第16章 系統狀態
系統狀態有 4 個主項目:
1、系統狀態: 顯示目前 NG-UTM CPU 負載、記憶體負載、系統負載,也可以查詢每個介面的 TX/RX 流量。
2、連線狀態: 記錄 NG-UTM 之連線使用情況,包含上線數量、封包的紀錄等。
3、流量分析: 根據 PORT、應用程式或是 DNS 的使用量統計查詢。
4、Dashboard: 也就是威脅情報儀表,以圖形的方式顯示各項統計資訊。於 第17章 Dashboard 詳細說明。
16-1、系統狀態
16-1-1、系統狀態
顯示從現在到過去 24 小時的統計資料,有【 CPU 負載圖 】、【 記憶體負載圖 】、【 系統負載圖 】。
【 CPU 負載圖 】:顯示 NG-UTM 過去 24 小時 CPU 目前使用狀況。點選【顯示更多】會列出每個 CPU 的統計圖。
圖 375. 圖16-1 CPU 負載
【 記憶體負載圖 】:顯示 NG-UTM 過去 24 小時記憶體使用狀況。
圖 376. 圖16-2 記憶體負載
【 系統負載圖 】:顯示 NG-UTM 系統過去 24 小時的系統負載。
圖 377. 圖16-3 系統負載
16-1-2、網路流量
圖 378. 圖16-4 網路介面流量
Note
對於 WAN 類型的介面,它的統計流量方向跟線路提供商的上下載是不同的方向。
16-1-3、連線狀態
NG-UTM 提供過去 48 小時上線人數跟總連線數圖表,讓管理者快速地掌握過去一段時間內的狀態,在「歷史狀態」頁籤中可以搜尋更長時間的狀態變化。
圖 379. 圖16-5 過去 48 小時的連線紀錄
16-1-4、歷史狀態
圖 380. 圖16-6 歷史資料搜尋
【查詢目標】:選擇要查詢的目標,目前可以選擇 CPU、RAM、系統負載、介面流量(系統會列出所有網路介面讓管理者勾選)、上線成員數跟總連線數。
【日期】:選擇欲搜尋的日期與時間,例如:2015-04-05 00:00 ~ 2016-04-05 23:00 代表要查詢一年的歷史狀態。
16-1-5、介面即時流量
圖 381. 圖16-7 即時流量
Note
對於 WAN 類型的介面,它的統計流量方向跟線路提供商的上下載是不同的方向。
16-1-6、CPU 負載
圖 382. 圖16-8 CPU 即時統計
16-2、連線狀態
16-2-1、成員列表
顯示通過 NG-UTM 介面下的所有 IP 資訊。如果是內部網路,還可以判斷是否為開機狀態、從哪個網路介面連線。點選 
可改變排序方向。
圖 383. 圖16-9 成員列表
【成員列表保留】:通過 NG-UTM 的 IP 位址要保留幾天,預設值為 7 天,設定範圍是 0~365,0 代表不清除這些紀錄資料。
【介面顯示】:選擇要顯示的介面,包含實體介面跟 802.1Q 的 VLAN。
【Static】:在 5-1、位址表 中,將此 IP 與 MAC 位址綁定,此欄位就會顯示為 
,表示此裝置是固定的。
【名稱】:該部電腦的 NETBIOS 名稱,可以在管理目標的 5-1、位址表 中自定義名稱。
【IP 位址】:該部電腦的 IP 位址。
【MAC 位址】:該部電腦的 MAC 位址。
【介面】:該部電腦的來源介面,包含實體介面跟 802.1Q 的 VLAN。
【狀態】: 
代表電腦開機中, 
代表電腦關機中。
【狀態更新時間】:所有更新時間訊息。
16-2-2、AP管理成員列表
可改變排序方向。【成員列表保留】:通過 NG-UTM 的 IP 位址要保留幾天,預設值為 7 天,設定範圍是 0~365,0 代表不清除這些紀錄資料。
【目前上線成員數】:目前有幾個 IP 位址透過 AP 上線中。
【AP 名稱】:此 AP 的名稱。
【SSID】:AP 使用的 SSID,同一個 AP 可能會有多個 SSID。
【IP 位址】:該部電腦的 IP 位址。
【MAC 位址】:該部電腦的 MAC 位址。
【狀態】: 代表電腦開機中, 代表電腦關機中。
【狀態更新時間】:所有更新時間訊息。
16-2-3、連線追蹤
• 查詢條件
【顯示】:可依照來源 IP 或目的 IP 來顯示表格,也就是連線追蹤列表內顯示的 IP 為來源或目的端。
【來源 IP】:輸入要查看的來源 IP 位址,空白代表全部。
【目的 IP】:輸入要查看的目的 IP 位址,空白代表全部。
【更新頻率】:設定每隔幾秒會更新此頁面。
• 連線追蹤列表
圖 384. 圖16-10 連線數及流量列表
【電腦名稱】:顯示目前該電腦的 NetBIOS 名稱或是位址表中定義的名稱,如果都沒有則顯示 IP 位址。
【IP 位址】:該部電腦的 IP 位址。
【連線數】:該部電腦目前對外已經建立的連線數。
【Zone Out (TX)/ Zone In (RX) 流量 bits】:這個 IP 讓防火牆 傳送/接收 的 bit 數量。
在要查看的電腦資料按下 
按鈕後,會出現這部電腦近 3 分鐘的詳細封包通聯訊息,如下圖。
圖 385. 圖16-11 使用者連線狀態
【立即更新】:按下後可以馬上更新通聯封包的連線數資訊。
【清除】:清除所有的資料,重新顯示通聯封包。
【匯出】:將此資料表匯出。
【協定】:此連線使用何種協定,通常為 TCP 或是 UDP。
【來源 IP】:該部電腦的 IP 位址。
【目的 IP】:這一個連線的目的 IP 位址。
【通訊埠】:來源及目的通訊埠,例如:62506>53,代表來源 PORT 是 62506,目的 PORT 是 53,而若協定是 UDP,大約可推測是 DNS 協定。
【Zone Out (TX)/Zone In (RX) 封包】:這筆連線讓防火牆 傳送/接收 的封包數。
【Zone Out (TX)/Zone In (RX) Bytes】:這筆連線讓防火牆 傳送/接收 的 byte 數。
【應用程式】:這個連線是使用哪個應用程式,NG-UTM 會依據內建的 900 種 DPI 分類這些應用程式。
【出口線路】:這個連線用哪一個出口線路到網際網路。
【管制規則】:這個連線套用的管制規則。
16-3、流量分析
NG-UTM 提供流量的統計分析,可以讓管理者按照流量、應用程式或者是 TCP Port 來查看每一個 IP 的使用狀況。
16-3-1、流量排行
流量排行能讓管理者查詢每一個使用者使用網路的狀況並依照使用流量排序,點選列表中的資料後可以看到該使用者使用的應用程式等詳細資訊。
圖 386. 圖16-12 流量排行統計條件
按鈕後,即可馬上切換。【連線類型】:統計以來源 IP 位址或是目的 IP 位址的連線,切換後按下【搜尋】即會將結果顯示於下方列表。
【統計方式】:使用 IP 位址或是上網認證的帳號為統計基礎,預設為依 IP 統計。
【時間範圍】:統計的時間範圍,可選擇今天或 1 小時。
選擇搜尋條件後所有透過 NG-UTM 流量的統計資訊會列表於下方。點選欄位項目的 可改變排序方向。
圖 387. 圖16-13 使用者流量排行
【電腦名稱】:電腦的 NETBIOS 名稱。
【IP 位址】:電腦的 IP 位址。
【MAC 位址】:電腦的 MAC 位址。
【上網認證】:這個 IP 位址若有使用上網認證就會顯示帳號,如果沒有就會顯示空白。
【上傳流量 KBytes】:累積的上傳量,單位為 K/M/G bytes。
【下載流量 KBytes】:累積的下載量,單位為 K/M/G bytes。
在列表中,點選任一筆電腦或 IP 位址的資料,就可以查看上、下載流量是被哪些應用程式或通訊協定佔用比例等詳細資訊,如下圖。
圖 388. 圖16-14 使用者流量分析
【時間範圍】:統計流量的時間範圍。
【IP 位址】:根據來源或是目的 IP 位址為統計。
:顯示來源 IP 位址到訪的目的主機所在的地區,點選後資料類型就會切換成 IP 目的地區。
點選每筆資料的 按鈕,NG-UTM 顯示這個統計項目更詳細的資訊,如每個時間段的上、下載流量,出口線路跟使用的管制條例。
圖 389. 圖16-15 詳細的通聯記錄
【持續時間】:某個連線的時間長度。
【上傳/下載流量】:某個連線累積的上傳、下載流量。
【出口線路】:使用哪個出口線路。
【管制規則】:使用哪個管制條例。
16-3-2、流量排行 By Port
可改變排序方向。
圖 390. 圖16-16 Port 流量統計
16-3-3、流量排行 By APP
可改變排序方向。
圖 391. 圖16-17 APP 流量統計
16-3-4、流量排行 By Location
可改變排序方向。
圖 392. 圖16-18 地區流量統計
16-3-5、流量排行查詢
查詢前 10 ~ 500 名的流量排行,可調整的條件項目如下:
【日期】:欲查詢的日期與時間範圍。
【連線類型】:分來源跟目的 2 種連線類型。
【查詢條件】:來源 IP、目的 IP 位址、目的 Port、上網認證、應用程式、IP 地區、出口線路。
【查詢排名】:系統預設顯示前 10 名的列表,可於下拉選單選擇其他排行數量。
按下【搜尋】後,查詢結果會顯示於下方列表,如下圖:
圖 393. 圖16-19 流量排行搜尋結果
16-3-6、流量配額查詢
在管制條例中設有每個 IP 位址能使用的流量總額,可在此查詢使用者的流量歷史紀錄。
16-3-7、DNS 排行查詢
1. 依域名: 統計內部對外 DNS 查詢的域名及次數排行。
圖 394. 圖16-20 網域跟次數
2. 依 DNS 伺服器: 統計使用的 DNS 伺服器次數排行。
圖 395. 圖16-21 DNS 伺服器跟次數
3. 依來源 IP: 統計內部 IP 使用 DNS 查詢的次數排行。
圖 396. 圖16-22 內部的 DNS 查詢次數