Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 25706 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to use reporting to track internet usage

Rob Pelletier
I have a client who is charged extra for monthly traffic flow above a certain threshold (30 GB, I think).

He has been getting notifications from his ISP that his monthly allotment is being surpassed each month, and the notification is coming earlier and earlier all the time.

A TopServicebyServer report shows that about 16GB of traffic has flowed in and out of their web server over the last 7 days, so it's likely that the web server is the culprit.  When I double-click on the server's IP address, the top ports are:  1137, 1142, 1140, 4514, Relief, ACE-CLIENT, 3896, WINDLM, and PROLINK - none of that makes any sense to me.

I'd like to show him (using his Astaro ASG220 V7.402) how the traffic is broken down.  It would be great to tell him, for example, that it's mostly web traffic, in and out of his web server.  Or maybe it's browsing within his LAN, and show him which user is using it up.

I'm not sure if the logging / reporting features of the Astaro can even do this:  the documentation isn't very helpful, and the reporting interface isn't very intuitive.

Can this device even do this?  If so, has anyone figured out how?


Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    The Exec Reports tell you the total traffic - that includes the traffic from one server to another (inside the LAN).  And the bandwidth by interface tells you the bit rate at various times of the day, but it doesn't help you to determine the volume of traffic, which is what he's being gouged, er charged on.
    I think the "Top Services by Server" report, which had to be run for each public IP address on the router then the results summed up, tells me the total traffic.  I assume it excludes the packets dropped by the firewall rules, and the ISP would charge for those even if we dropped them, I believe.
    But I still have a hard time justifying their bills for 40+ GB per month useage when the Astaro reports less than 7 GB.

    Guess I'll have to wait and see what the ISP says.
Reply
  • 0
    The Exec Reports tell you the total traffic - that includes the traffic from one server to another (inside the LAN).  And the bandwidth by interface tells you the bit rate at various times of the day, but it doesn't help you to determine the volume of traffic, which is what he's being gouged, er charged on.
    I think the "Top Services by Server" report, which had to be run for each public IP address on the router then the results summed up, tells me the total traffic.  I assume it excludes the packets dropped by the firewall rules, and the ISP would charge for those even if we dropped them, I believe.
    But I still have a hard time justifying their bills for 40+ GB per month useage when the Astaro reports less than 7 GB.

    Guess I'll have to wait and see what the ISP says.
Children
  • 0 in reply to Rob Pelletier
    The Exec Reports tell you the total traffic - that includes the traffic from one server to another (inside the LAN).


    Hi, traffic between servers in the same LAN will NOT traverse the firewall or be counted by the firewall.

    If you only have 2 interfaces in the firewall, then the first "Traffic processed:" amount in the executive report would be the same as the traffic on your internet connection.

    Barry
  • 0 in reply to BarryG
    Actually, there are 3 interfaces in use:  one for the WAN connection and two for separate internal LANs.  And there is some traffic between the two LANs, so the Executive Report would report that as part of the flow through the firewall.

    So, I have been  counting on the Top Services by Server report, and running one for each of the 5 IP addresses attached to the one WAN interface.  That should tell me the traffic flowing in and out of each address, and it's easy enough to total it and come up with an accounting of traffic through the WAN interface.

    However, the ISP has nothing more than lists of numbers - even broken down by the hour if I want it - of total traffic in and out.  They have no inclination to try to explain the huge difference between their usage count and the Astaro's reporting.  I asked for a more detailed report, either by port or by IP address, but he said they had no ability to do that.  (More like no inclination, if you ask me.)

    I suppose I could stick a protocol analyzer between their gear and our WAN port, and gather a bunch of packets, and try to analyze that.  Seems to me the ISP should already be equipped to do that (and are probably more experienced at reading the output too), but they aren't offering.

    I sent a note to the sales rep - maybe he can light a fire under someone's behind.  Heck, a reasonable explanation of the disparity would work - my client's not asking for something for nothing.

    Nothing's simple in this business, is it?