|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Sergey A. Yakovets 2:5004/75.5088 14 Sep 2005 11:49:43
To : All
Subject : flow-tools
--------------------------------------------------------------------------------
Hачал разбираться с сабжем. В качестве источника потоков использую ipcad с
настроенным экспортом в netflow-коллектор:
interface rl0;
interface fxp0;
netflow export destination 127.0.0.1 8818;
netflow export version 5; # NetFlow export format version {1|5}
netflow timeout active 30; # Timeout when flow is active, in minutes
netflow timeout inactive 15;
ipcad запускается при старте системы из /etc/rc.local командой ipcad -rds
netflow-пакеты перехватываются flow-capture, который также запускается при
старте системы из /etc/rc.local командой
flow-capture -p /var/run/flow-capture.pid -n 287 -N 0 -w
/usr/local/var/netflow -S 5 127.0.0.1/127.0.0.1/8818
Статистика собирается, все нормально.
Сейчас у меня два интерфейса: rl0 - наружу, fxl0 - внутрь.
Hа 127.0.0.1:8080 висит сквид, куда файерволом закручиваются все исходящие
соединения к 80-му порту. Все остальное натится.
Теперь соственно вопросы полного чайника в netflow:
1) Как мне теперь из этой кучи файлов вида ft-v05.2005-09-13.101913+0000
получить что-то удобичитаемое и понятное.
Пробовал как, flow-cat -o 13_09_2005 ft-v05.2005-09-13.101913+0000
Получается файлик, который через flow-print <13_09_2005 можно посмотреть.
Hа выходе видны только srcIP dstIP prot scrPort dstPort octets packets
Как пользоваться flow-report так и не разобрался...
Подскажите мне, как мне получить в идеале статистику (по крайней мере из
этого созданного файла 13_09_2005) в которой я бы видел сколько принял\отправил
определенный хост информации с указанием интерфейсов через которые он это
сделал. Hе ли тут подводных камней в виде заворота исходящих пакетов на прокси и
получения информации с него?
Подскажите шаги, а то я совсем запутался в этих flow-cat, flow-print и
flow-report... Программировать на perl умею, так что нужен только алгоритм
действий. И еще, хотелось бы обойтись без хранения данных в БД, ибо нет
возможности это хранилище поставить.
2) Если в будущем добавится второй внешний интерфейс, может ли такая схема
обеспечить однозначное определение сколько каждый хост получил\отправил по
каждому из внешних интерфейсов?
C уважением, Sergey A. Yakovets.
E-mail: for-transit@yandex.ru ICQ UIN: 165641526
... FaqServer 2:5088/50.50 Subj: %HELP %LIST
* Origin: "Емельянов" - это не фамилия, а диагноз... (2:5004/75.5088)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
