Чао,
мы используем устройство Fortigate много лет, и теперь нам нужно проверить использование полосы пропускания для каждого протокола, а это невозможно. Мы сделали этот тест:
1) все параметры ведения журнала политик - записывать все сеансы 2) forticloud включен 3) установка двух серверов syslogd (все фильтры config syslogd включены) 4) с компьютера в Интернете выполняется FTP get по сравнению с FTP-сервером в нашей внутренней локальной сети (с использованием VIP NAT). Перенес один файл размером 670,347,264 байта примерно за 50 минут
Глядя на syslogd, мы обнаружили только шесть записей журнала, относящихся к трафику FTP и общему количеству отправленных байтов и rcvdbyte менее 400 000 байт. IP-трафик главного источника Forticloud за день показывает трафик 2 МБ с другого хоста (не ftp-сервера). Таким образом, нет никаких журналов трафика 600 Мб, прошедших через фортигат нигде. Мы открыли заявку в Fortinet, и они ответили нам: «Нет ничего плохого в том, что вы наблюдали. Сеанс определяется тем, когда он был инициирован, а когда он закончился, он не дает вам информации о том, что именно вы делали. - загрузка / скачивание и размер переданного / скачанного вами файла ».
Для нас это означает: поля журнала sentbyte и rcvdbyte, созданные fortigate, не являются надежными, и стороннее программное обеспечение, такое как ManageEngine Firewall Analyzer, использующее эти поля, не может использоваться для анализа трафика Fortigate. Даже статистика использования полосы пропускания Forticloud ненадежна, потому что пропускается много трафика.
С уважением, Лука
Я не совсем уверен, что понимаю ваш вопрос (так как я не могу найти ни одного ?
) в вашем посте, но, насколько я понимаю, я предложу несколько подсказок.
Чтобы проверить использование полосы пропускания по протоколу, вы можете рассмотреть Поток данных, передающихся по сети протокол.
Этот протокол может глубоко анализировать сетевой трафик и сообщать об использовании до уровня приложений.
Поскольку NetFlow - это протокол Cisco, и мы говорим о Fortinet, вы можете использовать альтернативу NetFlow под названием sFlow.
Начиная с FortiOS 4.0MR2 Fortinet поддерживает протокол sFlow. Его можно включить на всех интерфейсах или только на унитарных.
Проблема с sFlow, в отличие от NetFlow, заключается в том, что sFlow требует интервала опроса, поэтому вы можете пропустить некоторый трафик.
Вот (очень короткий) блог, чтобы проиллюстрировать то, что я говорю.
Кроме того, поскольку вы говорите о конкретном продукте (ManageEngine), вот ссылка, которая может быть интересна.
Несколько слов только об использовании полосы пропускания:
Я не включил sFlow на своих устройствах Fortigate, но я реализовал мониторинг использования полосы пропускания на каждом из моих интерфейсов Fortigate, используя SNMP и Cacti, следуя этому документу.
Я должен сказать, что результаты, которые я получаю на своих графиках, актуальны. У меня нет недостоверной статистики, о которой вы говорите.
Я использую OID: 1.3.6.1.2.1.2.2.1 (iso.org.dod.internet.mgmt.mib-2.interfaces.ifTable.ifEntry) для получения статистики:
Предполагая интерфейс с номером 57:
Удачи !