分で1つのファイルサイズ670.347.264バイトを転送しました

Syslogdを見ると、トラフィックFTPと合計sentbyteおよびrcvdbyteが400.000バイト未満であることに関連するログレコードは6つしか見つかりませんでした。その日のForticloudのトップソースIPトラフィックは、別のホスト(ftpサーバーではない)の2MBトラフィックを示しています。したがって、600Mbのトラフィックがfortigateを通過したログはどこにもありません。フォーティネットへのチケットを開いたところ、「観察した内容に問題はありません。セッションは開始時と終了時に定義され、正確に何をしているかについての情報は提供されません。 -アップロード/ダウンロード、および転送/ダウンロードしたファイルの大きさ。 "

これらの手段は次のとおりです。fortigateによって生成されたログフィールドsentbyteおよびrcvdbyteは信頼性が低く、これらのフィールドを使用するManageEngine FirewallAnalyzerなどのサードパーティソフトウェアはFortigateトラフィック分析に使用できませんでした。多くのトラフィックが失われるため、Forticloudレポートの帯域幅使用統計でさえ信頼できません。

よろしくルカ

bandwidthtrafficfortigate
1
luca

あなたの投稿であなたの質問が正確に何であるかはわかりませんが(?が見つからないため)、私の理解から、いくつかの手がかりを提案します。

プロトコルごとの帯域幅使用量を確認するには、 NetFlow プロトコルを検討することをお勧めします。

このプロトコルは、ネットワークトラフィックを詳細に分析し、アプリケーション層までの使用状況を報告することができます。

NetFlowはCiscoプロトコルであり、フォーティネットについて話しているので、 sFlow と呼ばれるNetFlowの代替を使用できます。

FortiOS 4.0MR2以降 フォーティネットはsFlowプロトコルをサポートしています 。すべてのインターフェイスで有効にすることも、ユニタリインターフェイスでのみ有効にすることもできます。

NetFlowとは対照的に、sFlowの問題は、sFlowがポーリング間隔を必要とするため、一部のトラフィックを見逃す可能性があることです。

これは私が言っていることを説明するための(非常に短い)ブログです

また、特定の製品(ManageEngine)について話しているので、 ここに興味深いリンクがあります

帯域幅の使用についてのみ一言:

FortigateユニットでsFlowを有効にしていませんが、SNMPとCactiを使用して、各Fortigateインターフェイスに帯域幅使用量の監視を実装しました このドキュメントに続く

グラフで得られる結果は関連性があると言わざるを得ません。私はあなたが話している信頼できない統計を持っていません。

OID:1.3.6.1.2.1.2.2.1(iso.org.dod.internet.mgmt.mib-2.interfaces.ifTable.ifEntry)を使用して統計を取得します:

  • ifInOctets = 1.3.6.1.2.1.2.2.1.10
  • ifOutOctets = 1.3.6.1.2.1.2.2.1.16

インデックス番号57のインターフェイスを想定:

  • ifInOctets.57 = 1.3.6.1.2.1.2.2.1.10.57
  • ifOutOctets.57 = 1.3.6.1.2.1.2.2.1.16.57

幸運を !

1
krisFR