Здравствуйте.

В общем есть небольшая офисная сеть. В качестве шлюза стоит циска (есественно через nat работает).
Вдруг стали приходить приличные счета от провайдера за входящий трафик (инет не безлимитный).
Думаю все же какой-нибудь вирусняк, а может кто-то какое-нибудь видео тащит, но поймать не могу на каком(их) компьютерах.
Умные люди посоветовали включить netflow. В общем включить то я включил как понял (если не правильно или чего-то не включил напишите пожалуйста, т.к. до этого с netflow дел не имел):

На внешнем интерфейсе:
ip route-cache flow
ip route-cache policy
ip policy route-map NETFLOW

На внутреннем интерфейсе:
ip route-cache flow
ip route-cache policy

На интерфейсе loopback:
ip address 192.168.50.1 255.255.255.0
ip route-cache flow
ip route-cache policy

route-map NETFLOW permit 10
match ip address 105
set interface <внутренний интерфейс>

access-list 105 permit ip any 192.168.10.0 0.0.0.255

А какой коллектор (в идеале сразу с визуализатором) посоветуете под windows?
Задача простая - разовое обнаружение в сети вредителя, после этого Netflow в общем-то по прежнему будет не нужен.
Спасибо.