Что такое сетевая активность пользователей и как ее отслеживать

Данная статья будет, в какой-то мере, посвящена безопасности.  У меня недавно возникла мысль, а как проверить, какие приложение используют интернет соединение, куда может утекать трафик, через какие адреса идет соединение и многое другое. Есть пользователи, которые также задаются этим вопросом.

Допустим у вас есть точка доступа, к которой подключены только вы, но вы замечаете, что скорость соединения какая-то низкая, звоните провайдеру, они отмечают, что все нормально или что-то подобное. А вдруг к вашей сети кто-то подключен? Можно попробовать с помощью методов из этой статьи узнать, какие программы, которые требуют Интернет-соединения он использует. А вообще, вы можете использовать эти методы, как душе угодно.

Ну что, давайте анализировать?

Команда netstat для анализа сетевой активности

Этот способ без использования всяких программ, нам лишь понадобится командная строка. В Windows есть специальная утилита netstat, которая занимается анализом сетей, давайте использовать ее.

Желательно, чтобы командная строка была запущена от имени администратора. В Windows 10 можно нажать на меню Пуск правой кнопкой мыши и выбрать соответствующий пункт.

В командной строке вводим команду netstat и видим много интересной информации:

Мы видим соединения, в том числе, их порты, адреса, соединения активные и ожидающиеся. Это конечно круто, но нам этого мало. Нам бы узнать, какая программа использует сеть, для этого вместе с командной netstat можно использовать параметр –b, тогда команда будет выглядеть так:

netstat –b

Теперь в квадратных скобочках будет видна утилита, которая пользуется интернетом.

Это не единственный параметр в этой команде, для отображения полного списка введите команду netstat –h.

Дальше можно просто использовать несколько команд для получения необходимой информации.

Но, как показывает практика, многие утилиты командной строки не дают той информации, которой хотелось бы видеть, да и не так это удобно. В качестве альтернативы мы будем использовать стороннее программное обеспечение – TCPView.

Мониторинг сетевой активности с помощью TCPView

Скачать программу можно отсюда. Ее даже не нужно устанавливать вы просто ее распаковываете и запускаете утилиту. Также она бесплатная, но не поддерживает русский язык, но этого особо и не нужно, из этой статьи вы поймете, как ей пользоваться.

Итак, утилита TCPView занимается мониторингом сетей и показывает в виде списка все подключенные к сети программы, порты, адреса и соединения.

В принципе тут все предельно ясно, но некоторые пункты программы я поясню:

• Столбец Process, ясное дело, показывает название программы или процесса.
• Столбец PID указывает на идентификатор подключенного к сети процесса.
• Столбец Protocol указывает на протокол процесса.
• Столбец Local adress – локальный адрес процесса данного компьютера.
• Столбец Local port – локальный порт.
• Столбец Remote adress указывает на адрес, к которому подключена программа.
• Столбец State – указывает на состояние соединения.
• Там, где указано Sent Packets и Rcvd Packets указывает на отправленное и полученное количество пакетов, тоже самое и со столбцами Bytes.

Еще с помощью программы можно нажать на процесс правой кнопкой мыши и завершить его, либо посмотреть, где он находится.

Названия адреса, как показано на изображении ниже можно преобразовать в локальный адрес, для этого нужно нажать горячие клавиши Ctrl+R.

С другими параметрами тоже произойдет изменение – с протоколами и доменами. Если вы увидите строки разного цвета, например, зеленого, то это означает запуск нового соединения, если покажется красный цвет, то соединение завершено.

Вот и все основные настройки программы, там еще есть мелки параметры, типа настройки шрифта и сохранения списка соединения. Если вам понравилась эта программа, то обязательно используйте ее. Опытные пользователи точно найдут для каких целей применить ее.

Программное обеспечение «Мониторинг сети» является инструментом мониторинга серверов и других устройств локальной сети. «Мониторинг сети» следит за состоянием сети и сообщает администратору обо всех сбоях и неполадках — обрыве связи, завершении свободного места на диске сервера, и т.д.

Ежедневно и ежеминутно на рабочем месте системный администратор получает огромный поток информации о работе локальных сетей, сетевого оборудования, сообщений от пользователей, ставит перед собой десятки задач, реализация которых должна решать уже имеющиеся и предупреждать новые проблемы. Часто с таким массивом данных справиться бывает довольно трудно. В этой ситуации возникает естественное желание систематизировать всю массу информации, поступающую непрерывным потоком, чтобы легче ее было анализировать и на ее основе принимать решения. Ведь если системный администратор будет распылять свое внимание на мелочи или уделять его только одной проблеме, то игнорирование остальных данных может привести к возникновению десятка других серьезных проблем. А, как известно, незначительные потери информации или даже непродолжительные простои в работе хотя бы одной из систем организации могут привести к утере доверия клиентов, а затем к потере и самих клиентов компании.

Каков же выход? Весьма простой: внедрение на предприятии системы мониторинга сети. Данная система осуществляет непрерывный (в режиме 24/7) мониторинг критических для работы организации узлов для выявления неполадок и скорейшего их устранения.

Например, к самым распространенным проверкам можно отнести: мониторинг ТСР-портов сетевых устройств, портов на свитчах, доступности всех серверов и служб компании, состояния принтеров, служб, баз данных, WMI-параметров на ПК, существования процесса, существования папок, свободного места на диске, загрузки процессора и еще несколько десятков других проверок.

Главное же назначение системы мониторинга — оповещение системного администратора, если в работе локальной сети происходят какие-то сбои.

Мониторинг сети можно осуществлять с помощью специализированного программного обеспечения, которое устанавливается на компьютер администратора или сразу на сервер компании.

После этого настраивается список проверок, к которому нужно отнестись крайне внимательно, поскольку каждая из них дает определенную информацию о состоянии системы. Так, на основе «пинга» открытых ТСР-портов можно сделать вывод о наличии в сети или отсутствии в ней «троянов» и «червей». Мониторинг МАС-адресов помогает узнать о неисправности устройства или о попытках подключения к сети извне. Мониторинг времени отклика сетевых устройств позволяет сделать выводы об их загруженности и способах устранения данной проблемы и т.д.

Благодаря различным оповещениям, которые программа мониторинга отправляет системному администратору при определенных условиях (например, при превышении времени отклика устройства или открытия какого-либо порта), он получает возможность отреагировать на сбой моментально, еще до того, как неполадка станет критической, и ситуация выйдет из-под контроля, ставя под угрозу работу всей организации.

Помимо всего прочего, программа мониторинга сети имеет еще одну весьма важную особенность, необходимую в условиях бесконечного потока огромного массива информации. Она способна самостоятельно реагировать на некоторые из мелких неполадок (конечно, при соответствующей настройке администратором). При определенных условиях она может запускать внешнюю программу на удаленном хосте, VB- или JS-скрипт, перезапустить или остановить работу службы или компьютера. Данная функция избавляет системного администратора от необходимости реагировать на некритичные сбои и направляет его работу на решение более сложных и срочных проблем.

Внедрение системы мониторинга сети на предприятии это не простое осваивание ИТ-бюджета или дань моде. Это необходимый инструмент, который, в конечном счете, не только облегчает жизнь сисадмину, беря часть его забот на себя, но становится залогом стабильной работы предприятия и ее репутации, которые зависят от работы ее систем.

Для мониторинга сетевого оборудования существует множество программ. Для лучшего восприятия принципа работы подобных программ рассмотрим одну из них «10-Страйк». (Рисунок 1.)

Рисунок 1. «10-Страйк: Мониторинг Сети» — программа проверки состояния серверов и сетевого оборудования

Эта программа даст нам возможность:

• — мониторинга сетевых устройств: коммутаторов, серверов, роутеров,
• — мониторинга служб, баз данных, портов TCP,
• — мониторинга температуры, напряжения, места на дисках и прочих параметров по SNMP и WMI.

А так же позволит анализировать статистику мониторинга, с предоставленными графиками и отчетами.

Программы позволит узнать о происходящих проблемах (повреждение канала связи, разрыв соединения, завершение места на дисках, останов служб и процессов, отказ баз данных и т.п.) с помощью программы мониторинга сети можно устранить проблему как можно раньше до момента, когда ситуация выйдет из-под контроля, будут потеряны данные или нарушены бизнес-процессы предприятия. Гибкая настройка сигнализации позволит не только получить оповещение, но и произвести автоматическую попытку восстановления работоспособности при помощи запуска скрипта и т.п.

Программы мониторинга сети позволяют своевременно оповещать владельца или обслуживающий персонал о возникших неполадках на сервере, оборудовании, а также о возможности их возникновения.

Программа реализована в виде службы и может быть установлена на сервере или рабочей станции Windows для мониторинга сети и выдачи оповещений в круглосуточном режиме без необходимости входа под какой-либо учетной записью. Программа сигнализирует о проблемах с помощью звука, записи в лог, экранных сообщений, а также с помощью e-mail и SMS (SMS могут отсылаться напрямую через подключенный телефон или 3G-модем, не требуя соединения с Интернетом). Можно автоматически запускать внешние программы, скрипты и службы, а также перезагружать компьютеры и службы для восстановления их работы.

Программа позволяет вести мониторинг служб, серверов, хостов, папок, файлов, баз данных и процессов на компьютерах сети и сетевом оборудовании (посмотреть полный список типов проверок). Дополнительно можно использовать собственные скрипты в качестве проверок устройств и служб. Можно контролировать различные переменные в управляемых коммутаторах и серверах по протоколу SNMP и WMI. Программа может отображать графики изменения этих переменных в реальном времени, а также накапливать статистику по результатам мониторинга для последующей аналитики и отчетности. (Рисунок 2.)

Рисунок 2. Схема сети предприятия

С помощью 10-Страйк можно контролировать наличие свободного места на дисках, нагрузку на процессор, следите за надежностью и временем отклика каналов связи, предупреждая неприятные последствия и затраты на восстановление работоспособности и данных.

К неполадкам можно отнести разрыв связи, сбои в работе баз данных, критическое количество места на диске, остановка используемых служб и многие другие. Программа 10-Страйк поможет заблаговременно сообщить о проблеме, для ее устранения с минимальными потерями времени, не дожидаясь того момента, пока ситуация не выйдет из-под контроля, т.е. не будут нарушены бизнес процесс предприятия или утеряны важные данные.

Программа производит мониторинг серверов, хостингов, контролирует папки, файлы, базы данных. Осуществляет контроль процессов и служб на компьютерах. Мониторингу подлежат подключение к TCP-порту, ICMP (пинг), DNS-сервера, протоколы ARP, коммутаторы протокола SNMP, порта на свитче, HTTP веб-сервера (содержимое веб-страниц), мониторинг MAC-адресов по NetBIOS протоколу и ARP-протоколу, журнал событий Windows, выполнение javascript и Visual Basic script, мониторинг WMI-параметров и многое другое.

В роботе с программой администратор сети может дополнительно использовать свои скрипты для проверки устройств и служб, осуществлять контроль разных переменных в управляемых коммутаторах и серверах по протоколам SNMP и WMI. Графики полученных переменных можно просматривать в реальном времени, а также просматривать накопленные статистические данные для их анализа, чтобы в дальнейшем заранее выявлять возможные проблемы.

Несколько десятков видов проверок для мониторинга доступности хостов, служб, процессов, дисков, принтеров, баз данных и прочих ресурсов. Поддержка различных общеизвестных сетевых протоколов позволяет осуществлять мониторинг как Windows (в т.ч. локально), так и Unix-серверов, любых других устройств в сети и баз данных.

Достоинства «10 Страйк» это:

• · Простота первоначальной настройки программы. Возможность обнаружить хосты для мониторинга, просканировав сеть за считанные минуты. Базовая проверка пингом добавится автоматически.
• · Продуманный интерфейс программы позволяет настраивать проверки и оповещение действительно быстро. Доступны групповые операции по настройке оповещения. Уже настроенные проверки мониторинга можно скопировать на новые устройства.
• · Программа накапливает и хранит статистику по результатам опроса устройств в процессе мониторинга. Впоследствии можно напечатать отчеты или проанализировать поведение устройств и их производительность.
• · Экспорт в Microsoft Visio (Рисунок 3.)

Рисунок 3. Экспорт из «10 Страйк» в Microsoft Visio

Система мониторинга локальной сети (10-страйк)

Программа «Мониторинг сети Pro» от компании 10-страйк позволяет осуществлять эффективный контроль за всеми работающими сетевыми устройствами в вашей локальной сети. Данное средство мониторинга можно установить, как на сервера, так и на любую рабочую станцию под управлением Windows и следить за состоянием компьютерной сети в режиме реального времени.

Каждый сисадмин должен иметь инструменты наблюдения за процессами, происходящими в локальной сети компании, со своего рабочего места. Но постоянно сидеть и смотреть в монитор, как сотрудник службы безопасности не будешь, так как есть дела и поважнее. Поэтому, система мониторинга должна уметь не только отображать неполадки, а еще оповещать и по возможности автоматически их устранять.

И сделать это помогает программа «Мониторинг Сети» от компании 10-strike (десять страйк). C помощью непрерывного мониторинга сети она позволяет вовремя узнавать о возникающих проблемах, не доводя ситуацию до критической. Не смотря на название, она позволяет не только мониторить устройства в локальной сети, но и обладает богатым функционалом по автоматизации. Благодаря чему, систему можно настроить таким образом, чтобы сисадмин уделял минимум времени на восстановление работоспособности.

В программе реализовано большое количество тестовых проверок различных сетевых служб и протоколов. Что позволяет следить как за состоянием серверов и рабочих станций, так и за роутерами и коммутаторами, сетевыми принтерами и источниками бесперебойного питания. В общем видеть все, что происходит с вашим оборудованием и программным обеспечением.

Так вот в данном видео предлагаю рассмотреть основные возможности программы “Мониторинг сети” и продемонстрировать практический пример задачи, которую она позволяет решить.

Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку

Чтобы перейти в конкретный момент в видеоуроке, воспользуйтесь ссылками ниже:

В результате правильной настройки программы, мы сможем наблюдать за состоянием интересующих нас сетевых устройств и служб в режиме реального времени из данного интерфейса (зеленый проверка прошла, красный проверка не прошла). А для более удобного визуального восприятия, можно добавить элементы на карту сети, на которой состояние устройств будет также меняться в режиме реального времени. Причем, в качестве схемы, вы можете использовать любую картинку, будь то чертеж здания, карта местности или специфическая картинка.

Скачивание дистрибутива «Мониторинг сети PRO»

Перейдем на сайт разработчика 10-страйк Программы Мониторинг сети (Pro) 6.2 Скачать Скачать Скачать общий пакет, без веб-интерфейса.

Установка «Мониторинг сети PRO»

Запускаем установочный пакет (Далее Принимаем соглашение Далее Полная установка Далее Далее Установить Выдается сообщение, что не удалось установить .NET Framework 3.5, но на данном сервере у меня установлена более свежая версия .NET Framework 4.6 Запустить NetMonitorPro Завершить Резервирование базы данных Нет)

Добавление хостов для мониторинга

Теперь давайте добавим компьютеры для мониторинга их состояния, они у нас будут отображаться во вкладке «Хосты» (Сканировать сеть Сканировать диапазон IP адресов, так как этот способ позволяет найти больше устройств, нежели поиск в сетевом окружении У меня здесь 2 сетевые карты, одна смотрит в локальную сеть, другая во внешнюю. Меня интересуют устройства в локальной сети, поэтому я выбираю соответствующий сетевой адаптер Добавить диапазон Далее Далее Было найдено 3 компьютера, сервер и 2 клиентские машины Далее Добавим в папку «Хосты» В качестве имени использовать DNS Готово)

Теперь для каждого найденного устройства была создана запись в дереве устройств. И в каждой из этих записей создано задание по умолчанию на проверку доступности устройства через ping этого устройства.

Если мы перейдем в раздел «Хосты» то увидим состояние всех проверок. В случае, если компьютер или устройство не пингуется, то проверка будет выделена красным цветом.

Составление схемы сети

Чтобы визуально было удобно наблюдать за активными сетевыми устройствами, давайте добавим их на карту сети (Главная Карта сети Новая Нарисовать Добавить изображение чертеж здания ПКМ Добавить хост из базы мониторинга Перемещаем компьютеры на карте сети google.com может нам сигнализировать о состоянии интернет подключения Сохранить Имя: Схема сети офиса)

Создание проверки

Допустим, мне нужно быть уверенным, что на компьютере запущен удаленный доступ через программу TeamViewer и он работает. Давайте создадим проверку, которая будет это проверять.

Предлагаю создать проверку для удаленного компьютера, так как частенько нам нужно мониторить службы на удаленных серверах, так что принцип создания проверки для службы будет аналогичен (Хосты Windows-10 ПКМ Добавить проверку)

Как вы видите, тут можно создавать большое количество различных проверок, которые условно делятся на:

• Сеть – проверка доступности устройств
• Активное оборудование – мониторинг коммутатора
• Журналы и файлы – все что связано с файлами и папками
• Производительность
• Принтеры
• Пользовательские проверки
• Серверы

В данном случае, меня интересует проверка состояния службы (Имя хоста, мы можем проверь по DNS имени или IP адресу Использовать агент, если с какими-то проверками в вас возникают проблемы, то можно использовать специальный агент, который устанавливается на конечной системе. Причем, некоторые проверки, выполняются только через агента, такие как мониторинг состояния жесткого диска S.M.A.R.T и датчиков материнской платы Проверяемая служба Заполнить, чтобы система подключилась к удаленному компьютеру и запросила список служб TeamViwer Узнать состояние, чтобы узнать текущее состояние службы)

Указываем галочку “Нужна авторизация”, чтобы указать учетные данные пользователя, который имеет административные права в удаленной системе, через неё и будет выполнятся опрос службы.

Настройка параметров проверки

Зависимости – допустим, в нашей ситуации нет смысла включать сигнализацию по не работающей службе, если компьютер выключен. Т.е. мы можем добавить зависимость от проверки состояния хоста (Зависит от проверок Добавить Windows-10). Таким образом будет приходить сигнал о недоступности хоста, а сигнализация по состоянию службы проходить не будет, так как она зависит от состояния хоста.

Защита от ложных сигнализаций – бывают кратковременные сбои, и чтобы сразу не сигнализировать, мы можем указать количество проверок, после которой проверка будет считаться неудачной (3 попытки с задержкой в 30 секунд)

Интервал проверки – время, через которое проверка будет запускаться постоянно запускаться

Приоритет запуска – аналогичная ситуация как с зависимостями, только здесь мы можем указать «Сделать эту проверку первой в списке», тогда, если она не пройдет, то другие проверки не будут запущены.

Контроль времени выполнения – проверка будет считаться не пройдённой, если время её выполнения превысит заданное

Непрерывное оповещение – если поставить галочку, сигнализация будет срабатывать каждый раз, когда проверка будет неудачной.

Расписание – время выполнения проверки. Можно указать рабочие часы, так как ночью нет смысла мониторить какой-то рабочий компьютер

Статистика – хранить статистику

Множитель – мы можем наблюдать за данными в удобном для нас виде, и привести в удобный вид поможет данный параметр. Вообще, конкретно в нашей задаче его использовать не имеет смысла, так как мы получаем результат в формате работает или нет. Но, если бы мы хотели фиксировать какие-то изменяющиеся параметры, допустим скорость сети, то результат приходил бы в формате 27000. И чтобы нам привести эти данные в удобный вид, можно воспользоваться этими параметрами.

К примеру, если мы хотим мониторить скорость сети и данные отдаются в Кбит, то можно сделать так (Разделить на 1024, чтобы получать результат в Мбит Единицы измерения: Мбит Минимальное и максимальное значение: 0-100 если сеть 100 Мбит Тип индикатора: График) Тогда мы будем получать удобный визуальный график как в диспетчере задач

Уровни предупреждений – мы можем задать различные уровни оповещений, не только работает и не работает. Допустим разные уровни сигнализации при заполнении жесткого диска, осталось 30%, осталось 20%, осталось 10%.

Описание – информационное описание проверки.

Настройка оповещений и автоматических действий

Теперь настало время назначить действия, которые будут выполняться, в зависимости от результата выполнения проверки.

Есть следующие типы действий: отправка сообщений, запуск приложений, подать звуковой сигнал, записать в журнал событий, перезапустить службу или компьютер, выполнить скрипт и изменить какое-либо состояние объекта на схеме сети.

Я предлагаю сделать следующее, если служба перестанет работать, то мы отправим сообщение на электронную почту и выполним удаленный перезапуск службы.

Отправка сообщения на электронную почту

Настроим отправку сообщения не электронную почту (Сообщение Если проверка не прошла Отправить сообщение на E-mail Указываем адрес куда будет отправляться сообщение Настройки Адрес отправителя, от кого будет отправляться сообщение SMTP сервер: smtp.mail.ru логин и пароль Остальное можно не менять ОК)

Перезапуск удаленной службы

Настроим перезапуск службы, при её сбое (Перезапустить службу, компьютер Выполнить следующее действие, если проверка не прошла Служба: TeamViewer Если недостаточно прав, так же указываем: Нужна авторизация Готово)

Проверка оповещения и автоматизации

Отключаем службы на клиентском компьютере, ждем оповещения и проверяем, что служба была перезапущена.

Как вы видите, с помощью программы «Мониторинг сети», можно настроить огромное количество различных проверок. Быть в курсе всего, что происходит в компании и своевременно, а порой даже заблаговременно реагировать на возникновение сбоев.

А кроме того, можно вообще минимизировать свое участие в решении той или иной проблемы, за счет автоматизации.

А на этом все, спасибо за внимание и до новых встреч!!!!

Севостьянов Антон

Используемые источники:

• https://computerinfo.ru/monitoring-seti/
• https://studwood.ru/1716599/informatika/programmnoe_obespechenie_monitoring_seti
• https://sys-team-admin.ru/videouroki/administrirovanie/214-sistema-monitoringa-lokalnoj-seti-10-strajk.html