Brick-Statistik IP
Handbuch
Inhalt
Einleitung
Sollten sie einen Bianca/Brick-Router nutzen, um den Mitarbeitern Ihres
Unternehmens den Zugang zum Internet zur Verfügung zu stellen oder
eigene Angebote im Internet zu veröffentlichen, haben Sie sich sicherlich
schon mindestens eine der folgenden Fragen gestellt:
- Welcher Mitarbeiter nutzt eigentlich den Internet-Zugang in welchem Umfang
und wofür?
- Welche Verbindungen werden überhaupt aufgebaut?
- Woher kommen eigentlich die (gestiegenen?) Provider- oder Telefonkosten?
"Brick-Statistik" erlaubt es Ihnen, die mitunter wenig lesbaren Syslog-Nachrichten
Ihrer Bianca/Brick auszuwerten, einfache Statistiken zu drucken und die
Daten für komplexere Analysen z.B. in Microsoft Excel zu exportieren.
Kosten-Controlling und ein regelmäßiges Security-Audit ("Wer
verbindet eigentlich mit wem...?") werden so massiv vereinfacht.
Installation
"Brick-Statistik" läuft auf einem Windows 95 oder Windows NT-System.
Zur Namensauflösung muß TCP/IP installiert sein. Bitte beachten
Sie zudem, daß bei großen Accounting-Log-Dateien zumindest
temporär entsprechend viel Festplattenplatz zur Verfügung stehen
sollte. Für bestimmte Optionen (wie z.B. das Kontaktieren von Computern
via TELNET etc.) muß natürlich die jeweilige Software installiert
sein.
An Ihrem Bianca/Brick-Router müssen folgende Einstellungen getätigt
werden:
- "External System Logging" muß aktiviert und der Computer, auf
dem die DIME Tools/DIME Syslog ausgeführt werden, muß als "Log
Host" konfiguriert sein.
- Für den jeweiligen "WAN Partner" muß in den "Advanced Settings"
das "IP Accounting" aktiviert sein.
- Für das "LAN Interface" muß ebenfalls in den "Advanced Settings"
das "IP Accounting" aktiviert sein.
Bitte sehen Sie zu diesen Einstellungen ggf. in den Handbüchern
nach, die Sie mit Ihrer Bianca/Brick erhalten haben.
Die DIME Tools/DIME Syslog müssen auf mindestens einem Computer installiert
und lauffähig sein. Zudem müssen Sie unter "Configuration/DIME
Syslog" ein Logfile eingetragen haben, in das mindestens "Accounting.Information"
geschrieben wird. Sie können dies überprüfen, indem Sie
nach einer Weile das eingetragene Logfile z.B. mit einem Editor öffnen.
Sie sollten dann u.U. neben diversen anderen Meldungen Zeilen sehen, die
nach der Datums-/Zeit-Angabe die Zeichen "Accounting.Information" enthalten.
Bitte beachten Sie auch hier die mit der Bianca/Brick gelieferte Dokumentation.
Installation von "Brick-Statistik"
Sie können "Brick-Statistik" durch Aufruf von SETUP.EXE auf der CD
(oder der ersten Diskette) installieren. Nach den üblichen Fragen
zu Lizenzinformationen, Verzeichnis, Programmgruppe u.ä. ist "Brick-Statistik"
fertig installiert - Sie müssen nichts besonderes beachten.
Benutzung
Standardmäßig starten Sie "Brick-Statistik" aus der Programmgruppe
"Brick-Statistik". Nach einem kurzen Begrüßungsdialog fragt
das Programm nach der einzulesenden Log-Datei. Achtung: Während des
Einlesens können die DIME Tools/DIME Syslog nicht weiter in die Log-Datei
schreiben, daher ist es sinnvoll, vorher eine Kopie dieser Datei anzufertigen
und "Brick-Statistik" die Kopie einlesen zu lassen.
Falls Sie prinzipiell dieselbe Datei (z.B. aus einem Batch, das die
Log-Datei zuvor kopiert) einlesen möchten, können Sie "Brick-Statistik"
auch mit dem Dateinamen in der Kommandozeile starten.
Einlesen von Daten
Nachdem Sie die Log-Datei ausgewählt haben, beginnt "Brick-Statistik"
damit, die Accounting-Daten aus der Datei zu extrahieren. Dies kann je
nach Größe der Log-Datei einige Zeit in Anspruch nehmen.
Nachdem die Daten fertig eingelesen sind, können Sie im Dialog
"Datumsbereich eingrenzen..." angeben, für welchen Zeitraum Sie die
Auswertung erstellen möchten. Möchten Sie die gesamte Log-Datei
auswerten, beantworten Sie die Frage mit "Nein".
Namensauflösung
In den Accounting-Einträgen Ihrer Bianca/Brick werden Hosts leider
nur mit der jeweiligen IP-Nummer aufgeführt (z.B. "148.79.80.84").
Diese Angabe mag für Computer aussagekräftig sein, einen Menschen
verwirrt sie meist eher. Aus diesem Grund erlaubt Ihnen "Brick-Statistik",
über Ihren Nameserver (oder den Ihres Providers) IP-Adressen durch
einen "reverse lookup" wieder zu Namen aufzulösen.
Da die Nameserver-Anfragen für einen "reverse lookup" u.U. durch
das Internet bis zu den Root-Nameservern weitergeleitet werden müssen,
können sie leider eine Weile dauern. Die Auflösung einer Adresse
kann man mit rund 3 Sekunden veranschlagen, wobei Adressen, die sich nicht
zu Namen auflösen lassen, mitunter extrem viel länger dauern
und solche, die noch im Cache des lokalen Nameservers sind, entsprechend
viel schneller aufgelöst werden. Als Richtwert können Sie für
die Namensauflösung ca. 5 Minuten pro 100 Adressen veranschlagen.
Sollten Sie wenig Zeit mitbringen, können Sie auf die Auflösung
verzichten (d.h. einfach anstelle von "Start" auf "Abbrechen" klicken,
dann kommen Sie sehr viel schneller zum nächsten Schritt, ohne die
Namensauflösung auszuführen).
Wenn die Auflösung abgeschlossen ist, zeigt "Brick-Statistik" Ihnen
an, wieviele der IP-Adressen in Namen aufgelöst wurden. Für nicht
aufgelöste Adressen gibt es zwei möglich Gründe: Entweder
gibt es einfach keinen Host-Namen zu der Adresse oder der Administrator
der jeweiligen Domain hat keinen Eintrag für den "reverse lookup"
in seine Datenbank aufgenommen. Wie auch immer – Sie müssen sich leider
damit abfinden, daß sich nicht alle Adressen auflösen lassen.
Nachdem Sie den Dialog "IP-Adressen zu Namen auflösen..." beendet
haben, kommen Sie in den eigentlichen Auswertungsdialog.
Angaben in der Herkunfts- bzw. Ziel-Liste
Die Herkunfts- und Ziel-Liste enthält Angaben zu den Ursprungs- (in
der Regel Workstations in Ihrem lokalen Netzwerk) und Ziel-Computern (z.B.
Web-Servern). Diese Liste können Sie einerseits verwenden, um sich
einen Überblick zu verschaffen, andererseits ist sie die Grundlage
für Filter-Operationen über die Gesamtliste (s.u.).
Die Angaben bedeuten im einzelnen:
- Unter "Herkunft" bzw. "Ziel" finden Sie den Host-Namen und/oder die IP-Adresse
des Herkunfts- bzw. Ziel-Computers.
- "Anzahl" gibt die Anzahl der Verbindungen an, die vom Herkunfts- bzw. zum
Ziel- Computer aufgebaut wurden.
- "Byte eingehend" und "Byte ausgehend" gibt die Anzahl der vom Herkunfts-
bzw. Ziel-Computer empfangenen oder gesendeten Bytes an.
- Zusätzlich sehen Sie in der letzten Spalte einen Balken, der den Anteil
des Ziels bzw. der Herkunft an Ihrem gesamten Internetverkehr ausdrückt.
Angaben in der Service-Liste
In der Service-Liste finden Sie Angaben analog zur Herkunfts- bzw. Ziel-Liste,
allerdings werden diese hier nach dem jeweiligen Service (Dienst) sortiert.
Ein Service kann z.B. "http" (hypertext transfer protocol, das vom World
Wide Web verwendete Transportprotokoll) oder "ftp" sein. Der Service, zu
dem eine Verbindung gehört, bestimmt sich aus dem Ziel-Port und dem
verwendeten Protokoll (z.B. "TCP" oder "UDP"). Damit Sie diese Daten nicht
im Kopf dekodieren müssen, werden mit "Brick-Statistik" über
1.500 Service-Definitionen mitgeliefert.
Angaben in der Gesamt-Liste
Die Gesamt-Liste zeigt die einzelnen Verbindungen. Da diese Liste recht
umfangreich werden kann - letztendlich kommen auf jede abgerufene Web-Seite
mindestens eine Verbindung für die HTML-Datei selbst und jeweils eine
weitere für jede darin enthaltene Grafik o.ä. - können Sie
nach dem jeweils in der Herkunfts-, Ziel- oder Service-Liste gewählten
Eintrag filtern. Hierzu verwenden Sie bitte die Auswahlschalter unterhalb
der Liste.
Die Angaben der Gesamt-Liste bedeuten im einzelnen:
- "Brick (Name)": Dies ist der Name des Bianca/Brick-Routers, der die Syslog-Nachricht
an den Rechner geschickt hat, auf dem die DIME Tools/DIME Syslog laufen.
Sollten Sie nur einen Bianca/Brick besitzen, können Sie dieses Feld
ignorieren.
- "Datum/Zeit": Diese Zeitangabe ist die der Workstation, auf der die DIME
Tools/DIME Syslog laufen. Die Datum/Zeit-Angabe der Bianca/Brick selbst
läßt sich nur über den Datenexport abfragen (s.u.), sie
wird hier nicht aufgeführt, da sie im Zweifel nicht so genau ist wie
die der Workstation.
- "Herkunft (Host)", "Port": Die Angabe des Hosts ist dieselbe wie in der
Herkunfts-Liste. Ebenfalls aufgeführt wird hier der Herkunfts-Port,
der allerdings nur in den seltensten Fällen von Interesse sein dürfte.
- "Ziel (Host)", "Port": Ähnliches gilt für den Ziel-Host und -Port,
wobei der Ziel-Port (zusammen mit dem verwendeten Protokoll) den Service
identifiziert.
- "Service": Dies ist der Service-Name (s.o.).
- "Dauer": Die Dauer der Verbindung in Sekunden; bitte beachten Sie, daß
es keinen Sinn macht, die übertragenen Bytes durch die Verbindungsdauer
zu teilen, da Sie weder wissen, welche Verbindungen gleichzeitig noch dieselbe
Leitung verwendet haben, noch einschätzen können, ob die Verbindung
nicht zeitweise inaktiv war. Auf diese Weise läßt sich also
keinesfalls die Übertragungsrate errechnen.
- "Bytes (ausgehend)", "Pakete": Die Anzahl der ausgehenden Bytes und IP-Pakete.
- "Bytes (eingehend)", "Pakete": Die Anzahl der eingehenden Bytes und IP-Pakete.
Wenn Sie während Sie einen der Host-Namen (Ziel oder Herkunft) selektiert
haben auf die rechte Maustaste klicken, erscheint ein Menü, daß
Ihnen ermöglicht, zu dem gewählten Host eine Verbindung über
eine Reihe von verschiedenen Diensten aufzubauen.
So können Sie schnell und einfach nachvollziehen, welche Web-Site
o.ä. hinter dem aufgeführten Host-Namen steht.
Datenexport
Zur Weiterverarbeitung (z.B. in Microsoft Excel) können Sie die Daten
aus allen vier Listen in verschiedene Datenformate exportieren.
Die Feldliste in der rechten Fensterhälfte gibt hier diejenigen
Felder an, die Sie in den Export einbeziehen möchten, die in der linken
diejenigen, die Sie nicht mit exportieren wollen. Sie können verschiedene
Dateiformate auswählen, bei einigen Dateiformaten ist es zudem möglich,
den für Umlaute (sollten praktisch nicht vorkommen) verwendeten Zeichensatz
auszuwählen. Bei einem Export als HTML-Datei können Sie außerdem
den Titel der HTML-Seite angeben.
Die Schaltfläche "Exportieren" startet den gewählten Export,
"Vorschau" ermöglicht es Ihnen, die Dateistruktur mit den jeweiligen
Feldern und Daten zu betrachten, und "Kopieren" kopiert die gewählten
Felder und Daten in die Zwischenablage. Letzteres funktioniert leider nur
bis zu einer Größe von ca. 64 KB, im Falle größerer
Auswahlen müssen Sie die Daten auf jeden Fall erst exportieren und
danach mit der jeweiligen Anwendung öffnen bzw. importieren.
Weitere Informationen
Die Datenstrukturen der Export-Dateien
Die Datenstrukturen und Feldnamen der Exportdateien ergeben sich wie folgt:
Herkunfts- bzw. Ziel-Liste
| Feldname
|
Datentyp
|
Länge
|
Bemerkungen
|
| HOST
|
Zeichen
|
120
|
Herkunft bzw. Ziel
|
| COUNT
|
Numerisch
|
10
|
Anzahl
|
| BYTEIN
|
Numerisch
|
16
|
Byte (eingehend)
|
| BYTEOUT
|
Numerisch
|
16
|
Byte (ausgehend)
|
| BYTESUM
|
Numerisch
|
16
|
Byte (gesamt)
|
| PERCENT
|
Numerisch
|
20,4
|
% des Gesamtvolumens
|
Service-Liste
| Feldname
|
Datentyp
|
Länge
|
Bemerkungen
|
| SERVICE
|
Zeichen
|
11
|
Service
|
| COUNT
|
Numerisch
|
10
|
Anzahl
|
| BYTEIN
|
Numerisch
|
16
|
Byte (eingehend)
|
| BYTEOUT
|
Numerisch
|
16
|
Byte (ausgehend)
|
| BYTESUM
|
Numerisch
|
16
|
Byte (gesamt)
|
| PERCENT
|
Numerisch
|
20,4
|
% des Gesamtvolumens
|
Gesamt-Liste
| Feldname
|
Datentyp
|
Länge
|
Bemerkungen
|
| SL_SYSTEM
|
Zeichen
|
20
|
Brick (Name)
|
| SL_DATETIM
|
Datum/Zeit
|
8
|
Datum/Zeit (nach dem Rechner, auf dem die DIME Tools/DIME Syslog ausgeführt
werden)
|
| DATETIME
|
Datum/Zeit
|
8
|
Datum/Zeit (nach der internen Uhr der Bianca/Brick, stimmt nur, wenn
im Setup der Bianca/Brick unter "IP"/"Static Settings" ein "Time Server"
korrekt eingetragen ist.)
|
| DURATION
|
Numerisch
|
10
|
Dauer
|
| PROTOCOL
|
Zeichen
|
7
|
Das verwendete IP-Protokoll (z.B. "TCP" oder "UDP")
|
| SRC_HOST
|
Zeichen
|
120
|
Herkunft (Host)
|
| SRC_PORT
|
Zeichen
|
4
|
Herkunft (Port)
|
| SRC_IFC
|
Zeichen
|
5
|
Herkunft (Interface der Brick wie z.B. im DIME Browser unter "Interfaces/ifTable"
aufgeführt, letztendlich also der WAN-Partner o.ä.)
|
| DST_HOST
|
Zeichen
|
120
|
Ziel (Host)
|
| DST_PORT
|
Zeichen
|
4
|
Ziel (Port)
|
| SERVICE
|
Zeichen
|
11
|
Service
|
| DST_IFC
|
Zeichen
|
5
|
Ziel (Interface der Brick, s.o.)
|
| OUT_PKTS
|
Numerisch
|
7
|
Pakete (ausgehend)
|
| OUT_OCTETS
|
Numerisch
|
15
|
Byte (ausgehend)
|
| IN_PKTS
|
Numerisch
|
7
|
Pakete (eingehend)
|
| IN_OCTETS
|
Numerisch
|
15
|
Byte (eingehend)
|
Die Services-Tabelle
Im Installationsverzeichnis von "Brick-Statistik" befindet sich die Datei
"SERVICES.CFG". Sie enthält Einträge
der Form
"http",80,"TCP"
Hier bedeutet der erste String (in Anführungszeichen) den Namen des
Services, die darauf folgende Zahl (ohne Anführungsstriche) den Port
und als letztes (ebenfalls in Anführungszeichen) den Namen des verwendeten
Protokolls (hier dürften in der Praxis lediglich "TCP" und "UDP" auftauchen.
Sollten Sie Services verwenden, die von "Brick-Statistik" nicht oder falsch
erkannt werden (viele der Einträge in der "SERVICES.CFG"
sind mehr informeller Natur), können Sie die Einträge in dieser
Datei ändern oder ergänzen.
Support
Technischen Support für "Brick-Statistik" erhalten Sie bei