Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 25704 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to use reporting to track internet usage

Rob Pelletier
I have a client who is charged extra for monthly traffic flow above a certain threshold (30 GB, I think).

He has been getting notifications from his ISP that his monthly allotment is being surpassed each month, and the notification is coming earlier and earlier all the time.

A TopServicebyServer report shows that about 16GB of traffic has flowed in and out of their web server over the last 7 days, so it's likely that the web server is the culprit.  When I double-click on the server's IP address, the top ports are:  1137, 1142, 1140, 4514, Relief, ACE-CLIENT, 3896, WINDLM, and PROLINK - none of that makes any sense to me.

I'd like to show him (using his Astaro ASG220 V7.402) how the traffic is broken down.  It would be great to tell him, for example, that it's mostly web traffic, in and out of his web server.  Or maybe it's browsing within his LAN, and show him which user is using it up.

I'm not sure if the logging / reporting features of the Astaro can even do this:  the documentation isn't very helpful, and the reporting interface isn't very intuitive.

Can this device even do this?  If so, has anyone figured out how?


Thanks.


This thread was automatically locked due to age.
  • 0
    Hi Rob,

    The area in reporting that should assist in this will be under reporting>>Network usage>>Accounting.

    With the network usage report you can sort by client, server, or by service.  As such you could find that the HTTP service accounts for 16GB of data for example on a custom time frame between 1 Sept and 30 Sept.
  • 0 in reply to CameronB
    Yep.. use the Accounting feature.  If you are using the HTTP proxy, and you find that accounting is showing an inordinate amount of the traffic is HTTP traffic from the proxy, then drill down in the Web Security reporting to find the top users, etc.  --- Or you can start with the Web Security reporting if you are pretty certain it's users downloading vidz, etc.
  • 0 in reply to BrucekConvergent
    Thanks, Bruce:

    To be honest, I am more accustomed to using end-user or consumer-grade equipment - this is the only real enterprise-levelsolution I have to deal with.

    I did a Network Usage report "Top Services by Server" for each of the 5 IP addresses on my WAN port.

    Total traffic for the last 30 days on the WAN ethernet port was less than 7 GB, yet the ISP is charging them a premium for having over 30 GB of traffic.

    How would you interpret that?
  • 0
    Interesting...  Why not ask the ISP for a report by IP and show them your Executive Report;  I'd be interested to learn their response.

    Cheers - Bob
  • 0 in reply to BAlfson
    I seem to recall some older version of ASG (not sure about 7.402) had some issues with the accounting not being 100% accurate... I think it was versions older than 7.400, but I can't swear to that.  I'd do what Bob says... you have one report in your hand, put it up against what they have.
  • 0
    I have found the accounting feature to be less than helpful in this situation.  Actually, I have yet to find any report in the ASG that simply totals the bandwidth consumption.  Most firewalls I have used make this information very upfront and available, as many ISPs use that metric as a charging mechanism.
  • 0
    FYI: The closest thing I found was to go to accounting, put in Top Services by Client.  For the client, enter your internal network (example: 192.168.1.0/24).   Choose 250 rows, hit update, scroll to the bottom and you find in/out/combined totals.
  • 0
    The Executive Reports list the total traffic per day, per week and per month.  In accounting, even the total at the bottom of the page of the top 20 is better than engineering accuracy.  Dividing the top traffic by its percentage likewise gives a "close-enough" answer.

    Cheers - Bob
  • 0
    The Exec Reports tell you the total traffic - that includes the traffic from one server to another (inside the LAN).  And the bandwidth by interface tells you the bit rate at various times of the day, but it doesn't help you to determine the volume of traffic, which is what he's being gouged, er charged on.
    I think the "Top Services by Server" report, which had to be run for each public IP address on the router then the results summed up, tells me the total traffic.  I assume it excludes the packets dropped by the firewall rules, and the ISP would charge for those even if we dropped them, I believe.
    But I still have a hard time justifying their bills for 40+ GB per month useage when the Astaro reports less than 7 GB.

    Guess I'll have to wait and see what the ISP says.
  • 0 in reply to Rob Pelletier
    The Exec Reports tell you the total traffic - that includes the traffic from one server to another (inside the LAN).


    Hi, traffic between servers in the same LAN will NOT traverse the firewall or be counted by the firewall.

    If you only have 2 interfaces in the firewall, then the first "Traffic processed:" amount in the executive report would be the same as the traffic on your internet connection.

    Barry