0.00
0 читателей, 5 топиков

Starting nfsend PANIC

после обновления выпало…

root@suricata:/var/log# nfsen start
Starting nfcapd:(router2)
Error( Port: 6345 ): a collector with pid[23106] is already running
 (router1)
Error( Port: 6344 ): a collector with pid[23111] is already running

Starting nfsendPANIC nfsend dies: RRD version '1.5001' not yet supported!

RRD version '1.5001' not yet supported!

.
root@suricata:/var/log#

Читать дальше →

nfsen

реальный поток nfsen

Flows: 15.5 k/s потоков,
Packets: 17.6 k/s пакетов,
Traffic: 9.3 Mb/s байт.

В чем смысл этих значений.

Для коммутаторов измерение траффика в виде «байты/секунда» не является важной характеристикой. Байты нужны для оценки загруженности канала.

Производительность (загруженность коммутатора) определяют «пакеты/секунда».
Еще один показатель — поток (совокупность пакетов с фиксированными src и
dst ip-адресами и портами для tcp и udp).

Фактически поток определяется теми полями пакета, которые могут фигурировать в ACCESS-листах.

У маршрутизаторов есть кеш потоков (у «навороченных» моделей — аппаратный), каждый приходящий пакет ищется в кеше и если он не найден, значит это новый поток и его «прогоняют» по ACCESS-листам.

Показатель «потоки/секунда» определяет загруженность центрального процессора коммутатора.

d-link

в процессе написания

Сенсор собирает статистику по проходящему через него трафику. Сенсоры имеет смысл ставить в «узловых точках» сети, например, на граничных маршрутизаторах сегментов сети. Во многих источниках упоминается возможность «зеркалирования» порта коммутатора, почти все современные коммутаторы поддерживают эту возможность.
Коллектор осуществляет сбор информации от сенсоров. Полученные данные он сбрасывает в файл для дальнейшей обработки. Различные коллекторы сохраняют данные в различных форматах.
Анализатор, или система обработки, считывает эти файлы и генерирует отчеты в форме, более удобной для человека. Эта система должна быть совместима с форматом данных, предоставляемых коллектором [xgu.ru/wiki/NetFlow]. В современных системах коллектор и анализатор часто объединены в одну систему.

NetFlow


enable sflow on
create sflow analyzer_server 1 owner analyzer1 timeout infinite collectoraddress 10.1.2.5
create sflow counter_poller ports all analyzer_server_id 1 interval 30
create sflow flow_sampler ports all analyzer_server_id 1 rate 128


смотрим
show sflow
show sflow analyzer_server
show sflow counter_poller
show sflow flow_sampler


ловим пакеты на коллекторе
tcpdump -n udp port 2055


ставим коллектор на linux (netflow)

yum install flow-tools


коллектор на бсд
/usr/ports/net-mgmt/flow-tools


http://www.inmon.com/technology/sflowTools.php


flow-cat ft-v05.2012* |flow-print


сенсор -> коллектор

сенсор softflowd
softflowd -v 5 -i eth1 -n 127.0.0.1:8818


ставим сенсор на бсд
cd /usr/ports/net-mgmt/softflowd; make install; make clean


# softflowd_enable="YES"
# softflowd_interfaces="em0 em1"
# softflowd_em0_collector="collector:1234"
# softflowd_em1_collector="collector:1235"
# softflowd_em0_timeouts="-t maxlife=300"
# softflowd_em1_timeouts="-t maxlife=600"
# softflowd_em0_max_states="16000"
# softflowd_em1_max_states="17000"
# softflowd_em0_extra_args=""
# softflowd_em1_extra_args=""


коллектор flow-capture
flow-capture -p /var/run/flow-cap.pid -N 1 -w /var/log/netflows -S 5 -n 287 0/127.0.0.1/8818


http://www.opennet.ru/base/cisco/monitor_netflow.txt.html
http://www.opennet.ru/base/cisco/netflow_visio.txt.html
http://www.opennet.ru/base/cisco/monitor_netflow.txt.html
http://news.gmane.org/gmane.network.nfsen.general
http://ensight.eos.nasa.gov/FlowViewer/
http://sourceforge.net/projects/flowviewer/
http://xgu.ru/wiki/NetFlow


sFlow
FreeBSD^
cd /usr/ports/net-mgmt/nfdump; make install clean

/usr/local/bin/nfcapd
/usr/local/bin/sfcapd


запуск коллектора
# sflow traffic
/usr/local/bin/sfcapd -w -D -l /home/billing -p 6343 \
-B 512000 \
-I DES3810 \
-T +2,+3 \
-S 1 -t 900


сбор данных
nfdump -R /home/billing -s srcip/bytes -s dstip/bytes -s port/bytes -s record/bytes -n 1000> /home/zabbix/data/www/zabbix.*.ru/`date +%d%m%Y`.txt


— Для работы softlflowd требуется наличие libpcap. В FreeBSD может использоваться ng_netflow, в этом случае libpcap не обязателен.
/boot/loader.conf
ng_netflow_load="YES"


проверка работы
gw# softflowctl statistics
softflowd[3508]: Accumulated statistics:
Number of active flows: 431
Packets processed: 1270
Fragments: 0
Ignored packets: 496 (496 non-IP, 0 too short)
Flows expired: 6 (0 forced)
Flows exported: 9 in 2 packets (0 failures)
Packets received by libpcap: 1838
Packets dropped by libpcap: 0
Packets dropped by interface: 8756531

Expired flow statistics:  minimum       average       maximum
  Flow bytes:                  46           156           272
  Flow packets:                 1             4             6
  Duration:                  0.00s         0.58s         1.25s

Expired flow reasons:
       tcp =         0   tcp.rst =         6   tcp.fin =         0
       udp =         0      icmp =         0   general =         0
   maxlife =         0
  over 2Gb =         0
  maxflows =         0
   flushed =         0

Per-protocol statistics:     Octets      Packets   Avg Life    Max Life
            tcp (6):            938           21       0.58s       1.25s
gw#


посмотреть информацию о самих потоках
softflowctl dump-flows