netflow

use pmacct

Спасибо! Поставил на локальной машине. И еще 3 вопроса. Как я могу отправить тестовую порцию данных что бы посомтреть что он запишет в табличку acct ибо отдел безопасности просит результат теста перед выдачей доступов на сервера *? Не могу понять, какое поле в таблице из имеющегося словоря означает направление (внешний мир и т.д.) *? Можете за спасибо кратко описать работу pmacct *? на самом деле не ясно, ему нужно подсовывать fl файлы или он сам их будет формировать и все делать. INFO ( default/core ): waiting for NetFlow data on 0.0.0.0:5678

Огромное спасибо вам!

>Как я могу отправить тестовую порцию данных что бы посомтреть что он запишет в табличку

Направить поток с netflow sensor(рекомендую ipt_netflow, если для Linux ) на netflow collector(pmacct)

Не могу понять, какое поле в таблице из имеющегося словоря означает направление (внешний мир и т.д.)

Почитайте про netflow в целом. Как вы себе представляете «внешний мир и т.д» и какие критерии ?

Можете за спасибо кратко описать работу pmacct

читайте официальный сайт, там все есть, все довольно доступно.

на самом деле не ясно, ему нужно подсовывать fl файлы или он сам их будет формировать и все делать

внимательно прочитайте про pmacct,это коллектор.

Вообще изначальная задача расплывчата, вы ее огласите,может вам и помогут

> писать статистиу сразу в бд

не делайте так, любая СУБД от такого потока загнется

Более конкретно: Сейчас весь трафик собирается и пишется в базу при помощи netflow + самописный коллектор заносит все в постгрес в такую вот табличку date_time timestamp without time zone NOT NULL, ip_address character varying(64) NOT NULL, bytes_in bigint NOT NULL, bytes_out bigint NOT NULL, direction_num integer NOT NULL,

где direction_num означает номер автономной системы (их сейчас всего 2) --> как раз так и одна из автономных систем это внешний мир, 2ая автономная это внутренная сеть клиентов. Дело в том что все это самописное, netflow каждые 5ть минут формирует fl файлы затем коллектор написанный на питоне агригирует и отправляет в БД.

Текущая задача: Прикрутить такой готовый коллектор что бы избавиться от отставания в 5ть минут, который к примеру будет писать каждые 5 секунд данные в БД (ну это как я понял указывается в настройках pmacct). Максимальный объем канала 270 мегабит.

С pmacct разобрался. Вопрос такой, что мне сделать что бы текущий (актуальный netflow) начал работать с pmacct? Как мне настроить pmacct что бы он писал только нужные поля. к примеру MAC мне не нужен, а вот поле номера автономной системы нужен, но его в дефлтовой настройки нет! Всего то ;) Наш супермозгадмин в отпуске! А я poor программист!

я даже не знаю как иначе! Чем им freeradius не нравился! Захотели они считать по 2м разным автономным системам! Очень тяжело выстроить логику обсчета с задержкой в 5ть минут!

это почему, nas радиусу тоже отдает accounting раз в какое-то время

Да там как настроите! Стоит каждые 15ть минут. Но радиус умело дописыват скаченные октеты при разрыве соеденения, чего трудно сделать при netflow/ В моем случае клиент разрывает сессию, должно пройти минимум 5ть минут что бы все что он накачал за последнии 5ть минут пришли на его счет. И если в эти 5ть минут зайдет другой клиент и ему сфармится такой же IP адрес, на который потом может придти порция не его трафика!

у коллекторов должна быть поддержка тэгов(в flow-tools и flowd есть), когда у вас срабатывает радиус на отключение/включение клиента, пусть дергает настройки тэгов и посылает коллектору сигнал перечитать конфиг и считайте не по ip, а по тэгам, вполне решение - я считаю

прибивать биллинг гвоздями к радиусу не ок :-)

>Как мне настроить pmacct что бы он писал только нужные поля

в faq pmacct есть как создавать кастомные таблицы

date_time timestamp without time zone NOT NULL, ip_address character varying(64) NOT NULL, bytes_in bigint NOT NULL, bytes_out bigint NOT NULL, direction_num integer NOT NULL

агрегация по sum_ip, sum_as, только будет суммарный объем переданных данных.

Вообщем не понял ваше решение! ;)

То есть Acct-Status-Type stop не ходят или биллинг их не понимает, надо смотреть почему, на фронтэенд радиуса что?

Писать напрямую в базу - верный путь нажить себе отличный геморрой.

Авторизация проходит через радиус, при этом исполняется скрипт авторизации sql (файл our_radius.conf). Простите, я не совсем понимаю стандарт radius, данный заголовок Acct-Status-Type, как его использовать? Для обрыва сессий следует выставить данный флаг в radreply&?

«„„Acct-Status-Type stop не ходят или биллинг их не понимает““» Нет не ходят!

радиус какой? Показывай секцию аккаунтинг, и описание модулей которые внутри нее есть.