YAMAHA RTXルーターのシスログからどのアクセス先を調べる方法を教えていただきたいです。可能であれば無料のツールや方法を探しております。
今月に入り3回ほどYAMAHA RTXルーターのトラフィックが800mbpsを超えており、ルーターCPUが90%台の数字をたたいております。
3回とも就業開始時刻の9:00辺りからトラフィックが上昇し、10:00までには収まります。
恐らくWindowsアップデートやセキュリティソフトの更新かと思うのですが、正確な理由がわからない状態です。
アクセス先を探るためのツールを調べましたが、有料ツールしか出てこない状況です。
私の調べ方がよくない可能性が高いですが、素人のため起こる事象に対して知識もついて行っていない状況です。
お手数ですが、わかる方がいらっしゃいましたら教えていただきたいです。
よろしくお願いいたします。
RTXルーターのシスログからどのアクセス先を調べる方法を教えていただきたいです。
pp の outbound filterにpass logを仕込むといいですよ、その代わり大量のLOGが流れてくるのでSYSLOGサーバを立ち上げてください。
#9999番フィルタ 通過したものをsyslogに吐き出す
#既存のpass * * * *があるなら そこを pass-logに変えてください。
ip filter 9999 pass-log * * * * *
#PPの設定 XXXは既存のフィルタ 最後尾のoutboundにpass-logフィルタ着ける
ip pp secure filter out XXX XXX XXX 9999
show log | grep 9999とかでひっかけたら通過したログ見えます。
番号が小さい順から適応されていくはずなので大きな数字で設定してください
syslog notice のレベルぐらいででたはずです。
SYSLOG
1.以前に多様な事案で「GST syslog server」を使いました。
出すだけなら簡単です。無料なはずです。
2.CentOSのserverを作って,rsyslogを入れましょう(おすすめ)
ちょうど今僕が記事に書いてる内容が解析に使えます。
今月に入り3回ほどYAMAHA RTXルーターのトラフィックが800mbpsを超えており、ルーターCPUが90%台の数字をたたいております。
僕も経験しました、300人規模ぐらいの事務所です。
社員が使っているSaaS(Google workspaceとか)のファイルダウンロード主な原因でしたね
RTX3500やRTX5000に変えましたが改善はしませんでした(販売元にに相談したら検証機を貸してくれますよ。)
makerと協議した結果 RTX君は拠点VPN用のルータなので、そこまでインターネット向けの通信をさばけないようです。(NATを超える通信を1Gふるふるさばけない 、500Mbpsぐらいしかさばけない)
こっちは Fortigate200Eに変更して収束しました。
機器や構成を見直してみてはいかがでしょうか。