Pour pouvoir être utilisé, ce module doit mettre en place plusieurs règles de pare-feu et une entrée dans le journal système (démon syslog) pour capturer le trafic transitant par le système. Lors de la configuration vous devez sélectionner l'interface réseau externe sur laquelle le trafic sera surveillé. Celle-ci peut être l'interface PPP utilisé par votre connexion modem ou ADSL, ou bien une interface ethernet.

Après qu'au moins une heure d'activité ait été enregistrée, le module peut générer des rapports récapitulant le trafic selon l'une des catégories suivantes :

• Heure
  La date et l'heure de réception des données.
• Jour
  La date de réception des données.
• Hôte
  L'hôte de votre réseau, ou l'hôte pare-feu qui a émis ou reçu les données.
• Port interne
  Le port de votre hôte interne ou pare-feu qui a reçu les données. Ce mode est utile pour déterminer quel trafic est généré par les connexions vers lesquels de vos serveurs.
• Port Externe
  Le port sur un serveur hors de votre réseau The port on some server outside your network to which data was sent. This can be used to determine which services users of your network are accessing.
• Port
  Both internal and external ports. Useful for comparing all network usage by service type.

The report can also be limited to traffic collected between selected hours, using the For traffic after and For traffic before fields. Because traffic is summarized by hour, you cannot limit the report with any greater precision than hourly.

The option Server ports only? is useful when reporting by incoming, outgoing or all ports. It restricts the display to ports commonly used by servers (those below 1024 or with names), to avoid cluttering the display with counts for client-side ports that are not commonly useful.

The option Resolve hostnames? can be selected when reporting by host. It will cause all IP addresses to be reverse-resolved to hostnames, where possible.