top 10 accounting der letzten 10 sekunden

[richie1985]

hi,

wir haben in letzter zeit immer mal wieder probleme mit 100% auslastung der internetleitung.

wir möchten nun heraus bekommen, wer das ganze verursacht. leider weiss ich nicht wie.

in den accounting listen stehen irgendwelche tollen zahlen, die mir aber nicht wirklich helfen.

ich hätte gern eine top 10 der user mit dem meisten traffic der letzten x sekunden....

geht sowas?

[richie1985]

ist das nicht möglich?

[Bernie137]

Hi,

vielleicht hilft Dir mal ein Blick in die CLI -> Status -> IP-Router -> Service-Tabelle. Dann weist eventuell schon mal über welches Protokoll der viele Traffic generiert wird, vermutlich http.

vg Heiko

[richie1985]

richtig es ist http, nur wer von meinen knapp 350 usern ist der übeltäter?

[Bernie137]

Was für ein Gerät hast Du denn überhaupt und welche LCOS Version? Vielleicht ist es für diese Userzahl gar nicht geeignet.

Allgemein kannst Du das Accounting verwenden, aber das sagt es nicht über die letzten Sekunden aus, eher pro Tag wenn Du es entsprechend konfigurierst. Das hilft aber bestimmt schon mal weiter...

vg Heiko

[richie1985]

Was für ein Gerät hast Du denn überhaupt und welche LCOS Version? Vielleicht ist es für diese Userzahl gar nicht geeignet.

Allgemein kannst Du das Accounting verwenden, aber das sagt es nicht über die letzten Sekunden aus, eher pro Tag wenn Du es entsprechend konfigurierst. Das hilft aber bestimmt schon mal weiter...

vg Heiko

Hi Heiko,

es ist ein LANCOM 7100 VPN mit Firmware 8.82.0100RU1.

Pro Tag ist leider eine viel zu grosse Zeitspanne, da lässt sich der Übeltäter nicht mehr identifizieren...
Ich will wissen wer im aktuelle Moment den grossteil unserer Leitung "benutzt". Also welche IP Adresse zieht gerade viel herunter.

Hoffe es findet sich eine Lösung.

[Dr.Einstein]

ich hatte mir mal für genau diesen Fall ein Mini-PERL-Script geschrieben, vielleicht hilft es dir ja, Up und Download werden addiert betrachtet. Dazu wird ein IP-Router Trace benötigt, Länge von 10 Sek. sollte reichen, Aufruf über cmd mit "dateiname.pl < iproutertrace.lct"
Der Code selbst ist seinerzeit einfach zusammengefrickelt, geht bestimmt 1000 Mal besser ...

Code: Alles auswählen

#!/usr/bin/perl 
# Perl-Version 5.16.1 

############### 
# Dr.Einstein
# Stand 23.04.2013 
############### 

# Aufruf mit zum Beispiel "accouting.pl < trace.lct" 

use strict;                                                               # alle 3 strict-Beschraenkungen zur Erhöhung der Sicherheit 
  
chomp (my @daten =  <STDIN>);                                                # Speichert Argumente aus der Kommandozeile und entfernt Zeilenumbrüche aus dem Array 
my $start, my $ende; 
my @matrix;                                                               # 0 -> QuellIP, 1 -> ZielIP, 2 -> Übertragene Bytes 

foreach (@daten){ 
   if($_ =~ /\[TraceStarted\](.*)?((\d{2})\:(\d{2})\:(\d{2})\,(\d{3}))/){$start = $6 + $5*1000 + $4*60*1000 + $3*60*60*1000}         # Startzeitpunkt in ms 
   if($_ =~ /\[TraceStopped\](.*)?((\d{2})\:(\d{2})\:(\d{2})\,(\d{3}))/){$ende = $6 + $5*1000 + $4*60*1000 + $3*60*60*1000}         # Endzeitpunkt in ms 
   if($_ =~ /DstIP: (\d+\.\d+\.\d+\.\d+), SrcIP: (\d+\.\d+\.\d+\.\d+),(.*)?Len: (\d+),/){   # Datenpaket analysieren 
      if ( &suchen($1,$2,$4) ){   }    
      else{ 
         push(@matrix,[ $1, $2, $4 ] ); 
      } 
   } 
} 

my $zeitdifferenz = (($ende-$start)/1000); 

for(my $i=0;$i<=$#matrix;$i++){ 
   print "$matrix[$i]->[0] $matrix[$i]->[1] $matrix[$i]->[2] Byte = "; 
   my $temp = $matrix[$i]->[2] / $zeitdifferenz / 128; printf("%.2f",$temp); print " Kbit/s\n"; 
} 

sub suchen{ 
   my ($suche1, $suche2, $volumen) = @_; 
    
   unless (@matrix) { 
      return 0; 
   } 

   for(my $i=0;$i<=$#matrix;$i++){ 
      if ((($matrix[$i]->[0] eq $suche1) && ($matrix[$i]->[1] eq $suche2)) || (($matrix[$i]->[1] eq $suche1) && ($matrix[$i]->[0] eq $suche2))){ 
         $matrix[$i]->[2]=$matrix[$i]->[2] + $volumen; 
         return 1; 
      } 
   } 
   return 0; 
} 

[richie1985]

Hallo,

danke für das Script, aber dazu müsste ich ja ständig ein trace laufen lassen.

Warum gibt es seitens Lancom da nicht eine einfache Lösung?