Назад | Перейти на главную страницу

Fortigate пакеты трафика не регистрируются

Чао,

мы используем устройство Fortigate много лет, и теперь нам нужно проверить использование полосы пропускания для каждого протокола, а это невозможно. Мы сделали этот тест:

1) все параметры ведения журнала политик - записывать все сеансы 2) forticloud включен 3) установка двух серверов syslogd (все фильтры config syslogd включены) 4) с компьютера в Интернете выполняется FTP get по сравнению с FTP-сервером в нашей внутренней локальной сети (с использованием VIP NAT). Перенес один файл размером 670,347,264 байта примерно за 50 минут

Глядя на syslogd, мы обнаружили только шесть записей журнала, относящихся к трафику FTP и общему количеству отправленных байтов и rcvdbyte менее 400 000 байт. IP-трафик главного источника Forticloud за день показывает трафик 2 МБ с другого хоста (не ftp-сервера). Таким образом, нет никаких журналов трафика 600 Мб, прошедших через фортигат нигде. Мы открыли заявку в Fortinet, и они ответили нам: «Нет ничего плохого в том, что вы наблюдали. Сеанс определяется тем, когда он был инициирован, а когда он закончился, он не дает вам информации о том, что именно вы делали. - загрузка / скачивание и размер переданного / скачанного вами файла ».

Для нас это означает: поля журнала sentbyte и rcvdbyte, созданные fortigate, не являются надежными, и стороннее программное обеспечение, такое как ManageEngine Firewall Analyzer, использующее эти поля, не может использоваться для анализа трафика Fortigate. Даже статистика использования полосы пропускания Forticloud ненадежна, потому что пропускается много трафика.

С уважением, Лука

Я не совсем уверен, что понимаю ваш вопрос (так как я не могу найти ни одного ?) в вашем посте, но, насколько я понимаю, я предложу несколько подсказок.

Чтобы проверить использование полосы пропускания по протоколу, вы можете рассмотреть Поток данных, передающихся по сети протокол.

Этот протокол может глубоко анализировать сетевой трафик и сообщать об использовании до уровня приложений.

Поскольку NetFlow - это протокол Cisco, и мы говорим о Fortinet, вы можете использовать альтернативу NetFlow под названием sFlow.

Начиная с FortiOS 4.0MR2 Fortinet поддерживает протокол sFlow. Его можно включить на всех интерфейсах или только на унитарных.

Проблема с sFlow, в отличие от NetFlow, заключается в том, что sFlow требует интервала опроса, поэтому вы можете пропустить некоторый трафик.

Вот (очень короткий) блог, чтобы проиллюстрировать то, что я говорю.

Кроме того, поскольку вы говорите о конкретном продукте (ManageEngine), вот ссылка, которая может быть интересна.


Несколько слов только об использовании полосы пропускания:

Я не включил sFlow на своих устройствах Fortigate, но я реализовал мониторинг использования полосы пропускания на каждом из моих интерфейсов Fortigate, используя SNMP и Cacti, следуя этому документу.

Я должен сказать, что результаты, которые я получаю на своих графиках, актуальны. У меня нет недостоверной статистики, о которой вы говорите.

Я использую OID: 1.3.6.1.2.1.2.2.1 (iso.org.dod.internet.mgmt.mib-2.interfaces.ifTable.ifEntry) для получения статистики:

  • ifInOctets = 1.3.6.1.2.1.2.2.1.10
  • ifOutOctets = 1.3.6.1.2.1.2.2.1.16

Предполагая интерфейс с номером 57:

  • ifInOctets.57 = 1.3.6.1.2.1.2.2.1.10.57
  • ifOutOctets.57 = 1.3.6.1.2.1.2.2.1.16.57

Удачи !