[Uzver]

Общую статистику я могу получить у провайдера, требуется примерно так по тихому, хотя бы без детализации по протоколам, для начала узнать сколько кто съел и именно по тихому, если я начну поднимать прокси меня вычислят залягут на дно потом начнут качать снова. Для чего мне это надо, мне это надо для того чтобы всё таки обосновать руководству необходимость контроля за сотрудниками, а то все скулят что инет едва ползает что трафик немеряный но никак не решатся на то чтобы выделить под это хотя бы железо. Адреса в сети статика, инет раздается через Cisco 1812. У меня покамест только идея по тихому распихивать Tmeter, в фриварной версии, но есть пара ушлых которые и подозреваются в перерасходе они сразу увидят лишнее. Да все пользователи тут администраторы, да страшный бардак, и как раз я и хочу показать руководству к чему ведет политика вседозволености.

[Clericos]

TMetr позволяет собрать статистику с одного компьютера.
Надо найти хаб, либо, чтобы switch умел дублировать все пакеты на заданный порт (как это называется... Port Monitor?)

[Woland]

google -> netflow

[altaranenco]

А если поставить прозрачный прокси? И настроить только статику по IP? Соответвенно его поставить перед циской и дать ему ее адрес.

[Uzver]

tmeter распихивать на все машины, если распихивать а папка с логами его может быть и сетевой. port mirror вариант ну а дальше чем разбирать логи, тогда проще с Циски валить всё в syslog, надо видимо будет читать чем это можно разобрать.

[Woland]

Не занимайтесь велосипедостроением. Еще раз: NETFLOW
на циске: "ip flow-export ?"
на виндовой машине администратора: http://soft.mail.ru/...e.php?grp=67318

P.S. Хотя, если кому-то проще написать парсер для сислога, чем выполнить две команды на циске и установить софтину на виндовой машине, то в путь :D

[Uzver]

10х на днях попробую если ещё чем не прогрузят.

[Woland]

Пардон, 3 команды. Еще "ip route-cache flow" повесить на нужный интерфейс.

[HEH]

Поставить ИСУ и раздать настройки прокси через политики/DHCP?

IAM'ом посчитать трафик по юзверю/IP и к "царю на доклад".

[Uzver]

HEH, 11.3.2009, 20:11, сказал(а):

Поставить ИСУ и раздать настройки прокси через политики/DHCP?

IAM'ом посчитать трафик по юзверю/IP и к "царю на доклад".

Шутку оценил.

[Woland]

HEH, 11.3.2009, 21:11, сказал(а):

Поставить ИСУ и раздать настройки прокси через политики/DHCP?

IAM'ом посчитать трафик по юзверю/IP и к "царю на доклад".

Признайтесь, Вы пьяны или просто невнимательно прочитали исходный вопрос?

Для всех: не плетите ерунду, а прочитайте внимательно исходное сообщение: интернет раздается маршрутизатором cisco серии 18хх. После этих слов вопрос об учете трафика должен отпасть сам собой. Почему? Да потому, что данный маршрутизатор поддерживает протокол netflow (со списком оборудования cisco, поддерживающего netflow можно ознакомиться здесь: http://support.calig...om/kb/entry/42/ ). Протокол netflow был разработан компанией cisco как раз для случаев описанных топикстартером. Данный протокол позволяет передавать на удаленный хост информацию о трафике проходящем через маршрутизатор cisco, где (на удаленном хосте) она может быть отображена в каком угодно виде: с разделением по критериям хосты/протоколы IP/протоколы высших уровней(FTP, HTTP)/черт знает каким еще критериям... netflow передает ВСЮ ВОЗМОЖНУЮ информацию о трафике который проходит через маршрутизатор.

Схема работы такая: маршрутизатор cisco настраивается тремя командами, две из которых исполняются с режиме конфигурирования:

Цитата

router(config)# ip flow-export version 5
router(config)# ip flow-export destination xxx.xxx.xxx.xxx YYYY

и одна в режиме конфигурирования нужного интерфеса (с которого будет собираться статистика):

Цитата

router(config-if)# ip route-cache flow

Настроенный маршрутизатор льет поток информации о трафике на хост xxx.xxx.xxx.xxx и UDP порт YYYY. Ожидается, что на данном хосте и порту висит netflow-коллектор, который собирает эту статистику. Вот и вся любовь.

Администратору остается только установить netflow collector на устройстве xxx.xxx.xxx.xxx (коих огромное множество, пример коллектора под винду я приводил: http://soft.mail.ru/....php?grp=67318) и настроить коллектор на прием потока на порту YYYY. И не нужно никаких велосипедов с сислогом, виндовыми доменами, политиками и прочей лабудой. Всё гораздо проще - вопрос решается элементарно в течении 5 минут (3 командами на cisco и установкой софта-коллектора). Не нужно изобретать велосипед, уже все до вас изобретено. Просто документацию почитайте, наконец.

[HEH]

Коллега не уточнил, что у него вообще есть в сети, кроме циски. Это во первых.
Если есть домен, то самым правильным считать трафик по учетным записям. Это во вторых.
Предъявлять человеку трафик по ИП адресу ? Дальше что? За компом работал другой человек, накачал дряни, а спрашиваем у другого? Герой уйдет от ответа, а вот когда у трафика будет владелец по имени учетной записи - здесь уже не рыпнешься. А задача, как мне показалось, состоит именно в этом. Это в третьих.

У меня была такая же ситуация, как и у автора. Точь в точь. Но был домен. =)


ПС. И я не предлагал купить ИСУ и нужный софт =)
ППС. Woland. Что за тон? Что за отношение к собеседнику? Зачем все эти понты?

[Woland]

HEH, хорошо. Скажите, а выделенный жирным фрагмент Вас ни на какие на мысли не наводит?

Uzver, 11.3.2009, 17:56, сказал(а):

Общую статистику я могу получить у провайдера, требуется примерно так по тихому, хотя бы без детализации по протоколам, для начала узнать сколько кто съел и именно по тихому, если я начну поднимать прокси меня вычислят залягут на дно потом начнут качать снова. Для чего мне это надо, мне это надо для того чтобы всё таки обосновать руководству необходимость контроля за сотрудниками, а то все скулят что инет едва ползает что трафик немеряный но никак не решатся на то чтобы выделить под это хотя бы железо. Адреса в сети статика, инет раздается через Cisco 1812. У меня покамест только идея по тихому распихивать Tmeter, в фриварной версии, но есть пара ушлых которые и подозреваются в перерасходе они сразу увидят лишнее. Да все пользователи тут администраторы, да страшный бардак, и как раз я и хочу показать руководству к чему ведет политика вседозволености.

HEH, 12.3.2009, 2:21, сказал(а):

Коллега не уточнил, что у него вообще есть в сети, кроме циски. Это во первых.

Значит ничего нет. Не нужно домысливать своё.

HEH, 12.3.2009, 2:21, сказал(а):

Если есть домен, то самым правильным считать трафик по учетным записям. Это во вторых.

Ключевое слово - ЕСЛИ. Вы видели в исходном сообщении хоть какое-то упоминание домена?

P.S. Давайте заканчивать с "мне показалось", поскольку в таких случаях принято креститься. Ведь про домен и наличие ISA в исходном сообщении не было ни слова. По большому счету подобные "мне показалось"и "а вдруг/а если" - это оффтопик.

[Uzver]

Действительно ничего нет. даже DNS внешний на машинах, каждая сама себе браузер сети на каждой третьей машине по какому нибудь заменителю сетевого окружения типа nview каждый лепит какие хошь софтины сносит рекомендованые антивири и т.п. и т.д. Пока что идут работы по физической реорганизации сети, потом будет перероздана статика, далее в планах DNS, DHCP, видимопрокся, но чтобы мне путно обосновать необходимость взять под это железео надо показать что мы просираем по вине раздолбаев. Сейчас даже таблица адресов у меня не совсем полная, но те кто мне нужны они у меня есть. и потому предъявлять по IP адресу в данном случае очень даже катит, по ряду внутрених причин, ибо эти разборки будет вести руководство, я сто раз просил людей не слушать онлайн радио и не ставить торент клиенты чтобы качать себе музыку или кино.

[Kastaneda]

Uzver, 12.3.2009, 6:57, сказал(а):

предъявлять по IP адресу в данном случае очень даже катит

А права на смену ip адресов у юзверей тоже имеются?
Продвинутые будут вечером и и выходные сидеть под ip админа :D

[AirDwarf]

предлагается еще arpwatch какой-нибудь поставить, а лучше контроль arp-таблицы на свитчах, порт - МАС - IP. Какие свитчи стоят?

[Uzver]

Свитчи стоят нопремер разные, но всех их объединяет одна характеристика... УГ, полное...

А вот смену IP я мониторю.

[AirDwarf]

Uzver, 12.3.2009, 15:20, сказал(а):

смену IP я мониторю.

Относительно МАС или имени хоста?

[Uzver]

MD ARP Monitor, рулезная весчь.

[Uzver]

Woland Большое спасибо, поставил настроил, только не совсем понял над ли было ещё и SNMP подымать при этом, ибо зачем то в настройке оно предусмотрено, сейчас Solar собирает кучу инфы пока не понимаю чего вообще тут смотреть читаю мануалы.