LINUX.ORG.RU
ФорумAdmin

Ставлю NetFlow


0

1

В одной из тем меня надоумили поставить NetFlow - систему контроля за трафиком.
Дистрибутив - Debian Squeeze
Пользовался указаниями в статье http://xgu.ru/wiki/NetFlow


1.Ставлю сенсор

$ sudo aptitude --prompt --without-recommends install softflowd
2.Редактирую /etc/default/softflowd
INTERFACE="eth0"
OPTIONS="-n 127.0.0.1:9995"
3.Запускаю softflowd и убеждаюсь что он работает
bkois@bkois-linux:~$ sudo service softflowd start
bkois@bkois-linux:~$ sudo softflowctl statistics
softflowd[3046]: Accumulated statistics:
Number of active flows: 49
Packets processed: 691
Fragments: 0
Ignored packets: 60 (60 non-IP, 0 too short)
Flows expired: 0 (0 forced)
Flows exported: 0 in 0 packets (0 failures)
Packets received by libpcap: 751
Packets dropped by libpcap: 0
Packets dropped by interface: 0
4.Ставлю flow-tools и редактирую /etc/flow-tools/flow-capture.conf
-w /var/flow/fgupmzrta 0/127.0.0.1/9995
5.Создаю каталоги и перезапускаю flow-capture
$ sudo mkdir /var/flow
$ sudo mkdir /var/flow/fgupmzrta
$ sudo service flow-capture restart
Через какое-то время появился каталог /var/flow/fgupmzrta/2012/2012-07/2012-07-19, в нём файлы
ft-v05.2012-07-19.122101+0400  ft-v05.2012-07-19.124501+0400
ft-v05.2012-07-19.123001+0400  tmp-v05.2012-07-19.124701+0400
А дальше как? Дальше нужен анализатор, в статье рекомендуются FlowScan и CUFlow, но в репозиториях их нет. Какие анализаторы есть попроще?

★★★★★

Ответ на: комментарий от AS

Юзаю nfsen во многих местах и поток льется немаленький(правда проц цисек грузит на 20 % )
Вообще nfsen ( и nfdump) юзает ripe и товарищи по типу их(обьем) так что он довольно неплох + его можно допиливать плагинами.

pinachet ★★★★★ ()

Привет.

Кстати, в качестве сенсора очень крут ipt_netflow. В плане нагрузки на проц. Правда, может не со всеми ядрами работать.

Lego_12239 ★★ ()
Ответ на: комментарий от sunny1983

В смысле nfdump в качестве коллектора,
а nfsen в качестве анализатора?

Да. Хотя, сам nfdump и есть уже консольная утилита для просмотра данных, коллектор - nfcapd, из этого же тарбола собирающийся. nfsen - веб-приложение, которое разные графики по этим данным строит. Но, вообще, если nfsen используется, то nfcapd он сам запускает так, как ему надо. По крайней мере, как у меня вышло, когда я его смотрел. На самом деле, мне nfdump достаточно, так что я nfsen только поставил, посмотрел и отложил в сторону.

AS ★★★★★ ()
Ответ на: комментарий от AS

Тогда сразу же пока тема не устарела спрошу как с помощью nfdump получить следующие отчёты:
1. Суммарный входящий и исходящий трафик каждого клиента по отдельности за последние 3 дня.
2. Подробный трафик отдельного клиента, но чтобы в нём не ip, а доменные адреса были.
3. Отсортированный в порядке убывания по трафику список интернет узлов, тоже с доменными адресами.

sunny1983 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.