|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Timur Khanjanov 2:5020/400 14 Sep 2005 14:00:34
To : Sergey A. Yakovets
Subject : Re: flow-tools
--------------------------------------------------------------------------------
В письме Wed, 14 Sep 2005 10:49:43 +0400, Sergey A. Yakovets
написал:
> Как поживаете, All ?
>
> Hачал разбираться с сабжем. В качестве источника потоков использую ipcad с
> настроенным экспортом в netflow-коллектор:
>
>
> interface rl0;
> interface fxp0;
>
> netflow export destination 127.0.0.1 8818;
> netflow export version 5; # NetFlow export format version {1|5}
> netflow timeout active 30; # Timeout when flow is active, in minutes
> netflow timeout inactive 15;
>
>
> ipcad запускается при старте системы из /etc/rc.local командой ipcad -rds
>
>
> netflow-пакеты перехватываются flow-capture, который также запускается при
> старте системы из /etc/rc.local командой
>
> flow-capture -p /var/run/flow-capture.pid -n 287 -N 0 -w
> /usr/local/var/netflow -S 5 127.0.0.1/127.0.0.1/8818
>
>
> Статистика собирается, все нормально.
>
>
> Сейчас у меня два интерфейса: rl0 - наружу, fxl0 - внутрь.
> Hа 127.0.0.1:8080 висит сквид, куда файерволом закручиваются все исходящие
> соединения к 80-му порту. Все остальное натится.
>
>
> Теперь соственно вопросы полного чайника в netflow:
>
> 1) Как мне теперь из этой кучи файлов вида ft-v05.2005-09-13.101913+0000
> получить что-то удобичитаемое и понятное.
>
> Пробовал как, flow-cat -o 13_09_2005 ft-v05.2005-09-13.101913+0000
> Получается файлик, который через flow-print <13_09_2005 можно посмотреть.
> Hа выходе видны только srcIP dstIP prot scrPort dstPort octets packets
а)у flow-print ключики есть их надо
использовать чтобы показывало
остальное
б)для разбора этих файлов есть перловый модуль nrt-mgmt/p5-Cflow
только его надо с поддержкой flow-tools собрать
>
>
> Как пользоваться flow-report так и не
> разобрался...
>
> Подскажите мне, как мне получить в
> идеале статистику (по крайней мере из
> этого созданного файла 13_09_2005) в которой
> я бы видел сколько принял\отправил
> определенный хост информации с
> указанием интерфейсов через которые он
> это сделал.
man flow-print на предмет формата вывода
Hе ли тут подводных камней в
> виде заворота исходящих пакетов на
> прокси и получения информации с него?
>
> Подскажите шаги, а то я совсем
> запутался в этих flow-cat, flow-print и
> flow-report... Программировать на perl умею, так
> что нужен только алгоритм действий. И
> еще, хотелось бы обойтись без хранения
> данных в БД, ибо нет возможности это
> хранилище поставить.
>
>
> 2) Если в будущем добавится второй
> внешний интерфейс, может ли такая
> схема
> обеспечить однозначное определение
> сколько каждый хост получил\отправил
> по каждому из внешних интерфейсов?
>
>
> C уважением, Sergey A. Yakovets. E-mail:
> for-transit@yandex.ru ICQ UIN: 165641526
>
> ... FaqServer 2:5088/50.50 Subj: %HELP %LIST
--
Homo Homini domini est
--- ifmail v.2.15dev5.3
* Origin: Gamma NNTP server Moscow Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
