Заметки по flow-tools [2011] - Net - Сеть - Каталог статей

	Документация по ОС FreeBSD	Понедельник, 06.05.2024, 06:56
		Главная Регистрация Вход

Приветствую Вас Гость | RSS

Меню сайта

Категории каталога

Apache [58]

DNS [25]

FTP [27]

Mail [74]

Samba [24]

Squid [46]

SSH [23]

VPN [35]

РРР [20]

Net [173]

Главная » Статьи » Сеть » Net

Заметки по flow-tools [2011]

Обычно в качестве netflow коллектора под управлением настоящей системы используют пакет nfsen. Всё хорошо и красиво, если получится собрать его из портов, или, на худой конец, установить из пакетов. На практике даже на чистом свежем релизе это получается не всегда, а на какой нибудь , поставленной 5 лет назад FreeBSD 6.x это практически нереально. Что же делать? Примирится с отсутствием нормальной статистики и опять погружаться в начало века и счетчика ipfw? Ни в коем случае, поскольку помимо одоробличного и капризного nfsen есть более демократичный и гуманный пакет flow-tools. Собираем прямо из портов:

# cd /usr/ports/net-mgmt/flow-tools

# make install clean

Сам коллектор называет flow-capture и запускается следующим образом:

/usr/local/bin/flow-capture -p /var/run/flow-capture.pid -N 3 -w /usr/home/netflow -S 5 -n 287 127.0.0.1/127.0.0.1/9995

Указываем имя pid-файла, способ названия директорий, рабочую директорию, версию netflow, количество дампов в сутки минус один, IP адрес разрешенного сенсора и IP адрес и UDP порт коллектора.

Получаем иерархическую структуру вида /usr/home/netflow/2011/2011-07/2011-07-26 и файлы вида ft-v05.2011-07-26.232501+0300.

По сравнению с nfcapd из пакета nfsen есть недостаток – невозможно после каждого дампа запустить внешний обработчик.

Создаем файл /usr/local/etc/flow-tools/flow.acl и пишем там строку

ip access-list standard w170 permit host 192.168.29.170

Назвать acl с цифры нельзя. Обрабатываем дамп с помощью утилит flow-cat flow-filter и flow-scan, находя весь входящие и исходящие flow для нужного IP-адреса, например вот так:

# flow-cat ft-v05.2011-07-26.204501+0300 | flow-filter -Dw170 -f /usr/local/etc/flow-tools/flow.acl | flow-stat -f10

# --- ---- ---- Report Information --- --- ---

# Fields: Total

# Symbols: Disabled

# Sorting: None

# Name: Source/Destination IP

# Args: flow-stat -f10

# src IPaddr dst IPaddr flows octets packets

192.168.24.151 192.168.29.170 1 64 1

192.168.243.208 192.168.29.170 1 96 2

192.168.41.70 192.168.29.170 1 96 2

# flow-cat ft-v05.2011-07-26.204501+0300 | flow-filter -Sw170 -f /usr/local/etc/flow-tools/flow.acl | flow-stat -f10

# --- ---- ---- Report Information --- --- ---

# Fields: Total

# Symbols: Disabled

# Sorting: None

# Name: Source/Destination IP

# Args: flow-stat -f10

# src IPaddr dst IPaddr flows octets packets

192.168.29.170 192.168.24.151 1 64 1

192.168.29.170 192.168.243.208 1 80 2

192.168.29.170 192.168.41.70 1 80 2

Для агрегации необходимо указать утилите flow-stat формат 15

# flow-cat ft-v05.2011-07-26.204501+0300 | flow-filter -Dw170 -f /usr/local/etc/flow-tools/flow.acl | flow-stat -f15

# --- ---- ---- Report Information --- --- ---

# Fields: Total

# Symbols: Disabled

# Sorting: None

# Name: short summary

# Args: flow-stat -f15

# Octets Packets MBytes

256 5 0.000

# flow-cat ft-v05.2011-07-26.204501+0300 | flow-filter -Sw170 -f /usr/local/etc/flow-tools/flow.acl | flow-stat -f15

# --- ---- ---- Report Information --- --- ---

# Fields: Total

# Symbols: Disabled

# Sorting: None

# Name: short summary

# Args: flow-stat -f15

# Octets Packets MBytes

224 5 0.000

Вот, собственно, вкратце и весь каркас биллинга . В дальнейшем проведем сравнение nfdump и flow-filter/flow-stat по скорсоти работы.

Источник: http://myfreebsd.ru/freebsd_as_server/zametki-po-flow-tools

Категория: Net | Добавил: oleg (06.08.2011) | Автор: admin

Просмотров: 949 | Рейтинг: 0.0/0 |

Всего комментариев: 0

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Форма входа

Друзья сайта

Google+

Статистика

Онлайн всего: 1

Гостей: 1

Пользователей: 0

links