Verursacher für hohen Traffic ausfindig machen, wie?

Hallo Sebastian,

du kannst unter Web Protection eigentlich recht schön sehen welcher Rechner der Tagesbester ist. Ansonsten unter App Control nachsehen, was es für ein Traffic ist.
Gruß


Robert

Hi Robert,

vielen Dank erstmal, unter Web Protection finde ich ja erstmal eine Übersicht, die sich in folgende Spalten gliedert:
Site, Verkehr, %, Seiten, Dauer, Anfragen

Leider kommen mir die Werte hier sehr niedrig vor, wenn man diese mit der "Bandbreitennutzung" vergleicht. Da habe ich für heute jetzt schon 15.7 GB, was ich für ca. 20 Mitarbeiter recht viel finde. Es geht aber auch ein wenig VPN-Traffic darüber.

Moin,

erstelle dir mal nen Daily Report, dann schau mal unter Netzwerknutzung. (alternativ zu WebProtection)

Hier bekommst du die IP, Host, Benutzer, Pakate, Datenverkehr ...

unter den Top Diensten kannst sehen über welchen Port der meiste Traffic läuft.

Hallo derlekker,

unter "Netzwerknutzung" erhalte ich lediglich Diagramm, siehe Post eins. Darüber bin ich ja überhaupt erst auf die Hohe Auslastung aufmerksam geworden. Aber ich kann einfach nicht den gesamten Traffic einsehen, der hier tatsächlich entsteht.
Wie im vorigen Post geschrieben, zeigt Webprotection m.E. nach nur einen Bruchteil an.
Wo erstelle ich mir den "Daily Report" mit aussagekräftigen Details?

Schau mal unter "Protokolle & Berichte", da gibt es den Punkt "Gesamtbericht" ..

schau auch mal bei "Protokolle & Berichte" bei der Netzwerknutzung in die Bandbreitennutzung rein. Hier kannst gleich sehen welche IP den meisten Traffic verursacht.. da kannst du auch nach angepassten Zeiträumen schauen ..

Die Bandbreitennutzung nützt auch nicht wirklich, weil hier logischerweise die IP unserer Standleitung ganz oben rangiert, über die der gesamte Traffic läuft. Ich brauche aber eine Auflistung, welche internen IP-Adressen (Rechner, Terminals) den Traffic verursachen.
Wenn das so einfach wäre, würde ich hier nicht den Gebrauch des Forums machen. ;-)

MAn kann sich wie gesagt unter "Web Protection" -> Internetnutzung -> Verfügbare Berichte "Benutzer" was sehen, aber das spricht von dem Traffic her in keinster Weise dem Diagramm unter "Netzwerknutzung".

Lade Euch das zum Vergleich nochmal hoch.

Probiere es mal über WebProtection mit dem Flow-Monitor auf dem Interface External..
..hier hast du dann den Echtzeit-Traffic .. Client mit Application und aktuelle Bandbreitennutzung..

Hm, dann lande ich wieder in dem Diagramm, was ich oben bereits als Screenshot hochgeladen hatte.
Es scheint ihr dann offenbar eine Diskepanz zwischen Datenverkehr (screen 1) und Downtraffic (screen 2-4) zu geben, was ansich nicht sein kann.

ne, da müsste etwas anders zu sehen sein.. 

WebProctecion -> Application Control -> Flow-Monitor (du wählst Schnittstelle eth7)

Dann öffent ein Pop-Up mit folgenden Daten:

Application # Clients # Bandwith.. # Total Traffic 

Wenn du dann als Beispiel auf HTTP oder Clients klickst, dann siehst du die aktuelle Bandbreitrennutzung...

Hi, gibt es zu dem Thema inzwischen eine Lösung?
Wir haben das gleiche Problem, wir haben immer morgens gegen 9 Uhr einen erhöhten Download-Traffic. Da wir nur eine 5 Mbit-Leitung haben, ist das sehr ärgerlich, dass für 2-3 Stunden die Leitung komplett blockiert ist. 
Es handelt sich eigentlich immer um Traffic von "deploy.akamaitechnologies.com" - dies ist wohl nichts schlimmes, sondern können irgendwelche Apple-, Adobe-, Microsoft- oder auch Virenscanner-Updates sein. Ich würde aber natürlich trotzdem gerne wissen, welcher PC genau diesen Traffic verursacht. 
Wenn ich einen normalen Download von meinem PC aus starte, so kann ich dies auf der Eth0-Schnittstelle bei "Ausgehend" wunderbar sehen, aber diese Downloads zeigt er mir da komischerweise nicht an - Fast so als würde die Sophos selbst den Traffic erzeugen?!
Hinweis: Wir haben in der Sophos den Transpararenzmodus aktiviert. 

Über den Flow-Monitor bekomme ich keine genaue Aussage (siehe Screenshots).
Was können wir tun um den Verursacher ausfindig zu machen?