监视整个办公室Internet流量的最佳方法是什么？

目前，我们的T3生产线可容纳约28人，而且白天的运行速度非常慢，因此我需要一些帮助来跟踪原因。我假设有人正在下载他们可能不知道的内容。

我建议不要使用Wireshark监视流量。您将获得太多数据，但是很难分析数据。如果您需要查看/解决几台机器之间的交互问题，wireshark非常棒。作为IMHO的监视工具，wireshark并不是您所需要的工具。

1. 分析网络流量。试用一些实际的监视工具：http : //sectools.org/traffic-monitors.html。您正在寻找流量的顶级类型（可能是HTTP，但谁知道），热门通话者（应该是您的服务器，但谁知道），以及潜在的流量畸形（大量的TCP重新传输，格式错误的数据包，非常高的速率）包。可能看不到，但谁知道）

2. 同时，与您的管理层一起制定网络资源使用策略。通常，以业务术语来说，计算机网络存在可以满足哪些业务需求，以及对资源的适当使用方式。这东西要花钱，所以它的存在必须有商业理由。贵公司有处理“零用钱”抽屉的政策，我敢打赌，您的网络基础架构的成本要高得多。关注的重点不是抓人做坏事，而是要注意潜在的恶意活动，这些活动正在破坏网络功能（即员工完成工作的能力）。Southern Fried Security播客和PaulDotCom安全周刊介绍了有关创建适当的安全策略的信息。

3. @John_Rabotnik代理服务器的想法很棒。实现用于网络流量的代理服务器。与传统防火墙相比，代理服务器使您可以更好地了解正在发生的情况，并可以更精细地控制允许的流量（例如，真实的网站）和要阻止的流量（由[20个随机字符组成的URL] ] .com）

4. 让人们知道-网络有问题。您正在监视网络流量。为他们提供一种机制来注册网络速度下降，并捕获有关该报告的足够的元数据，以便总体上您可以分析网络性能。与您的同事沟通。他们希望您做好工作，以便他们做好工作。您在同一个团队中。

5. 通常，阻止所有内容，然后允许应该允许的内容。从第一步开始的监视应该让您知道需要允许什么，并通过网络使用/安全策略进行过滤。您的策略还应该包括一种机制，管理员可以通过该机制请求授予新的访问权限。

总而言之，第一步，交通监控（Nagios似乎是一种标准工​​具）可以帮助您弄清楚一般情况下可以立即消除的痛苦。步骤2-5有助于防止将来出现此问题。

T3饱和了28个人？似乎不太可能（每个人都可以整天使用流媒体，而且不会很快。）您可能要检查路由循环和其他类型的网络配置错误。您还应该检查病毒。如果您的本地网络上运行着一个小的僵尸网络，那将很容易解释流量。

您使用哪种开关/防火墙？您可能已经具有监视数据包流量的功能。

编辑：我也是Wireshark的忠实拥护者（尽管我已经老了，所以我仍然认为“ Ethereal”在我的脑海中）。如果要使用它，最好的方法是将一台计算机置于联机状态，以便所有流量都必须经过它。这样一来，您就可以运行详尽的日志记录，而不必将设备切换到混杂模式。

而且如果事实证明您需要某种流量调整，那么您将可以设置Snort代理……不过，我并不是从安装一个Snort代理开始的。我真的怀疑您的问题是带宽。

如果您有备用计算机，则可以将其设置为Internet代理服务器。他们不是通过路由器访问互联网，而是通过代理服务器（代理服务器使用路由器访问互联网）访问计算机。这将记录所有互联网流量以及它来自哪台计算机。您甚至可以阻止某些网站或文件类型以及许多其他很酷的东西。

代理服务器还将缓存经常使用的网页，因此用户访问相同的网站，图像，下载内容等将已经存在于代理服务器上，因此无需再次重新下载。这样也可以节省一些带宽。

这可能需要一些设置，但是如果您有时间和耐心，那绝对值得一试。设置代理服务器可能不在此问题的范围内，但以下是一些入门指南：

1. 在备用计算机上安装Ubuntu操作系统（如果您熟悉Linux，请获取服务器版本）：

   http://www.ubuntu.com/desktop/get-ubuntu/download

2. 通过打开终端/控制台窗口并键入以下命令，在机器上安装鱿鱼代理服务器：

   sudo apt安装鱿鱼

3. 以您喜欢的方式配置鱿鱼，这是在Ubuntu上进行设置的指南。您也可以访问鱿鱼网站以获取更多文档和设置帮助。：

   https://help.ubuntu.com/9.04/serverguide/C/squid.html

4. 配置客户端计算机以将Ubuntu服务器用作其代理服务器来访问Internet：

   http://support.microsoft.com/kb/135982

5. 您可能希望阻止路由器上除代理服务器以外的所有计算机上的Internet访问，以阻止狡猾的用户从路由器访问Internet并绕过代理服务器。

在Ubuntu上设置Squid代理服务器方面有很多帮助。

祝一切顺利，希望您能深入浅出。

Wireshark将创建一个数据包捕获，您可以使用它来分析网络流量http://www.wireshark.org/

如果您需要更直观地显示流量，则可以使用过滤器根据大小，类型等仅显示特定流量。

有关软件解决方案，请参见大胜的答案。

出于明显的原因，大多数/某些国家/地区的法律要求您告知员工流量将受到监控。但是我想你已经知道了。

一个更技术含量低，但微创技术是目视检查物理交换机的指示灯闪烁：当网络变慢，有人可能使用了大量的带宽，所以对他们的电缆LED指示灯会相比其他人的疯狂闪烁。使用28台计算机清除“无辜”计算机不会花很长时间，可以将有问题的用户告知他们的计算机行为异常，并会很快由您检查。

如果您不关心员工的隐私（毕竟他们可能故意滥用带宽），并且他们签署了协议或当地司法管辖区允许您这样做，则可以忽略该步骤并检查他们的工作，而无需事先通知， 当然。但是，除非你认为有人会我积极地损害了公司（如违反法律，泄露信息），这可能会导致一个尴尬的境地（超高宽带是诱人的，有很多在网络上的东西，你可以下载集体上日常工作，其中大部分不应该工作，但可能会被吸引）。

http://www.clearfoundation.com/ 或 http://sourceforge.net/apps/trac/ipcop/wiki

Clear OS在其站点上特别注明了该功能：http : //www.clearfoundation.com/docs/howtos/bandwidth_reporting_with_ntop

我不敢相信没有人提到iptraf。

告诉我们更多有关您通常希望通过电路的流量类型的信息。您是否在整个文件共享？通过它访问邮箱吗？通过它访问PST文件吗？是否有Access数据库？用户使用本地服务器还是远程服务器？我们还需要知道什么吗？