Выпущена новая версия коллектора статистики ndsad для маршрутизаторов под FreeBSD, Linux и Windows

Хмм.. а чем оно лучше|хуже ipcad ?

> коллектора

Что-что, простите? По-русски писать уже непрестижно?

блин, коллектор - это не то, что снимает flows с интерфейсов, а то, что собирает netflow даные, слушая порт и пишет их, например, в базу.

А сабж - это сенсор.

> Хмм.. а чем оно лучше|хуже ipcad ?

Лучше?
1. производительность.
ipcad изначально поддерживал только ip accounting, в результате держал в памяти таблицу <from ip> <to ip> <packets> <bytes>
При поступлении каждого нового пакета он ищет соответствие в этой таблице, в итоге - чем больше период сбора статистики по accounting - тем больше он тормозит, так как в таблице бОльшего размера приходится искать нужную запись.
Почему говорю по accounting, когда тут речь про NetFlow? Потому что при переходе к поддержке NetFlow автор не выключил данный механизм сбора статистики в итоге ipcad сильно тормозит при большом количестве потоков (например, вирусный трафик с клиентских машин).
ndsad изначально лишен таких недостатков и работает с гораздо бОльшей производительностью

2. маленький расход памяти. вытекает из пункта 1, так как ndsad не держит в памяти таблицы с акаунтингом

3. настоящая мультиплатформенность.
собирается и работает под всеми платформами. Включая Windows, Solaris на Sparc, ну и даже такие железки, как NSG и SOHO-роутеры на Linux


4. ipcad вроде не поддерживает FreeBSD/divert socket

Да, забыл про критику.

Ndsad хуже ipcad тем, что нет поддержки устаревшей технологии ip accounting

нет поддержки netflow v9. фтопку.

Надо же что-то оставить для выпуска в следующей версии! ;)

<litle offtopic> т.е. коллектор собирает инфу, которую ему передают сенсоры? </litle offtopic>

<off>да. просто слушает udp порт, на который сыпется инфа с циски или маршртутизатора.</off>

Инфу собирает, как это не странно - сборщик инфы, а коллектор это канальное или трубное расширение. Как вариант туннель для труб.

ага, настоящаяя мультиплатформенность ./configure checking build system type... i686-pc-linux-gnu checking host system type... i686-pc-linux-gnu ./configure: line 1398: syntax error near unexpected token `gnu' ./configure: line 1398: `AM_INIT_AUTOMAKE(gnu)' далее поправив баги make Makefile:15: *** missing separator. Stop.

Во фре имхо достаточно ng_netflow

>4. ipcad вроде не поддерживает FreeBSD/divert socket

Поддерживает-поддерживает...

http://fprobe.sourceforge.net/ ?

>Что-что, простите? По-русски писать уже непрестижно?

Если на заборе вместо слова "ХYЙ" написать "категорический императив", то у читающего может начаться когнитивный диссонанс.

./preconf

./configure

vi INSTALL

ИМХО, самый лучший probe - это nProbe (http://www.ntop.org/nProbe.html). Умеет NetFlow v5/v9/IPFIX (будущий стандарт). Работает при помощи libpcap или же более производительный PF_RING (http://www.ntop.org/PF_RING.html).

>>ИМХО, самый лучший probe - это nProbe (http://www.ntop.org/nProbe.html). Умеет NetFlow v5/v9/IPFIX (будущий стандарт). Работает при помощи libpcap или же более производительный PF_RING (http://www.ntop.org/PF_RING.html).

Вот это смущает: "If you want to test drive nProbe you can fetch a demo copy limited to 2,000 flows export. If you are a no profit institution or a university, you you can have nProbe at little cost. Just make a little donation, then drop us a mail where you explain why you qualify."

Блин, так это поделка фирмы NetUP, известной своим НЕМЕРЯНЫМ криворучием, и отвратительно-блевотной поделки UTM... Нафиг нафиг... Всё, что изрыгает эта фирма - обходить надо за десять верст... Они очень долго и упорно завоевывали авторитет наиотвратнейшего и наикривейшего биллинга!

>ИМХО, самый лучший probe - это nProbe

Когда научиться самостоятельно срать в БД Mysql|Postgres как nEyed - тогда и посмотрим на него!

>>> Если на заборе вместо слова "ХYЙ" написать "категорический императив", то у читающего может начаться когнитивный диссонанс.

саныч, благородной мысли ты наш человек, об "императивах" на заборах уже давно как не пишут, равно как и слово "кал", которое больше из области не коллективных диссонансов, а из области физиологических испражнений. в настоящее время весьма часто можно встретить слово из понятия социальной фасилитации - "fuсk". стареешь, дружише, на помойку уж скоро пора будет!

ага, типа сострил )) нука переведи слово collector

и подумай, что лучше звучит : коллектор или сборщик ? а потом еще погугли по сабжу и посчитай кол-во употреблений слова коллектор и "собрщик".

> употреблений слова коллектор и "собрщик".

Так вроде у вас СОБР распустили? Вот и нету о нём почти ничего. ;)

> Во фре имхо достаточно ng_netflow

ППКС. И работает заметно лучше всяких ndsad и т.п.

главное результат! )), а не глупые отмазки ананимусов :))

> блин, коллектор - это не то, что снимает flows с интерфейсов, > а то, что собирает netflow даные, слушая порт и пишет их, > например, в базу.

Идем на www.gramota.ru смотрим на слово "коллектор". Один из вариантов: "1. Учреждение, собирающее и распределяющее что-л. по подведомственным ему организациям.". Очень даже подходит по смыслу на сбор статистики с источника (тот же ULOG или libpcap) и экспорт его в нетфлоу, но при этом это же слово неплохо подходит для описания программы слушающей порт и складывающей нетфлоу куда-то дальше.

> А сабж - это сенсор.

Где же вы были раньше ? :) Слово "сенсор" применительно к "сборщикам" типа ndsad/ipcad и т.д. увидел первый раз не так давно в одной из статей. В принципе неплохое слово - можно очень даже неплохо его юзать описывая именно такие программы :)

Умеет ли ng_netflow собирать статистику с интерфейсов vlan tun?

>Лучше? >1. производительность. >ipcad изначально поддерживал только ip accounting, в результате >держал в памяти таблицу <from ip> <to ip> <packets> <bytes> >При поступлении каждого нового пакета он ищет соответствие в этой >таблице, в итоге - чем больше период сбора статистики по accounting - >тем больше он тормозит, так как в таблице бОльшего размера приходится >искать нужную запись. >Почему говорю по accounting, когда тут речь про NetFlow? Потому что >при переходе к поддержке NetFlow автор не выключил данный механизм >сбора статистики в итоге ipcad сильно тормозит при большом количестве >потоков (например, вирусный трафик с клиентских машин). >ndsad изначально лишен таких недостатков и работает с гораздо бОльшей >производительностью

а ndsad типа как тока видит пакет сразу отправляет инфу на колектор?:) а как же сессии тогда?

>2. маленький расход памяти. вытекает из пункта 1, так как ndsad не >держит в памяти таблицы с акаунтингом

пару мегабайт сэкономили?:)

3. настоящая мультиплатформенность. собирается и работает под всеми платформами. Включая Windows, Solaris на Sparc, ну и даже такие железки, как NSG и SOHO-роутеры на Linux

ага, NSG, плавали знаем, лучше SOHO-роутеры на Linux.

> Блин, так это поделка фирмы NetUP, известной своим НЕМЕРЯНЫМ > криворучием, и отвратительно-блевотной поделки UTM... > Нафиг нафиг... Всё, что изрыгает эта фирма - обходить > надо за десять верст... Они очень долго и упорно > завоевывали авторитет наиотвратнейшего и наикривейшего биллинга!

Парниша, релакс. ndsad работает уже давно как часы и судя по всему не только у нас . Про всё остальное не скажу так как юзаем самописный биллинг, но видимо уже не долго. Развивать слишком накладно :(

>ИМХО, самый лучший probe - это nProbe > Когда научиться самостоятельно срать в БД Mysql|Postgres > как nEyed - тогда и посмотрим на него!

Вот, что не рекомендую так это складывать нетфлоу в SQL базу. У mysql с иннодб производительность около 1200 запросов в секунду, а нетфлоу может идти со скоростью 45 000 строк в сек (1500 нетфлоу пакетов в сек.) - вот и думайте после этого куда складывать "сырой" нетфлоу. Можно конечно аггрегировать эти данные, но долго это не протянет - либо вирусами забьют (не по аггрегируешь) либо естественный рост трафика обломает.

ну блин, анонимусы как всегда жгут ))
очень показательно, что трактовку IT термина мы ищем на филологическом портале. А все нормальные люди идут например на www.cisco.com и видят :

http://www.cisco.com/en/US/products/sw/netmgtsw/ps2244/products_user_guide_ch...


*
o


Download this chapter
Retrieving Accounting DataRetrieving Accounting Data
give_us_feedback

Table of Contents
Retrieving Accounting Data
Collecting NetFlow Accounting Data
Configuring UCP to Collect NetFlow Accounting Data
Configuring a Router to Send NetFlow Data to a Specific Host
Configuring the NetFlow Collector
Configuring the NetFlow Parser
Starting the NetFlow Parser
Understanding NetFlow Output File Format
Collecting RADIUS Accounting Data
Configuring UCP to Collect RADIUS Accounting Data
Entering the Port Number Used for Accounting Data
Configuring the RADIUS Server in CiscoSecure ACS
Configuring the Accounting Parser
Starting the Accounting Parser
Understanding RADIUS Output File Format
Retrieving Accounting Data

After the User Control Point (UCP) software is configured and running, it begins collecting accounting data about users connecting to its services. It collects and outputs the accounting data in two formats, NetFlow and Remote Access Dial-In User Service (RADIUS).

This chapter contains the following sections:

* Collecting NetFlow Accounting Data

* Collecting RADIUS Accounting Data

Collecting NetFlow Accounting Data

The NetFlow protocol is a Cisco protocol that runs on a router, collecting the appropriate data and forwarding it to a host to be saved. The procedure is:

1. The router collects and sends the NetFlow accounting data to the NetFlow Collector (a client application).

2. The NetFlow Collector receives the data from the router(s) and writes the data to a flat ASCII file.

а вот то, что снимает данные с интерфейса называется probe - в переводе - зонд, или сенсор.

> и подумай, что лучше звучит : коллектор или сборщик ? а потом еще погугли по сабжу и посчитай кол-во употреблений слова коллектор и "собрщик".

Просто не рассчитывай, что тебя кто-нибудь будет понимать, коли ты привык к подоночьему диалекту.

ха! а что непонятного и тем более "подоночьего " в этой фразе ? или просто придраться не к чему ?

Балин, ну почему я должен объяснять то, что ты должен был выучить со школьной скамьи?

потому что ты ананимус ))). А всем известно, что они любят говорить не понимая сути вещей.

Да, а исконно русское слово "сенсор" можно заменить на "датчик", уж если на то пошло...

>>ИМХО, самый лучший probe - это nProbe

>Когда научиться самостоятельно срать в БД Mysql|Postgres как nEyed - тогда и посмотрим на него!

probe != collector

> Во фре имхо достаточно ng_netflow

Цитата с opennet.ru:

"ndsad лучше всех работает с tun. Был бы другой такой же простой коллектор, который с меньше загрузкой нормально тянул бы tun - пользовал бы его. Но пока без альтернатив... А ng_netflow, как это ни удивительно, не всегда получается к ng прикрутить. Сейчас, вроде, что-то там сделали, а раньше (под бздей 5.4 - точно, ибо сам наступал на эти грабли) без патченья нетграфа хер будет на ng (а значит - mpd - а как тогда vpn считать?) ng_netflow садиться... Тип интерфейса ng был неподходящий... В общем, ИМХО, недостаточно ng_netflow еще устаканился - часто то в нем, то в нетграфе меняют. Да и опять же - надо его индивидуально на каждый фейс вешать. А тут: запустил тулзу и она сама считает что надо. Разве что в конфиге поставить надо, какие фейсы игнорировать и какой трафик фильтровать, чтобы он даже не считался (это еще пинок в сторону ng_netflow, который тупо шлет все подряд)... Но, естественно, за все приходится расплачиваться загрузкой проца... Так что... Се ля ви..."

Поздравляю, dreamer - ананимус!

>Блин, так это поделка фирмы NetUP, известной своим НЕМЕРЯНЫМ >криворучием, и отвратительно-блевотной поделки UTM... Нафиг нафиг... >Всё, что изрыгает эта фирма - обходить надо за десять верст... Они >очень долго и упорно завоевывали авторитет наиотвратнейшего и >наикривейшего биллинга!

Лечится надо! Если ты считаешь что коллектор кривой - возми и допиши! Да да, он полностью открыт, доступен на sourceforge.net (Протри глаза влажной салфеткой для монитора) И не нужно бухтеть о том, чего не понимаете, разберитесь сначало.

2 анонимус - ГАВ!

А вот может тут кто-то даже подскажет коллекторы, более функциональные чем nTOP (если он используется в качестве коллектора) и ManageEngine NetFlow Analyzer 4?

>ИМХО, самый лучший probe - это nProbe (http://www.ntop.org/nProbe.html)

If you want to test drive nProbe you can fetch a demo copy limited to 2,000 flows export.

You have to make a little donation to this project (~100$) for a fully functional probe. Anyway, nProbe is released under GPL, and GPL has nothing to do with price.