Трафик, статистика, логи на шлюзах Zyxel
Привет, Хабр!
Близится к концу 2023 год и ожидаемо, что руководство, сетевики, ИБешники, сисадмины и другие категории специалистов ИТ интересуются количеством принятого и отправленного трафика или с них требуют отчёт использованного трафика.
Шлюзы ZYXEL USG Flex и ATP поддерживают два механизма ведения отчётности. Чем отличаются, как реализованы и настраиваются — об этом подробно рассказывается в статье.
Первый механизм
Первый механизм ведения отчётности компактен и прост. Реализован в веб-интерфейсе (рис. 1) и в консольном режиме show report lan1 ip (рис. 3). Бесплатны, лицензии и регистрации не требуются. Необходимо включить только одну галочку «Сбор статистики» (зелёная стрелка на рис. 1) или configure terminal > report (рис. 2), чтобы шлюз начал считать трафик.
Рис. 1 — Статистика сетевого-трафика.
Рис. 2 — Включение сбора статистики в консоли.
Рис. 3 — Статистика сетевого-трафика в консоли.
Трафик считает без задержек, т.к. хранит только в своей памяти и в интернет, на облако не отправляет. Графики в веб-интерфейсе сами не обновляются, нужно нажимать кнопку «Обновить» для обновления значений (рис. 4).
Рис. 4 — Обновление значений статистики.
Лайфхак 1
Для вычисления активно качающих пользователей, можно очистить статистику (кнопка «Очистить»), подождать несколько секунд и «Обновить» статистику. В ней отобразится ТОП 20 IP пользователей или ресурсов, выкачавших или отправивших больше всего трафика. По умолчанию сортировка производится по убыванию трафика.
Tx To — отправлено от интерфейса (порта) шлюза к IP (шлюз → IP)
Rx From — интерфейс (порт) шлюза принял с IP (шлюз <- IP).
Аналогичная картина с ТОП 20 сервисов/портов, веб-сайтов и стран.
В веб-интерфейсе и в консоли отображается не более ТОП 20 адресов. Сохранить отчёт в pdf нет возможности и вся статистика обнуляется при перезагрузке шлюза или при потере электропитания. Также не получится просмотреть статистику выбранного дня, недели в прошлом или позапрошлом месяце.
Возможно, эти ограничения сделаны для экономии аппаратных ресурсов железки в пользу производительности.
Лайфак 2
Если настроено логирование на лог-сервер, флешку или почту, то статистику трафика можно узнать по сессиям в логам за конкретный период: в какое время и какой IP, мак-адрес и учётка посещали узлы в интернете или кто подключался к WAN порту шлюза.
Не расстраивайтесь, ведение отчётности трафика без ограничений есть и ПОДРОБЕН во втором механизме ведения отчётности с названием «SecuReporter» (далее просто SR).
Второй механизм «SecuReporter»
Слово «SecuReporter» — это фирменное название функционала на шлюзах ATP / USG Flex и является облачным. Статистика трафика хранится в облаке и все дальнейшие работы с отчётами и статистикой ведутся в облаке на ресурсе https://secureporter.cloudcnm.zyxel.com (авторизуется через головной ресурс portal.myzyxel.com).
В SecuReporter, кроме отчётов и статистики по трафику, параллельно мониторятся:
события индикаторов безопасности ADP, IP Reputation, IPS, DNS Threat Filter, URL Threat Filter, Antivirus / Malware, Sandboxing, Mail Protection (если лицензии сервисов безопасности активны);
события сетевой активности DNS Content Filter, App Patrol, Web Content Filter (если лицензии активны);
графики использования CPU, памяти, сессий, физических интерфейсов;
системные события, происходящие в шлюзе.
SC на шлюзе бесплатен первые 30 дней, далее нужно активировать приобретением подписки по артикулу у дистрибьюторов или в онлайн-магазинах.
Артикул к конкретной модели можно узнать тут, выбрав в «Service Name → SecuReporter» .
После приобретения вам пришлют подписку в электронном виде в виде ключа из различных букв и цифр, который вводится в личном кабинете, затем привязывается к шлюзу (если он ранее был зарегистрирован в личном кабинете). Подробнее тут или на этом видеоролике.
Если шлюз сломался или поменяли на другой, лицензию с него можно «перенести» на другой запасной шлюз в этом же личном кабинете.
На самом шлюзе ключ не нужно вводить. Шлюз через интернет синхронизируется с portal.myzyxel.com и автоматически активирует функционал SecuReporter.
После того, как на шлюзе подписка SecuReporter активируется (рис. 5), нужно расставить галочки как на рисунках 6 и 7 для того, чтобы статистика, оповещения, события со шлюза передавались в SecuReporter.
Рис. 5 — Статус сервиса SecuReporter.
Рис. 6 — Включение SecuReporter.
Рис. 7 — Включение анализа устройств для SecuReporter.
ЧаВо SecuReporter:
SR — это облачный ресурс, программных и автономных версий нет. Поэтому значения обновляются с задержкой;
сервер и хостинг не нужен;
просмотр только в режиме веб-страницы;
со шлюза нельзя выгрузить pdf. Выгрузить можно только из облака, также отправлять на почту ежесуточно/еженедельно/ежемесячно;
веб-сайт и отчёты только на единственном английском яызке;
к облаку (secureporter.cloudcnm.zyxel.com) можно подключиться из любой точки мира, где есть интернет;
доступ к secureporter.cloudcnm.zyxel.com только по паролю, зарегистрированного на ресурсе portal.myzyxel.com.
платный. Пробный период 30 дней;
артикул выбирается тут;
приобретается у дистрибьюторов или в онлайн-магазинах;
активируется ключом только на portal.myzyxel.com в личном кабинете;
можно переносить на другие устройства, зарегистрированные в ОДНОМ личном кабинете;
приостанавливать срок действия ключа нельзя;
поддерживает модели ATP / USG Flex. Также EOL модели ZyWALL / USG (рис. 8 или стр. 6–7 руководства пользователя SecuReporter).
Рис. 8 — Перечень поддерживаемых устройств SecuReporter’ом.
сроки хранения статистики, отчётов, логов и графиков перечислены ниже в таблице и в конце статьи на рисунке 10 отмечены красным цветом.
Категория | Срок хранения |
Графики, счётчики оповещения и т.д. | 30 суток |
Сессии трафика | 7 суток |
Суточные логи | 1 год |
Сохранённые отчёты | 1 год |
Рис. 9 — Выбор режима анонимности.
Знакомство вживую
Веб-страница SecuReporter довольно объёмная, парой скриншотов и видеороликов не обойтись для ознакомления, поэтому сразу представляю вашему вниманию схему-навигацию по SecuReporter’у (рис. 10), а после схемы размещена ссылка на SecuReporter в режиме демостенда.
Рис. 10 — Навигация в SecuReporter.
Демостенд SecuReporter (сначала кнопка «Sign In, потом Try Demo»).
Об авторе:
Кто я? Меня зовут Александр. 17 лет профессионально занимаюсь СКС и сетевым оборудованием. Получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в Телеграме — @NSanchez13, так что, если будут вопросы, комментарии, мнения — милости прошу.
Мои предыдущие статьи: Полезные ссылки: