Трафик, статистика, логи на шлюзах Zyxel12.12.2023 12:00

2370eb969b2cd3426d9b67609f94569b.jpg

Привет, Хабр!

Близится к концу 2023 год и ожидаемо, что руководство, сетевики, ИБешники, сисадмины и другие категории специалистов ИТ интересуются количеством принятого и отправленного трафика или с них требуют отчёт использованного трафика.

Шлюзы ZYXEL USG Flex и ATP поддерживают два механизма ведения отчётности. Чем отличаются, как реализованы и настраиваются — об этом подробно рассказывается в статье.

Первый механизм

Первый механизм ведения отчётности компактен и прост. Реализован в веб-интерфейсе (рис. 1) и в консольном режиме show report lan1 ip (рис. 3). Бесплатны, лицензии и регистрации не требуются. Необходимо включить только одну галочку «Сбор статистики» (зелёная стрелка на рис. 1) или configure terminal > report (рис. 2), чтобы шлюз начал считать трафик.

Рис.1 - Статистика сетевого-трафика.

Рис. 1 — Статистика сетевого-трафика.

Рис.2 - Включение сбора статистики в консоли.

Рис. 2 — Включение сбора статистики в консоли.

Рис.3 - Статистика сетевого-трафика в консоли.

Рис. 3 — Статистика сетевого-трафика в консоли.

Трафик считает без задержек, т.к. хранит только в своей памяти и в интернет, на облако не отправляет. Графики в веб-интерфейсе сами не обновляются, нужно нажимать кнопку «Обновить» для обновления значений (рис. 4).

Рис.4 - Обновление значений статистики.

Рис. 4 — Обновление значений статистики.

Лайфхак 1

Для вычисления активно качающих пользователей, можно очистить статистику (кнопка «Очистить»), подождать несколько секунд и «Обновить» статистику. В ней отобразится ТОП 20 IP пользователей или ресурсов, выкачавших или отправивших больше всего трафика. По умолчанию сортировка производится по убыванию трафика.

Tx To — отправлено от интерфейса (порта) шлюза к IP (шлюз → IP)

Rx From — интерфейс (порт) шлюза принял с IP (шлюз <- IP).

Аналогичная картина с ТОП 20 сервисов/портов, веб-сайтов и стран.

В веб-интерфейсе и в консоли отображается не более ТОП 20 адресов. Сохранить отчёт в pdf нет возможности и вся статистика обнуляется при перезагрузке шлюза или при потере электропитания. Также не получится просмотреть статистику выбранного дня, недели в прошлом или позапрошлом месяце.

Возможно, эти ограничения сделаны для экономии аппаратных ресурсов железки в пользу производительности.

Лайфак 2

Если настроено логирование на лог-сервер, флешку или почту, то статистику трафика можно узнать по сессиям в логам за конкретный период: в какое время и какой IP, мак-адрес и учётка посещали узлы в интернете или кто подключался к WAN порту шлюза.

Не расстраивайтесь, ведение отчётности трафика без ограничений есть и ПОДРОБЕН во втором механизме ведения отчётности с названием «SecuReporter» (далее просто SR).

Второй механизм «SecuReporter»


Слово «SecuReporter» — это фирменное название функционала на шлюзах ATP / USG Flex и является облачным. Статистика трафика хранится в облаке и все дальнейшие работы с отчётами и статистикой ведутся в облаке на ресурсе https://secureporter.cloudcnm.zyxel.com (авторизуется через головной ресурс portal.myzyxel.com).

В SecuReporter, кроме отчётов и статистики по трафику, параллельно мониторятся:

  • события индикаторов безопасности ADP, IP Reputation, IPS, DNS Threat Filter, URL Threat Filter, Antivirus / Malware, Sandboxing, Mail Protection (если лицензии сервисов безопасности активны);

  • события сетевой активности DNS Content Filter, App Patrol, Web Content Filter (если лицензии активны);

  • графики использования CPU, памяти, сессий, физических интерфейсов;

  • системные события, происходящие в шлюзе.

SC на шлюзе бесплатен первые 30 дней, далее нужно активировать приобретением подписки по артикулу у дистрибьюторов или в онлайн-магазинах.

Артикул к конкретной модели можно узнать тут, выбрав в «Service Name → SecuReporter» .

После приобретения вам пришлют подписку в электронном виде в виде ключа из различных букв и цифр, который вводится в личном кабинете, затем привязывается к шлюзу (если он ранее был зарегистрирован в личном кабинете). Подробнее тут или на этом видеоролике.
Если шлюз сломался или поменяли на другой, лицензию с него можно «перенести» на другой запасной шлюз в этом же личном кабинете.

На самом шлюзе ключ не нужно вводить. Шлюз через интернет синхронизируется с portal.myzyxel.com и автоматически активирует функционал SecuReporter.

После того, как на шлюзе подписка SecuReporter активируется (рис. 5), нужно расставить галочки как на рисунках 6 и 7 для того, чтобы статистика, оповещения, события со шлюза передавались в SecuReporter.

Рис.5 - Статус сервиса SecuReporter.5Рис.5 - Включение SecuReporter.

Рис. 5 — Статус сервиса SecuReporter.

Рис.6 - Включение SecuReporter.

Рис. 6 — Включение SecuReporter.

Рис.7 - Включение анализа устройств для SecuReporter.

Рис. 7 — Включение анализа устройств для SecuReporter.

ЧаВо SecuReporter:

  • SR — это облачный ресурс, программных и автономных версий нет. Поэтому значения обновляются с задержкой;

  • сервер и хостинг не нужен;

  • просмотр только в режиме веб-страницы;

  • со шлюза нельзя выгрузить pdf. Выгрузить можно только из облака, также отправлять на почту ежесуточно/еженедельно/ежемесячно;

  • веб-сайт и отчёты только на единственном английском яызке;

  • к облаку (secureporter.cloudcnm.zyxel.com) можно подключиться из любой точки мира, где есть интернет;

  • доступ к secureporter.cloudcnm.zyxel.com только по паролю, зарегистрированного на ресурсе portal.myzyxel.com.

  • платный. Пробный период 30 дней;

  • артикул выбирается тут;

  • приобретается у дистрибьюторов или в онлайн-магазинах;

  • активируется ключом только на portal.myzyxel.com в личном кабинете;

  • можно переносить на другие устройства, зарегистрированные в ОДНОМ личном кабинете;

  • приостанавливать срок действия ключа нельзя;

  • поддерживает модели ATP / USG Flex. Также EOL модели ZyWALL / USG (рис. 8 или стр. 6–7 руководства пользователя SecuReporter).

Рис.8 - Перечень поддерживаемых устройств SecuReporter'ом.

Рис. 8 — Перечень поддерживаемых устройств SecuReporter’ом.

  • сроки хранения статистики, отчётов, логов и графиков перечислены ниже в таблице и в конце статьи на рисунке 10 отмечены красным цветом.

Категория

Срок хранения

Графики, счётчики оповещения и т.д.

30 суток

Сессии трафика

7 суток

Суточные логи

1 год

Сохранённые отчёты

1 год

Рис.10 - Выбор режима анонимности.

Рис. 9 — Выбор режима анонимности.

Знакомство вживую

Веб-страница SecuReporter довольно объёмная, парой скриншотов и видеороликов не обойтись для ознакомления, поэтому сразу представляю вашему вниманию схему-навигацию по SecuReporter’у (рис. 10), а после схемы размещена ссылка на SecuReporter в режиме демостенда.

Рис.10 - Навигация в SecuReporter.

Рис. 10 — Навигация в SecuReporter.

Демостенд SecuReporter (сначала кнопка «Sign In, потом Try Demo»).

Об авторе:

Кто я? Меня зовут Александр. 17 лет профессионально занимаюсь СКС и сетевым оборудованием. Получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в Телеграме — @NSanchez13, так что, если будут вопросы, комментарии, мнения — милости прошу.

Мои предыдущие статьи: Полезные ссылки:

© Habrahabr.ru