LINUX.ORG.RU
ФорумAdmin

Подскажите анализатор трафика локалки с web мородой

 ,


1

3

Доброго времени суток!

Подскажите пожалуйста: Есть локалка, весь трафик гонится через машину с ubuntu server. На нем dhcp, nat, squid. Задача посчитать и отобразить сколько трафика сожрал каждый из локалки. Со статистикой за день/месяц/год и т.д. Очень желательно с web мордой. Что пробовал:

Ntopng - красиво для смотрения realtime, но не обнаружил нормальной статистики по хостам, и истории.

darkstat - минимализм, хотелось бы что то поудобнее. Но он хотя бы понимает понятие «локалка» и показывает честрый трафик по хостам.

vnstat - не обнаружил разбивки трафика по хостам локалки

Nfdump + NFsen (через fprobe) - наиболее красивая штука, но не разобрался как можно сделать статистику по хостам, точнее чтобы не тыкаться по каждому хосту, а таблички с потреблением за день/месяц, графики и т.д. Обьяснить ему что такое локальная подсеть. Плюс эта штука у меня в разы меньше трафика показывает чем другие, меньше чем в Sarg видно. А в Sarg только http трафик всего лишь.

Нашел ещё xenoeye , пока не щупал. ...

В общем всего то надо статистика по датам/хостам, хорошо бы ещё по протоколам, как в Ntopng, но это не главное. Ну и графики. Без биллинга, шейпинга и т.д. ...

Ntopng - не обнаружил нормальной статистики по хостам, и истории.

Их там нет.

Nfdump + NFsen (через fprobe)

Настраивал руками или коробочный конфиг?

как в Ntopng, но это не главное. Ну и графики.

По итогам сделал велосипед dumpcap+nDPI+django.
Графики не прикручивал.

Yustas ★★★★ ()
Ответ на: комментарий от Yustas

Nfdump + NFsen коробочный. Пробовал для эксперимента вычленить профилем отдельный хост локалки. Получилось сьедобно, но не идеально. С занижением показываемого трафика разобрался, сам идиот.

Как в nfsen получить сводную таблицу или график по всем хостам локалки - пока решительно не понимаю. А иметь тонну профилей на каждый из хостов - можно, но неудобно.

Велосипеды скриптовые в сети встречал, однако пока стараюсь найти готовые решения, ибо проблема весьма штатная и популярная.

Если ничего адекватного не найдется - скорее всего буду пользовать NFsen , и для сводных таблиц - darkstat

Butcher ()
Последнее исправление: Butcher (всего исправлений: 1)

А потратить вечерок на изучение bash/php/perl/python (если еще не знаешь), поставить netflow, к нему 2 скрипта для перегонки логов в БД, и еще за один вечер написать морду для вывода траффика в ЖЕЛАЕМОМ виде?

crabssss ()

весь трафик гонится через машину с ubuntu server. На нем dhcp, nat, squid

А чем LightSquid не устраивает??

julixs ★★ ()

Сам определись что ты хочешь. Разные способы. Но если хватит статистики по ip, кто куда и сколько ходил, то использовать netflow, а если по пользователям хочешь - прокси сервер тебе нужен.

Deleted ()
Ответ на: комментарий от Deleted

Прокси есть, считает траф http по пользователям. Однако пользователи (гады такие) ещё знают что такое скайп и т.д. Т.е. что идет мимо прокси, и это тоже хорошо бы посчитать. Строить велосипед и писать скрипты для анализа netflow тоже, возможно, буду. Но это в свободное время и по остаточному принципу, не задача №1. Тем более что это мои личные заморочки со статистикой и т.д., начальству лишь бы инет работал.

Пока копаю более-менее удобоваримое коробочное решение.

Butcher ()
Ответ на: комментарий от Butcher

Ну так а закрыть траффик, который идет в обход прокси, не? Начальник не одобрит?

l0stparadise ★★★★★ ()
Ответ на: комментарий от Butcher

Ну так пусти https через прокси.

Тем более что это мои личные заморочки со статистикой и т.д., начальству лишь бы инет работал.

Тогда в чем проблема, выбирай что более-менее удобоваримое.

julixs ★★ ()
Ответ на: комментарий от Butcher

Тогда вообще непонятно что необходимо. Если начальству важно чтобы интернет работал, то значит ты страдаешь фигнёй.

Если есть проблемы, типа кто-то качает и парализует интернет, то достаточно собирать статистику по netflow, чтобы видет с какого IP качают и дать в бубен, либо настроить QoS, чтобы гарантировать, что никто единолично не забьёт канал интернета.

Deleted ()
Ответ на: комментарий от Deleted

Для начальства и понятие «безопасность» весьма отдаленно ;))) Однако это не повод распиздяйничать. Если делать гейт, то делать нормально, чтоб можно было и проконтролировать кто где был, сколько выжрал и т.д. И если (тьфу, тьфу) кто какое говно хватанет, которое будет активно ломиться в инет и ломать пентагон - надо об этом оперативно узнать, пока не прилетел томагавк.

Butcher ()
Ответ на: комментарий от Butcher

Тогда достаточно QoS, netflow. В прокси вообще не вижу смысла.

Если руки чешутся, то IPS, NAP прикрутить можно. Но я бы это только в чисто образовательных целях. Для небольшой организации до 100 пк я бы это не делал, ибо нет смысла усложнять сеть. Это ведь ещё поддерживать и документировать надо.

Больше пользы принесёт мониторинг (zabbix, nagios).

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.