Современное вредоносное ПО отличается значительным разнообразием. Случается, что оно не наносит явного вреда ИТ-инфраструктуре компании, оставляя лишь косвенные свидетельства своей тайной деятельности. Именно так произошло с одним из наших клиентов, у которого вскоре после ввода в промышленную эксплуатацию универсального шлюза безопасности Traffic Inspector Next Generation диск сервера оказался полностью заполненным. В ходе решения проблемы удалось не только очистить диск, но и выявить причины переполнения и устранить их.
Предыстория
Клиент — крупная транспортная компания. В одном из его подразделений на протяжении нескольких лет использовался многофункциональный межсетевой экран Traffic Inspector. После расширения штата появилась потребность не только в управлении трафиком, но и в защите интернет-подключения. В качестве оптимального для компании решения был выбран Traffic Inspector Next Generation. Аргументами в пользу этого варианта кроме функциональности стали позитивный опыт работы с другим продуктом Смарт-Софт и отличные впечатления от взаимодействия со службой поддержки.
Внедрение Traffic Inspector Next Generation проводили постепенно. На начальном этапе был внедрен веб-прокси с журналированием работы пользователей и авторизацией через Active Directory. Далее планировалось задействовать функциональность IPS/IDS и контроль доступа к интернет-ресурсам по белым/черным спискам.
Однако через некоторое время после перехода на Traffic Inspector Next Generation у клиента возникла проблема.
Симптомы проблемы
Переход на новое устройство в целом прошел гладко. Пользователи и администраторы были довольны высокой скоростью работы и функциональностью нового шлюза. Но неожиданно шлюз стал работать с задержками. Причиной стало переполнение диска, на котором Traffic Inspector Next Generation вел логи — журналы доступа пользователей к интернет-ресурсам.
Анализ состояния устройства показал, что логи росли очень быстро — за сутки их объем увеличивался на 10 Гб.
Недовольное перебоями в работе руководство клиента предложило откатить все назад и вернуться к использованию Traffic Inspector, с которым не было никаких проблем. Однако служба поддержки Смарт-Софт совместно с ИТ-службой клиента убедили руководство начать с выяснения причин.
Почему переполнялся диск
Traffic Inspector Next Generation ведет логи всех пользователей прокси и собирает статистику. Изучение статистики показало, что в сети клиента имеется один чрезвычайно активный пользователь, действия которого в интернете создают в четыре раза больше записей в логах, чем суммарно все остальные пользователи организации.
