第15章 系統狀態¶
使用者可隨時由系統狀態查看 NG-UTM 的資源統計圖,如 CPU、RAM、硬碟等,同時也可以獲得網路即時連線資訊及其統計資料,除了即時資訊外,也有歷史資訊提供給管理者查詢。系統狀態有 4 個主項目:1、系統狀態: 顯示目前 NG-UTM CPU 負載、記憶體負載、系統負載,也可以查詢每個介面的 TX/RX 流量。2、連線狀態: 記錄 NG-UTM 之連線使用情況,包含上線數量、封包的紀錄等。3、流量分析: 根據 PORT、應用程式或是 DNS 的使用量統計查詢。4、Dashboard: 也就是威脅情報儀表,以圖形的方式顯示各項統計資訊。於 第16章 Dashboard 詳細說明。
15-1、系統狀態¶
15-1-1、系統狀態¶
15-1-2、網路流量¶
顯示目前 NG-UTM 所有介面過去 24 小時的網路流量,流量的統計是以介面為主,如果介面有 2 個 1G 的實體線路,滿載時,這個介面最高會顯示 2G 的流量。顯示藍色為 Zone Out (TX) 流量,就是從介面出去的流量 ; 綠色則是 Zone In (RX) 流量,表示進入介面的流量 。
圖 349. 圖15-4 網路介面流量¶
Note
對於 WAN 類型的介面,它的統計流量方向跟線路提供商的上下載是不同的方向。
15-1-3、連線狀態¶
NG-UTM 提供過去 48 小時上線人數跟總連線數圖表,讓管理者快速地掌握過去一段時間內的狀態,在「歷史狀態」頁籤中可以搜尋更長時間的狀態變化。
圖 350. 圖15-5 過去 48 小時的連線紀錄¶
15-1-4、歷史狀態¶
管理者選擇查詢目標及時間區間後,NG-UTM 會自動顯示這一段時間的各項統計圖表。這個功能可以讓管理者從中分析過去一段時間是否有出現問題,並從問題中找出可能的解決方式。
圖 351. 圖15-6 歷史資料搜尋¶
【查詢目標】:選擇要查詢的目標,目前可以選擇 CPU、RAM、系統負載、介面流量(系統會列出所有網路介面讓管理者勾選)、上線成員數跟總連線數。【日期】:選擇欲搜尋的日期與時間,例如:2015-04-05 00:00 ~ 2016-04-05 23:00 代表要查詢一年的歷史狀態。
15-1-5、介面即時流量¶
有別於「網路流量」是統計過去 24 小時的流量,這裡顯示的介面即時流量是近 3 分鐘的資料。不僅可以看實體介面,也可以查看虛擬介面的即時流量,例如:IP Tunnel、PPPOE,最多可以同時看 2 個介面。流量的統計是以介面為主,如果介面有 2 個 1G 的實體線路,滿載時,這個介面最高會顯示 2G 的流量。顯示藍色為 Zone Out (TX) 流量,就是從介面出去的流量 ; 綠色則是 Zone In (RX) 流量,表示進入介面的流量 。
圖 352. 圖15-7 即時流量¶
Note
對於 WAN 類型的介面,它的統計流量方向跟線路提供商的上下載是不同的方向。
15-1-6、CPU 負載¶
15-2、連線狀態¶
連線狀態會記錄成員列表、無線成員列表及連線追蹤,有經驗的管理者可以藉此判斷某部電腦是否有問題。成員列表會記錄 7 天內(預設值)經過 NG-UTM 所有介面下的 IP 位址資訊;連線追蹤則是詳細記錄每一個來源 IP 位址的連線數量統計跟實際使用的封包通聯紀錄。
15-2-1、成員列表¶
顯示通過 NG-UTM 介面下的所有 IP 資訊。如果是內部網路,還可以判斷是否為開機狀態、從哪個網路介面連線。點選可改變排序方向。
圖 354. 圖15-9 成員列表¶
【成員列表保留】:通過 NG-UTM 的 IP 位址要保留幾天,預設值為 7 天,設定範圍是 0~365,0 代表不清除這些紀錄資料。【上線成員數】:第一個選單顯示該介面偵測到的 IP,第二個選單根據不同網段再分類。也可以選擇 All 顯示全部。括號內數字顯示為這個網段內(上線成員數/共有幾位成員),例如:All (141/220),代表過去 7 天內有 220 個 IP 位址經由設定的網介面通過 NG-UTM 到另一個介面,目前有 141 個 IP 位址上線中。【介面顯示】:選擇要顯示的介面,包含實體介面跟 802.1Q 的 VLAN。【Static】:在 5-1、位址表 中,將此 IP 與 MAC 位址綁定,此欄位就會顯示為,表示此裝置是固定的。
【名稱】:該部電腦的 NETBIOS 名稱,可以在管理目標的 5-1、位址表 中自定義名稱。【IP 位址】:該部電腦的 IP 位址。【MAC 位址】:該部電腦的 MAC 位址。【介面】:該部電腦的來源介面,包含實體介面跟 802.1Q 的 VLAN。【狀態】:代表電腦開機中,
代表電腦關機中。
【狀態更新時間】:所有更新時間訊息。
15-2-2、無線成員列表¶
透過 AP 上網的使用者會被列表在這裡(在「系統設定 > 2-8、AP 管理 」加入 UTM 管理的設備),除了可以得知 SSID 外,還可以判斷是否為開機狀態、從哪個 AP 連線。點選【成員列表保留】:通過 NG-UTM 的 IP 位址要保留幾天,預設值為 7 天,設定範圍是 0~365,0 代表不清除這些紀錄資料。【目前上線成員數】:目前有幾個 IP 位址透過 AP 上線中。【AP 名稱】:此 AP 的名稱。【SSID】:AP 使用的 SSID,同一個 AP 可能會有多個 SSID。【IP 位址】:該部電腦的 IP 位址。【MAC 位址】:該部電腦的 MAC 位址。【狀態】:【狀態更新時間】:所有更新時間訊息。
15-2-3、連線追蹤¶
藉由網路封包的分析及追蹤,分析每一個使用者的網路使用行為。主要是以來源端名稱作為分類,顯示目前所有使用者之紀錄,包含 IP 位址、連線數、TX 流量、RX 流量、詳細紀錄。• 查詢條件【顯示】:可依照來源 IP 或目的 IP 來顯示表格,也就是連線追蹤列表內顯示的 IP 為來源或目的端。【來源 IP】:輸入要查看的來源 IP 位址,空白代表全部。【目的 IP】:輸入要查看的目的 IP 位址,空白代表全部。【更新頻率】:設定每隔幾秒會更新此頁面。• 連線追蹤列表
圖 355. 圖15-10 連線數及流量列表¶
【總連線數】:顯示當下經過 NG-UTM 的連線數 / 全部連線數。例如:1245/1976,代表所有經過 NG-UTM 的總連線數為 1976 條,但在這一個介面的統計總數是 1245 條,其他的連線數是分布在其他介面。【電腦名稱】:顯示目前該電腦的 NetBIOS 名稱或是位址表中定義的名稱,如果都沒有則顯示 IP 位址。【IP 位址】:該部電腦的 IP 位址。【連線數】:該部電腦目前對外已經建立的連線數。【Zone Out (TX)/ Zone In (RX) 流量 bits】:這個 IP 讓防火牆 傳送/接收 的 bit 數量。在要查看的電腦資料按下按鈕後,會出現這部電腦近 3 分鐘的詳細封包通聯訊息,如下圖。
圖 356. 圖15-11 使用者連線狀態¶
【立即更新】:按下後可以馬上更新通聯封包的連線數資訊。【清除】:清除所有的資料,重新顯示通聯封包。【匯出】:將此資料表匯出。【協定】:此連線使用何種協定,通常為 TCP 或是 UDP。【來源 IP】:該部電腦的 IP 位址。【目的 IP】:這一個連線的目的 IP 位址。【通訊埠】:來源及目的通訊埠,例如:62506>53,代表來源 PORT 是 62506,目的 PORT 是 53,而若協定是 UDP,大約可推測是 DNS 協定。【Zone Out (TX)/Zone In (RX) 封包】:這筆連線讓防火牆 傳送/接收 的封包數。【Zone Out (TX)/Zone In (RX) Bytes】:這筆連線讓防火牆 傳送/接收 的 byte 數。【應用程式】:這個連線是使用哪個應用程式,NG-UTM 會依據內建的 900 種 DPI 分類這些應用程式。【出口線路】:這個連線用哪一個出口線路到網際網路。【管制規則】:這個連線套用的管制規則。
15-3、流量分析¶
15-3-1、流量排行¶
流量排行能讓管理者查詢每一個使用者使用網路的狀況並依照使用流量排序,點選列表中的資料後可以看到該使用者使用的應用程式等詳細資訊。
圖 357. 圖15-12 流量排行統計條件¶
【預設載入時間範圍】:點選流量排行頁籤後系統會根據此設定的時間範圍顯示統計資料於下方列表,可選擇今天、1 小時、不顯示。預設是「今天」(從 00:00 ~),選擇「1 小時」表示只統計最近 1 個小時的資料,如果資料多會延遲開啟網頁的時間,選擇「不顯示」則進入流量排行時系統不會出現任何統計數字。按下按鈕後,即可馬上切換。
【連線類型】:統計以來源 IP 位址或是目的 IP 位址的連線,切換後按下【搜尋】即會將結果顯示於下方列表。【統計方式】:使用 IP 位址或是上網認證的帳號為統計基礎,預設為依 IP 統計。【時間範圍】:統計的時間範圍,可選擇今天或 1 小時。選擇搜尋條件後所有透過 NG-UTM 流量的統計資訊會列表於下方。點選欄位項目的
圖 358. 圖15-13 使用者流量排行¶
【電腦名稱】:電腦的 NETBIOS 名稱。【IP 位址】:電腦的 IP 位址。【MAC 位址】:電腦的 MAC 位址。【上網認證】:這個 IP 位址若有使用上網認證就會顯示帳號,如果沒有就會顯示空白。【上傳流量 KBytes】:累積的上傳量,單位為 K/M/G bytes。【下載流量 KBytes】:累積的下載量,單位為 K/M/G bytes。在列表中,點選任一筆電腦或 IP 位址的資料,就可以查看上、下載流量是被哪些應用程式或通訊協定佔用比例等詳細資訊,如下圖。
圖 359. 圖15-14 使用者流量分析¶
【時間範圍】:統計流量的時間範圍。【IP 位址】:根據來源或是目的 IP 位址為統計。【資料類型】:有 2 種資料類型,基本服務與應用程式分類。管理者可以用右側的切換按鈕切換,如果這裡出現的是「基本服務」則切換按鈕就會是「應用程式」,反之亦然。:顯示來源 IP 位址到訪的目的主機所在的地區,點選後資料類型就會切換成 IP 目的地區。
點選每筆資料的
圖 360. 圖15-15 詳細的通聯記錄¶
【持續時間】:某個連線的時間長度。【上傳/下載流量】:某個連線累積的上傳、下載流量。【出口線路】:使用哪個出口線路。【管制規則】:使用哪個管制條例。
15-3-2、流量排行 By Port¶
顯示在統計時間範圍內 NG-UTM 的總通訊協議流量排行榜,流量分別可以用上傳、下載流量進行排序。點選欄位項目的
圖 361. 圖15-16 Port 流量統計¶
15-3-3、流量排行 By APP¶
顯示在統計時間範圍內 NG-UTM 的總應用程式流量排行榜,例如:用 LINE、HTTPS 跟 SKYPE 等應用程式使用的總量,並列成排行榜,流量分別可以用上傳、下載流量進行排序,點選欄位項目的NG-UTM 預設不會顯示無法辨識的應用程式,若希望無法辨識的應用程式也要顯示,則需要勾選【顯示 Unknown】。
圖 362. 圖15-17 APP 流量統計¶
15-3-4、流量排行 By Location¶
顯示在統計時間範圍內 NG-UTM 整台的目的 IP 位址的地區資訊,並根據地區統計總使用量。流量分別可以用上傳、下載流量進行排序,點選欄位項目的
圖 363. 圖15-18 地區流量統計¶
15-3-5、流量排行查詢¶
查詢前 10 ~ 500 名的流量排行,可調整的條件項目如下:【日期】:欲查詢的日期與時間範圍。【連線類型】:分來源跟目的 2 種連線類型。【查詢條件】:來源 IP、目的 IP 位址、目的 Port、上網認證、應用程式、IP 地區、出口線路。【查詢排名】:系統預設顯示前 10 名的列表,可於下拉選單選擇其他排行數量。按下【搜尋】後,查詢結果會顯示於下方列表,如下圖:
圖 364. 圖15-19 流量排行搜尋結果¶
15-3-6、流量配額查詢¶
在管制條例中設有每個 IP 位址能使用的流量總額,可在此查詢使用者的流量歷史紀錄。
