Verursacher für hohen Traffic ausfindig machen, wie?

Die Einträge in das Webfilterlog werden übrigens erst getätigt, wenn der Download beendet ist.

Ich geb den Vorschreibern recht, dass üblicherweise proxyunfreundliche Updater die üblichen Amokläufer sind, wenn die WAN Bandbreite unverhältnismässig ansteigt, und kein Client der Verursacher zu sein scheint.

Allerdings ist es um die früheren Problemkinder Adobe Updater und co. seit den defaultmäsigen Exceptions in der UTM eher ruhig geworden. Im letzten Jahr hat sich in meinen Augen eher der NVIDIA (Grafikkarten) Updater den ersten Rang der besch...eidensten, Proxyunfreundlichen Updater gemacht. Da wird versucht Updates in der Grössenordnung 100...200MB runterzuladen, und wenn da nicht grad was kommt startet der erneut.

Am einfachsten findet man solche Übeltäter, indem man das http.log nach dem Begriff "update" durchsucht, und schaut, welche Updates mit dem selben Namen (normalerweise auch immer mit den selben Source/Client IP's) aufgerufen wird. Wenn so ein Download vom selben Client mehrmals auftaucht, würde ich dazu entsprechende Exceptions erstellen, was üblicherweise das Problem dann löst ;o)

Oft hilt es auch schon die Scansize auf eine vernünftige Grösse um 20MB  einzustellen (oder bei kleiner Bandbreite ggf. sogar 10MB). Aber wenn man die Zeit hat, ist eine angepasste Exception dem herabsetzen der Scansize zu bevorzugen...

/Sascha

Ich geb den Vorschreibern recht, dass üblicherweise proxyunfreundliche Updater die üblichen Amokläufer sind, wenn die WAN Bandbreite unverhältnismässig ansteigt, und kein Client der Verursacher zu sein scheint.

Allerdings ist es um die früheren Problemkinder Adobe Updater und co. seit den defaultmäsigen Exceptions in der UTM eher ruhig geworden. Im letzten Jahr hat sich in meinen Augen eher der NVIDIA (Grafikkarten) Updater den ersten Rang der besch...eidensten, Proxyunfreundlichen Updater gemacht. Da wird versucht Updates in der Grössenordnung 100...200MB runterzuladen, und wenn da nicht grad was kommt startet der erneut.

Am einfachsten findet man solche Übeltäter, indem man das http.log nach dem Begriff "update" durchsucht, und schaut, welche Updates mit dem selben Namen (normalerweise auch immer mit den selben Source/Client IP's) aufgerufen wird. Wenn so ein Download vom selben Client mehrmals auftaucht, würde ich dazu entsprechende Exceptions erstellen, was üblicherweise das Problem dann löst ;o)

Oft hilt es auch schon die Scansize auf eine vernünftige Grösse um 20MB  einzustellen (oder bei kleiner Bandbreite ggf. sogar 10MB). Aber wenn man die Zeit hat, ist eine angepasste Exception dem herabsetzen der Scansize zu bevorzugen...

/Sascha

Danke für den Tipp, leider bringt mich das nicht weiter. 
Ich habe die http.log geöffnet und mal nach File-Size sortiert, die größten Files sind ca. 200-300 MB groß und alle Files zusammengenommen sind gerade mal 800-900 MB groß. Ich hatte gestern aber ein Download von mehreren GB.
Auch finde ich die Quell-Adresse "akamaitechnologies.com" nirgends wieder (außer da wo ich es gestern mal gegoogelt hatte).
Der Traffic ist in der http.log also nicht zu finden, vermutlich wird er mir deswegen auch in dem Flow-Monitor (für das interne Netzwerk) nicht angezeigt und nur im Flow-Monitor für das WAN.

Ich geb den Vorschreibern recht, dass üblicherweise proxyunfreundliche Updater die üblichen Amokläufer sind, wenn die WAN Bandbreite unverhältnismässig ansteigt, und kein Client der Verursacher zu sein scheint.

Allerdings ist es um die früheren Problemkinder Adobe Updater und co. seit den defaultmäsigen Exceptions in der UTM eher ruhig geworden. Im letzten Jahr hat sich in meinen Augen eher der NVIDIA (Grafikkarten) Updater den ersten Rang der besch...eidensten, Proxyunfreundlichen Updater gemacht. Da wird versucht Updates in der Grössenordnung 100...200MB runterzuladen, und wenn da nicht grad was kommt startet der erneut.

Am einfachsten findet man solche Übeltäter, indem man das http.log nach dem Begriff "update" durchsucht, und schaut, welche Updates mit dem selben Namen (normalerweise auch immer mit den selben Source/Client IP's) aufgerufen wird. Wenn so ein Download vom selben Client mehrmals auftaucht, würde ich dazu entsprechende Exceptions erstellen, was üblicherweise das Problem dann löst ;o)

Oft hilt es auch schon die Scansize auf eine vernünftige Grösse um 20MB  einzustellen (oder bei kleiner Bandbreite ggf. sogar 10MB). Aber wenn man die Zeit hat, ist eine angepasste Exception dem herabsetzen der Scansize zu bevorzugen...

/Sascha

Danke für den Tipp, leider bringt mich das nicht weiter. 
Ich habe die http.log geöffnet und mal nach File-Size sortiert, die größten Files sind ca. 200-300 MB groß und alle Files zusammengenommen sind gerade mal 800-900 MB groß. Ich hatte gestern aber ein Download von mehreren GB.
Auch finde ich die Quell-Adresse "akamaitechnologies.com" nirgends wieder (außer da wo ich es gestern mal gegoogelt hatte).
Der Traffic ist in der http.log also nicht zu finden, vermutlich wird er mir deswegen auch in dem Flow-Monitor (für das interne Netzwerk) nicht angezeigt und nur im Flow-Monitor für das WAN.