LINUX.ORG.RU
ФорумAdmin

flow-tools


0

0

Проблема с flow-filter

netflow разгребается при помощи примерно такой вот конструкции

flow-cat -p /home/netflow/new/ft-v05.2005-02-01.18* | flow-filter -f me.acl | flow-print -f5

Необходимо выводить трафик конкретного ипа. man flow-filter говорит, что: "The IP address filters are defined in flow.acl or by the filename specified by -f".

ВОПРОС: какой синтаксис должен быть у этого файла? Если пишу

no access-list 101

access-list 101 permit ip any 10.20.30.40

говорит что ошибка синтаксиса. С Цисками не работал, подскажите плиз...


Гугл придал немного озарения, надо делать так

flow-cat -p /home/netflow/new/ft-v05.2005-02-01.18* | flow-filter -fme.acl -Scampus | flow-print -f5

и вот так в me.acl

ip access-list standard campus permit 10.130.17.1 0.0.0.0

всем спасибо.

интересно, а кто-нибудь еще использует flow-tools? может есть где-нить по ним FAQ. А то честное слово, два дня бился, и все еще не наступило ПОЛНОГО просветвления... =)

boatman
() автор топика
Ответ на: комментарий от boatman

Может кому интересно... Наступило почти полное просветвление =) Эта штука выводит внешний трафик на определенный ип.

#!/bin/sh

YEAR="2005"; 
MONTH="02"; 
DAY="02"; 
IP="10.20.30.40";

:> det.acl;

echo "ip access-list standard internal deny 10.0.0.0 0.255.255.255" >> det.acl; #10/8 
echo "ip access-list standard internal deny 172.16.0.0 0.15.255.255" >> det.acl; #172.16/12 
echo "ip access-list standard internal deny 192.168.0.0 0.0.255.255" >> det.acl; #192.168/16 
echo "ip access-list standard internal permit 0.0.0.0 255.255.255.255" >> det.acl; 
echo "ip access-list standard filter permit host $IP" >> det.acl;

flow-cat -p /home/netflow/new/ft-v05.$YEAR-$MONTH-$DAY.* | \
    flow-filter -f det.acl -Sinternal -Dfilter | \ flow-print -f5 | \
    awk '{ print $4":"$5" "$7":"$8" "$11"~"$12" "$1" "$2}'

boatman
() автор топика
Ответ на: комментарий от boatman

А в базу лить не пробовали ?? flow-tools позволяют работать и с MySQL и Postgres оттуда делать запросы гораздо интересней Да и аналиг информации по трафику легче делать

anonymous
()
Ответ на: комментарий от anonymous

Я объясню.

До того как перешли на flow-tools использовали тестовые логи. Дошло до того, что неархивированные они занимали более 42 Gb (!) за сутки. Архивированные - около 2 Gb. И вот наступил момент, когда архивация шла больше суток. С этого момента и перешли на бинарные. А логи хранить надо за восемь месяцев. Соответсвенно если лить все в базу данных - ни места не хватит, ни производительности.

А так все супер. Места в сумме занимают примерно столькоже, но уже на тратится время на их архивацию/разархивацию. И детализация делаться значительно быстрее.

Вот такие дела.

Да, сервак двухпроцессорный и рейд и памяти гиг.

boatman
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.