1. Настройка DFL-ки

1.1. Первым делом создаем свой лог: 

На второй закладочке указываем, какие сообщения отправлять: 

1.2. Теперь открывем правила, статистику с которых хотим собирать:

На закладочке "Log Settings" ставим галочку "Enable logging"  и выбираем уровень "Info"

Все. Настройка DFL-ки закончена.

2. Настройка программы Syslog 

При первом запуске программа выдаст менюшку:

Здесь нужно указать:

Port - тот порт, который указали в п. 1.1

Если хотим, чтоб лог дублировался в файл - ставим галочку "Save log to syslog.txt"

Если хотим, чтоб в файл писались только сообщения, которые программа не поняла - ставим вторую галочку.

Session Life Time - максимальное время жизни сессии в часах. С увеличением растет занимаемое место в памяти но уменьшается вероятность "потерять" открытую сессию. По умолчанию  - 73 ч.

Buffer size - размер буфера приема пакетов. С увеличением растет занимаемое место, но уменьшается вероятность потери UDP пакетов. По умолчанию - 256К.

Queue length - длина очереди на обработку. С увеличением растет занимаеиое место, но уменьшается шанс переполнения очереди и, соответственно, потери сессий. По умолчанию - 1000 сообщений на обработку.

В дальнейшем настройки будут доступны из меню:

Изменение настроек (кроме последней галочки) вступит в силу только при перезапуске программы.

Эти же настройки можно поправить руками прямо в реестре (раздел Syslog).

3. Работа с программой

При запуске программка сворачивается в трей.

Ткнули на нее - развернется окошко:

Здесь все просто.

Первый (самый левый) выпадающий список - адреса фаерволов, присылающих syslog-сообщения . Если работаем с одним фаевролом - на этот список не обращаем внимания.

Второй - имена внешних интерфейсов. Если используется единственный интерфейс - также не обращаем внимания.

Третий - IP адреса клиентов. Можно смотреть кого-то конкретного, можно всех (Total) . Адреса отображаются только для выбранного фаервола/интерфейса.

Четвертый - масштаб времени (1:1, 1:10, 1:100, 1:1000).

Потом строка информации - сколько времени работает, сколько сессий обработано, сколько открыто в настоящий момент, сколько потерялось (сообщение о закрытии сессии пришло, а об открытии - нет), сколько сообщений программка не поняла (скорее всего это просто сообщение не об открытии/закрытии сессии), длина очереди (текущая/максимальная).

Если максимальная длина очереди зашкаливает за 50-70% - лучше увеличить длину очереди. т.к. при пиковой нагрузке возможно переполнение очереди и, соответственно, потери пакетов.

Если после нескольких часов работы все еше растет число потеряных сессий - стоит попробовать увеличить "Buffer size" в настройке. Если не помогает - смотрите свою сеть, возможно пакеты теряются где-то по дороге.

Ниже - график. Красным отражается прием, синим - передача.

Ткнем мышкой в окошечко с  графиком - откроется табличка:

Здесь 6 основных столбиков:

1. Порядковый номер

2. IP клиента

3. Процент от общего траффика,  который приходится на данного клиента .

4. Число сессий открытых в данный момент / максимальное число открытых сессий.

5. Переданные байты.

6. Принятые байты.

Дальше идут столбцы, которые могут меняться. В них отображаются 16 наиболее часто используемых клиентом портов назначния / портов источника / IP адресов назначения. Переключение между отображаемыми столбцами осуществляется правой кнопкой мышки. Посекундные счетчики по этим портам / адресам не создаются, поэтому здесь возможны некоторые отклонения от реальной картины.

Процент, принятые и переданные байты отражаются за "видимый" период работы. Т.е. при 1:1 - за 30 минут, при 1:10 - за 5 ч., 1:100 - за 2 дня 2 часа, 1:1000 - 20 дней 20 часов. Максимальное число открытых сессий и меняющиеся столбцы - за все время работы программы (посекундные счетчики для них не создаются).

Строки сортируются по убыванию процента от общего траффика.

Ткнем мышкой в строку таблицы - откроется соответствующий график. Ткнем в заголовок таблицы - откроется суммарный график (Total).

4. Несколько замечаний напоследок.

Поскольку Syslog выдает информацию по закрытии сессии, информация о текущей загрузке канала появляется с некоторым опозданием. Также график получается несколько сглаженным,  равномерно "размазываясь" по всему времени сессии.

Поскольку работает все по UDP, возможны некоторые потери информации о траффике.

С v2.01 убраны глюки с некорректным отображением графика при большой загрузке.

С v2.02 убран некорректный подсчет траффика при большом масштабе времени.

С v2.03 таблички стали отображаться в соответствии с выбранным масштабом времени

С v2.04 появилась возможность изменять размер буфера под UDP-пакеты и размер очереди неоработанных сессий. Потери пакетов практически исчезли.

С v3.01 появилась нормальная возможность собирать информацию с нескольких устройств и, соответственно, отображать ее отдельно по каждому устройству / интерфейсу.

PS: Для тех, кому нужна полная информация по траффику  даю ссылку на более тяжелую, зато более функциональную программу "конкурентов": http://www.raresoftware.ru/products/lan/dfltc