LINUX.ORG.RU

История изменений

Исправление leg0las, (текущая версия) :

У нас гигабитный канал, и трафика там >100M.

Да, кстати, прикрутил я таки nfdump+nfcapd. Пришлось ручками передать параметр ядру с портом, благодаря вот этому ману понял, почему в логах пусто.

Теперь nfdump -r /var/log/netflow/nfcapd.201304261058 | less:

Date flow start          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
2013-04-26 10:57:47.804     0.000 TCP       192.168.7.41:43018 ->    93.186.236.89:80           1       52     1
2013-04-26 10:57:44.648     3.156 TCP       192.168.7.54:52088 ->   91.106.201.100:80          17     1418     1
2013-04-26 10:57:44.832     2.976 TCP       192.168.7.54:52092 ->   91.106.201.100:80           8     1327     1
2013-04-26 10:57:47.812     0.000 UDP    178.151.166.211:53    ->    192.168.6.167:65190        1      232     1
2013-04-26 10:57:44.644     3.168 TCP       192.168.7.54:52087 ->   91.106.201.100:80          13     1181     1
2013-04-26 10:57:47.588     0.232 TCP    213.180.204.215:80    ->    192.168.6.167:54347        6     3700     1
2013-04-26 10:57:47.580     0.240 TCP      192.168.6.167:54347 ->  213.180.204.215:80           6      738     1
2013-04-26 10:57:47.712     0.116 TCP      192.168.6.167:54351 ->     77.234.43.82:80           5      848     1
2013-04-26 10:57:47.708     0.120 TCP      192.168.6.167:54350 ->     77.234.43.82:80           5      782     1
2013-04-26 10:57:44.852     2.976 TCP       192.168.7.54:52098 ->   91.106.201.100:80          16     1455     1
...

Так что теперь данные собираются, осталось дело за малым - в принципе то распарсить текстовики и записать в базу:-)

Исходная версия leg0las, :

У нас гигабитный канал, и трафика там >100M.

Да, кстати, прикрутил я таки nfdump+nfdump. Пришлось ручками передать параметр ядру с портом, благодаря вот этому ману понял, почему в логах пусто.

Теперь nfdump -r /var/log/netflow/nfcapd.201304261058 | less:

Date flow start          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
2013-04-26 10:57:47.804     0.000 TCP       192.168.7.41:43018 ->    93.186.236.89:80           1       52     1
2013-04-26 10:57:44.648     3.156 TCP       192.168.7.54:52088 ->   91.106.201.100:80          17     1418     1
2013-04-26 10:57:44.832     2.976 TCP       192.168.7.54:52092 ->   91.106.201.100:80           8     1327     1
2013-04-26 10:57:47.812     0.000 UDP    178.151.166.211:53    ->    192.168.6.167:65190        1      232     1
2013-04-26 10:57:44.644     3.168 TCP       192.168.7.54:52087 ->   91.106.201.100:80          13     1181     1
2013-04-26 10:57:47.588     0.232 TCP    213.180.204.215:80    ->    192.168.6.167:54347        6     3700     1
2013-04-26 10:57:47.580     0.240 TCP      192.168.6.167:54347 ->  213.180.204.215:80           6      738     1
2013-04-26 10:57:47.712     0.116 TCP      192.168.6.167:54351 ->     77.234.43.82:80           5      848     1
2013-04-26 10:57:47.708     0.120 TCP      192.168.6.167:54350 ->     77.234.43.82:80           5      782     1
2013-04-26 10:57:44.852     2.976 TCP       192.168.7.54:52098 ->   91.106.201.100:80          16     1455     1
...

Так что теперь данные собираются, осталось дело за малым - в принципе то распарсить текстовики и записать в базу:-)