第15章 系統狀態¶
使用者可隨時由系統狀態查看 NG-UTM 的資源統計圖,如 CPU、RAM、硬碟等,同時也可以獲得網路即時連線資訊及其統計資料,除了即時資訊外,也有歷史資訊提供給管理者查詢。系統狀態有 4 個主項目:1、系統狀態: 顯示目前 NG-UTM CPU 負載、記憶體負載、系統負載,也可以查詢每個介面的 TX/RX 流量。2、連線狀態: 記錄 NG-UTM 之連線使用情況,包含上線數量、封包的紀錄等。3、流量分析: 根據 PORT、應用程式或是 DNS 的使用量統計查詢。4、Dashboard: 也就是威脅情報儀表,以圖形的方式顯示各項統計資訊。於 第16章 Dashboard 詳細說明。
15-1、系統狀態¶
15-1-1、系統狀態¶
顯示從現在到過去 24 小時的統計資料,有【CPU 負載圖】、【記憶體負載圖】、【系統負載圖】。【CPU 負載圖】:顯示 NG-UTM 過去 24 小時 CPU 目前使用狀況。點選【顯示更多】會列出每個 CPU 的統計圖。【記憶體負載圖】:顯示 NG-UTM 過去 24 小時記憶體使用狀況。【系統負載圖】:顯示 NG-UTM 系統過去 24 小時的系統負載。
15-1-2、網路流量¶
顯示目前 NG-UTM 所有介面過去 24 小時的網路流量,流量的統計是以介面為主,如果介面有 2 個 1G 的實體線路,滿載時,這個介面最高會顯示 2G 的流量。顯示藍色為 Zone Out (TX) 流量,就是從介面出去的流量 ; 綠色則是 Zone In (RX) 流量,表示進入介面的流量 。Note
對於 WAN 類型的介面,它的統計流量方向跟線路提供商的上下載是不同的方向。
15-1-3、連線狀態¶
NG-UTM 提供過去 48 小時上線人數跟總連線數圖表,讓管理者快速地掌握過去一段時間內的狀態,在「歷史狀態」頁籤中可以搜尋更長時間的狀態變化。
15-1-4、歷史狀態¶
管理者選擇查詢目標及時間區間後,NG-UTM 會自動顯示這一段時間的各項統計圖表。這個功能可以讓管理者從中分析過去一段時間是否有出現問題,並從問題中找出可能的解決方式。【查詢目標】:選擇要查詢的目標,目前可以選擇 CPU、RAM、系統負載、介面流量(系統會列出所有網路介面讓管理者勾選)、上線成員數跟總連線數。【日期】:選擇欲搜尋的日期與時間,例如:2015-04-05 00:00 ~ 2016-04-05 23:00 代表要查詢一年的歷史狀態。
15-1-5、介面即時流量¶
有別於「網路流量」是統計過去 24 小時的流量,這裡顯示的介面即時流量是近 3 分鐘的資料。不僅可以看實體介面,也可以查看虛擬介面的即時流量,例如:IP Tunnel、PPPOE,最多可以同時看 2 個介面。流量的統計是以介面為主,如果介面有 2 個 1G 的實體線路,滿載時,這個介面最高會顯示 2G 的流量。顯示藍色為 Zone Out (TX) 流量,就是從介面出去的流量 ; 綠色則是 Zone In (RX) 流量,表示進入介面的流量 。Note
對於 WAN 類型的介面,它的統計流量方向跟線路提供商的上下載是不同的方向。
15-1-6、CPU 負載¶
管理者可以藉由這項功能得知每一個 CPU 的即時負載情況。例如:若發現系統資源有吃單顆 CPU 的狀況發生,可以從「網路設定 > 3-7、中斷設定 」將它的網路流量分配到其他 CPU 中。
15-2、連線狀態¶
連線狀態會記錄成員列表、無線成員列表及連線追蹤,有經驗的管理者可以藉此判斷某部電腦是否有問題。成員列表會記錄 7 天內(預設值)經過 NG-UTM 所有介面下的 IP 位址資訊;連線追蹤則是詳細記錄每一個來源 IP 位址的連線數量統計跟實際使用的封包通聯紀錄。
15-2-1、成員列表¶
【成員列表保留】:通過 NG-UTM 的 IP 位址要保留幾天,預設值為 7 天,設定範圍是 0~365,0 代表不清除這些紀錄資料。【上線成員數】:第一個選單顯示該介面偵測到的 IP,第二個選單根據不同網段再分類。也可以選擇 All 顯示全部。括號內數字顯示為這個網段內(上線成員數/共有幾位成員),例如:All (141/220),代表過去 7 天內有 220 個 IP 位址經由設定的網介面通過 NG-UTM 到另一個介面,目前有 141 個 IP 位址上線中。【介面顯示】:選擇要顯示的介面,包含實體介面跟 802.1Q 的 VLAN。【Static】:在 5-1、位址表 中,將此 IP 與 MAC 位址綁定,此欄位就會顯示為 ,表示此裝置是固定的。【名稱】:該部電腦的 NETBIOS 名稱,可以在管理目標的 5-1、位址表 中自定義名稱。【IP 位址】:該部電腦的 IP 位址。【MAC 位址】:該部電腦的 MAC 位址。【介面】:該部電腦的來源介面,包含實體介面跟 802.1Q 的 VLAN。【狀態更新時間】:所有更新時間訊息。
15-2-2、無線成員列表¶
透過 AP 上網的使用者會被列表在這裡(在「系統設定 > 2-8、AP 管理 」加入 UTM 管理的設備),【成員列表保留】:通過 NG-UTM 的 IP 位址要保留幾天,預設值為 7 天,設定範圍是 0~365,0 代表不清除這些紀錄資料。【目前上線成員數】:目前有幾個 IP 位址透過 AP 上線中。【AP 名稱】:此 AP 的名稱。【SSID】:AP 使用的 SSID,同一個 AP 可能會有多個 SSID。【IP 位址】:該部電腦的 IP 位址。【MAC 位址】:該部電腦的 MAC 位址。【狀態更新時間】:所有更新時間訊息。
15-2-3、連線追蹤¶
藉由網路封包的分析及追蹤,分析每一個使用者的網路使用行為。主要是以來源端名稱作為分類,顯示目前所有使用者之紀錄,包含 IP 位址、連線數、TX 流量、RX 流量、詳細紀錄。• 查詢條件【顯示】:可依照來源 IP 或目的 IP 來顯示表格,也就是連線追蹤列表內顯示的 IP 為來源或目的端。【來源 IP】:輸入要查看的來源 IP 位址,空白代表全部。【目的 IP】:輸入要查看的目的 IP 位址,空白代表全部。【更新頻率】:設定每隔幾秒會更新此頁面。• 連線追蹤列表【總連線數】:顯示當下經過 NG-UTM 的連線數 / 全部連線數。例如:1245/1976,代表所有經過 NG-UTM 的總連線數為 1976 條,但在這一個介面的統計總數是 1245 條,其他的連線數是分布在其他介面。【電腦名稱】:顯示目前該電腦的 NetBIOS 名稱或是位址表中定義的名稱,如果都沒有則顯示 IP 位址。【IP 位址】:該部電腦的 IP 位址。【連線數】:該部電腦目前對外已經建立的連線數。【Zone Out (TX)/ Zone In (RX) 流量 bits】:這個 IP 讓防火牆 傳送/接收 的 bit 數量。在要查看的電腦資料按下 按鈕後,會出現這部電腦近 3 分鐘的詳細封包通聯訊息,如下圖。【立即更新】:按下後可以馬上更新通聯封包的連線數資訊。【清除】:清除所有的資料,重新顯示通聯封包。【匯出】:將此資料表匯出。【協定】:此連線使用何種協定,通常為 TCP 或是 UDP。【來源 IP】:該部電腦的 IP 位址。【目的 IP】:這一個連線的目的 IP 位址。【通訊埠】:來源及目的通訊埠,例如:62506>53,代表來源 PORT 是 62506,目的 PORT 是 53,而若協定是 UDP,大約可推測是 DNS 協定。【Zone Out (TX)/Zone In (RX) 封包】:這筆連線讓防火牆 傳送/接收 的封包數。【Zone Out (TX)/Zone In (RX) Bytes】:這筆連線讓防火牆 傳送/接收 的 byte 數。【應用程式】:這個連線是使用哪個應用程式,NG-UTM 會依據內建的 900 種 DPI 分類這些應用程式。【出口線路】:這個連線用哪一個出口線路到網際網路。【管制規則】:這個連線套用的管制規則。
15-3、流量分析¶
15-3-1、流量排行¶
流量排行能讓管理者查詢每一個使用者使用網路的狀況並依照使用流量排序,點選列表中的資料後可以看到該使用者使用的應用程式等詳細資訊。【預設載入時間範圍】:點選流量排行頁籤後系統會根據此設定的時間範圍顯示統計資料於下方列表,可選擇今天、1 小時、不顯示。預設是「今天」(從 00:00 ~),選擇「1 小時」表示只統計最近 1 個小時的資料,如果資料多會延遲開啟網頁的時間,選擇「不顯示」則進入流量排行時系統不會出現任何統計數字。按下 按鈕後,即可馬上切換。【連線類型】:統計以來源 IP 位址或是目的 IP 位址的連線,切換後按下【搜尋】即會將結果顯示於下方列表。【統計方式】:使用 IP 位址或是上網認證的帳號為統計基礎,預設為依 IP 統計。【時間範圍】:統計的時間範圍,可選擇今天或 1 小時。【電腦名稱】:電腦的 NETBIOS 名稱。【IP 位址】:電腦的 IP 位址。【MAC 位址】:電腦的 MAC 位址。【上網認證】:這個 IP 位址若有使用上網認證就會顯示帳號,如果沒有就會顯示空白。【上傳流量 KBytes】:累積的上傳量,單位為 K/M/G bytes。【下載流量 KBytes】:累積的下載量,單位為 K/M/G bytes。在列表中,點選任一筆電腦或 IP 位址的資料,就可以查看上、下載流量是被哪些應用程式或通訊協定佔用比例等詳細資訊,如下圖。【時間範圍】:統計流量的時間範圍。【IP 位址】:根據來源或是目的 IP 位址為統計。【資料類型】:有 2 種資料類型,基本服務與應用程式分類。管理者可以用右側的切換按鈕切換,如果這裡出現的是「基本服務」則切換按鈕就會是「應用程式」,反之亦然。:顯示來源 IP 位址到訪的目的主機所在的地區,點選後資料類型就會切換成 IP 目的地區。點選每筆資料的 按鈕,NG-UTM 顯示這個統計項目更詳細的資訊,如每個時間段的上、下載流量,出口線路跟使用的管制條例。【持續時間】:某個連線的時間長度。【上傳/下載流量】:某個連線累積的上傳、下載流量。【出口線路】:使用哪個出口線路。【管制規則】:使用哪個管制條例。
15-3-2、流量排行 By Port¶
15-3-3、流量排行 By APP¶
15-3-4、流量排行 By Location¶
15-3-5、流量排行查詢¶
查詢前 10 ~ 500 名的流量排行,可調整的條件項目如下:【日期】:欲查詢的日期與時間範圍。【連線類型】:分來源跟目的 2 種連線類型。【查詢條件】:來源 IP、目的 IP 位址、目的 Port、上網認證、應用程式、IP 地區、出口線路。【查詢排名】:系統預設顯示前 10 名的列表,可於下拉選單選擇其他排行數量。按下【搜尋】後,查詢結果會顯示於下方列表,如下圖:
15-3-6、流量配額查詢¶
在管制條例中設有每個 IP 位址能使用的流量總額,可在此查詢使用者的流量歷史紀錄。
15-3-7、DNS 排行查詢¶
DNS 是網路連線的第一個動作,透過統計 DNS 的紀錄可以知道對外連線的目的,甚至可以藉此找到不合法的網路行為。可依日期、統計方式及查詢條件進行查詢,統計方式有三種:依域名/依 DNS 伺服器/依來源 IP,三種統計方式的查詢結果如下:1. 依域名: 統計內部對外 DNS 查詢的域名及次數排行。2. 依 DNS 伺服器: 統計使用的 DNS 伺服器次數排行。3. 依來源 IP: 統計內部 IP 使用 DNS 查詢的次數排行。