Ставлю NetFlow

0

1

В одной из тем меня надоумили поставить NetFlow - систему контроля за трафиком.
Дистрибутив - Debian Squeeze
Пользовался указаниями в статье http://xgu.ru/wiki/NetFlow

1.Ставлю сенсор

$ sudo aptitude --prompt --without-recommends install softflowd

2.Редактирую /etc/default/softflowd

INTERFACE="eth0"
OPTIONS="-n 127.0.0.1:9995"

3.Запускаю softflowd и убеждаюсь что он работает

bkois@bkois-linux:~$ sudo service softflowd start
bkois@bkois-linux:~$ sudo softflowctl statistics
softflowd[3046]: Accumulated statistics:
Number of active flows: 49
Packets processed: 691
Fragments: 0
Ignored packets: 60 (60 non-IP, 0 too short)
Flows expired: 0 (0 forced)
Flows exported: 0 in 0 packets (0 failures)
Packets received by libpcap: 751
Packets dropped by libpcap: 0
Packets dropped by interface: 0

4.Ставлю flow-tools и редактирую /etc/flow-tools/flow-capture.conf

-w /var/flow/fgupmzrta 0/127.0.0.1/9995

5.Создаю каталоги и перезапускаю flow-capture

$ sudo mkdir /var/flow
$ sudo mkdir /var/flow/fgupmzrta
$ sudo service flow-capture restart

Через какое-то время появился каталог /var/flow/fgupmzrta/2012/2012-07/2012-07-19, в нём файлы

ft-v05.2012-07-19.122101+0400  ft-v05.2012-07-19.124501+0400
ft-v05.2012-07-19.123001+0400  tmp-v05.2012-07-19.124701+0400

А дальше как? Дальше нужен анализатор, в статье рекомендуются FlowScan и CUFlow, но в репозиториях их нет. Какие анализаторы есть попроще?

Ссылка

←	Поясните по iptables match mark

Настройка виртуального хоста apache для nagios

→

Может через кактус?

micro-chipset ★
(19.07.12 13:21:53 MSK)

Ссылка

nfsen же

af5 ★★★★★
(19.07.12 14:17:36 MSK)

Ответ на: комментарий от af5 19.07.12 14:17:36 MSK

nfsen же

Только, тогда, не flow-tools, a nfdump.

AS ★★★★★
(19.07.12 16:01:08 MSK)

Ответ на: комментарий от AS 19.07.12 16:01:08 MSK

Юзаю nfsen во многих местах и поток льется немаленький(правда проц цисек грузит на 20 % )
Вообще nfsen ( и nfdump) юзает ripe и товарищи по типу их(обьем) так что он довольно неплох + его можно допиливать плагинами.

pinachet ★★★★★
(19.07.12 23:15:10 MSK)

Ссылка

Привет.

Кстати, в качестве сенсора очень крут ipt_netflow. В плане нагрузки на проц. Правда, может не со всеми ядрами работать.

Lego_12239 ★★
(20.07.12 00:04:29 MSK)

Ссылка

Ответ на: комментарий от AS 19.07.12 16:01:08 MSK

В смысле nfdump в качестве коллектора, а nfsen в качестве анализатора?
Первый есть в репах, второго нет.

sunny1983 ★★★★★
(20.07.12 10:05:14 MSK) автор топика

Ответ на: комментарий от sunny1983 20.07.12 10:05:14 MSK

В смысле nfdump в качестве коллектора,
а nfsen в качестве анализатора?

Да. Хотя, сам nfdump и есть уже консольная утилита для просмотра данных, коллектор - nfcapd, из этого же тарбола собирающийся. nfsen - веб-приложение, которое разные графики по этим данным строит. Но, вообще, если nfsen используется, то nfcapd он сам запускает так, как ему надо. По крайней мере, как у меня вышло, когда я его смотрел. На самом деле, мне nfdump достаточно, так что я nfsen только поставил, посмотрел и отложил в сторону.

AS ★★★★★
(20.07.12 10:38:03 MSK)

Ответ на: комментарий от AS 20.07.12 10:38:03 MSK

Тогда сразу же пока тема не устарела спрошу как с помощью nfdump получить следующие отчёты:
1. Суммарный входящий и исходящий трафик каждого клиента по отдельности за последние 3 дня.
2. Подробный трафик отдельного клиента, но чтобы в нём не ip, а доменные адреса были.
3. Отсортированный в порядке убывания по трафику список интернет узлов, тоже с доменными адресами.

sunny1983 ★★★★★
(20.07.12 12:43:45 MSK) автор топика

Ответ на: комментарий от sunny1983 20.07.12 12:43:45 MSK

Э-э-э... http://www.linuxcertif.com/man/1/nfdump/
Именно такие выборки мне не особенно нужны, так что, готовых строк не покажу. Пункт 3, возможно, потребует задействования sort: http://www.linuxcertif.com/man/1/sort/

AS ★★★★★
(20.07.12 17:07:05 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Поясните по iptables match mark

Admin

Настройка виртуального хоста apache для nagios

→

Похожие темы