fortigate pacotes de tráfego não registrados

1

Ciao,

usamos o dispositivo Fortigate há anos e agora precisamos verificar o uso da largura de banda por protocolo e isso não é possível. Nós fizemos este teste:

1) all policy Opções de log - Registrar todas as sessões 2) forticloud ativado 3) duas configurações do servidor syslogd (config syslogd filter all enabled) 4) do computador da Internet FTP executado contra um servidor FTP em nossa LAN interna (usando VIP NAT). Transferiu um tamanho de arquivo de 670.347.264 bytes em cerca de 50 minutos

Olhando para o syslogd, encontramos apenas seis registros relacionados ao tráfego FTP e ao total enviado e rcvdbyte a menos de 400.000 bytes. Forticloud top tráfego IP fonte do dia mostrar outro tráfego host (não o servidor ftp) 2mb. Portanto, não há log de tráfego de 600Mb passado throgh fortigate em nenhum lugar. Abrimos um ingresso para a Fortinet e eles nos respondem: "Não há nada de errado com o que você observou. A sessão é definida por quando foi iniciada e quando acabou, não lhe dá a informação que exatamente você tem feito - upload / download e quão grande foi o arquivo que você transferiu / baixou. "

Esses meios para nós: os campos de log sentbyte e rcvdbyte gerados pelo fortigate não são confiáveis e softwares de terceiros, como o ManageEngine Firewall Analyzer usando esses campos, não puderam ser usados para a análise de tráfego do Fortigate. Mesmo as estatísticas de uso de largura de banda do relatório Forticloud não são confiáveis porque muitos tráfego é perdido.

Cumprimentos Luca

    
por luca 02.02.2014 / 12:55

1 resposta

1

Não tenho certeza de qual é exatamente a sua pergunta (já que não consigo encontrar ? ) no seu post, mas pelo que entendi, vou sugerir algumas dicas.

Para verificar o uso da largura de banda por protocolo, convém considerar o protocolo NetFlow .

Esse protocolo é capaz de analisar profundamente o tráfego de rede e relatar o uso até a camada de aplicativos.

Como o NetFlow é um protocolo da Cisco e estamos falando da Fortinet, você pode usar uma alternativa ao NetFlow chamada sFlow .

Como o FortiOS 4.0MR2 O Fortinet suporta o protocolo sFlow . Pode ser ativado em todas as interfaces ou somente unitárias.

O problema com o sFlow, em oposição ao NetFlow, é que o sFlow requer um intervalo de pesquisa para que você possa perder algum tráfego.

Aqui está um blog (muito curto) para ilustrar o que estou dizendo .

Além disso, como você está falando sobre um produto específico (ManageEngine), aqui está um link que pode ser interessante .

Apenas uma palavra sobre o uso de largura de banda apenas:

Eu não habilitei o sFlow em minhas unidades Fortigate, mas implementei o monitoramento de uso de largura de banda em cada uma das minhas interfaces Fortigate, usando SNMP e Cacti, seguindo este documento .

Eu tenho que dizer que os resultados que recebo em meus gráficos são relevantes. Eu não tenho estatísticas confiáveis sobre as quais você fala.

Eu uso o OID: 1.3.6.1.2.1.2.2.1 (iso.org.dod.internet.mgmt.mib-2.interfaces.ifTable.ifEntry) para obter estatísticas:

  • ifInOctets = 1.3.6.1.2.1.2.2.1.10
  • ifOutOctets = 1.3.6.1.2.1.2.2.1.16

Supondo uma interface com o número de índice 57:

  • ifInOctets.57 = 1.3.6.1.2.1.2.2.1.10.57
  • ifOutOctets.57 = 1.3.6.1.2.1.2.2.1.16.57

Boa sorte!

    
por 02.02.2014 / 16:41