в процессе написания
—
Сенсор собирает статистику по проходящему через него трафику. Сенсоры имеет смысл ставить в «узловых точках» сети, например, на граничных маршрутизаторах сегментов сети. Во многих источниках упоминается возможность «зеркалирования» порта коммутатора, почти все современные коммутаторы поддерживают эту возможность.
—
Коллектор осуществляет сбор информации от сенсоров. Полученные данные он сбрасывает в файл для дальнейшей обработки. Различные коллекторы сохраняют данные в различных форматах.
—
Анализатор, или система обработки, считывает эти файлы и генерирует отчеты в форме, более удобной для человека. Эта система должна быть совместима с форматом данных, предоставляемых коллектором [xgu.ru/wiki/NetFlow]. В современных системах коллектор и анализатор часто объединены в одну систему.
NetFlow
enable sflow on
create sflow analyzer_server 1 owner analyzer1 timeout infinite collectoraddress 10.1.2.5
create sflow counter_poller ports all analyzer_server_id 1 interval 30
create sflow flow_sampler ports all analyzer_server_id 1 rate 128
смотрим
show sflow
show sflow analyzer_server
show sflow counter_poller
show sflow flow_sampler
ловим пакеты на коллекторе
tcpdump -n udp port 2055
ставим коллектор на linux (
netflow)
yum install flow-tools
коллектор на бсд
/usr/ports/net-mgmt/flow-tools
http://www.inmon.com/technology/sflowTools.php
flow-cat ft-v05.2012* |flow-print
сенсор -> коллектор
сенсор
softflowd
softflowd -v 5 -i eth1 -n 127.0.0.1:8818
ставим сенсор на бсд
cd /usr/ports/net-mgmt/softflowd; make install; make clean
# softflowd_enable="YES"
# softflowd_interfaces="em0 em1"
# softflowd_em0_collector="collector:1234"
# softflowd_em1_collector="collector:1235"
# softflowd_em0_timeouts="-t maxlife=300"
# softflowd_em1_timeouts="-t maxlife=600"
# softflowd_em0_max_states="16000"
# softflowd_em1_max_states="17000"
# softflowd_em0_extra_args=""
# softflowd_em1_extra_args=""
коллектор
flow-capture
flow-capture -p /var/run/flow-cap.pid -N 1 -w /var/log/netflows -S 5 -n 287 0/127.0.0.1/8818
http://www.opennet.ru/base/cisco/monitor_netflow.txt.html
http://www.opennet.ru/base/cisco/netflow_visio.txt.html
http://www.opennet.ru/base/cisco/monitor_netflow.txt.html
http://news.gmane.org/gmane.network.nfsen.general
http://ensight.eos.nasa.gov/FlowViewer/
http://sourceforge.net/projects/flowviewer/
http://xgu.ru/wiki/NetFlow
sFlow
FreeBSD^
cd /usr/ports/net-mgmt/nfdump; make install clean
/usr/local/bin/nfcapd
/usr/local/bin/sfcapd
запуск коллектора
# sflow traffic
/usr/local/bin/sfcapd -w -D -l /home/billing -p 6343 \
-B 512000 \
-I DES3810 \
-T +2,+3 \
-S 1 -t 900
сбор данных
nfdump -R /home/billing -s srcip/bytes -s dstip/bytes -s port/bytes -s record/bytes -n 1000> /home/zabbix/data/www/zabbix.*.ru/`date +%d%m%Y`.txt
— Для работы softlflowd требуется наличие libpcap. В FreeBSD может использоваться ng_netflow, в этом случае libpcap не обязателен.
/boot/loader.conf
ng_netflow_load="YES"
проверка работы
gw# softflowctl statistics
softflowd[3508]: Accumulated statistics:
Number of active flows: 431
Packets processed: 1270
Fragments: 0
Ignored packets: 496 (496 non-IP, 0 too short)
Flows expired: 6 (0 forced)
Flows exported: 9 in 2 packets (0 failures)
Packets received by libpcap: 1838
Packets dropped by libpcap: 0
Packets dropped by interface: 8756531
Expired flow statistics: minimum average maximum
Flow bytes: 46 156 272
Flow packets: 1 4 6
Duration: 0.00s 0.58s 1.25s
Expired flow reasons:
tcp = 0 tcp.rst = 6 tcp.fin = 0
udp = 0 icmp = 0 general = 0
maxlife = 0
over 2Gb = 0
maxflows = 0
flushed = 0
Per-protocol statistics: Octets Packets Avg Life Max Life
tcp (6): 938 21 0.58s 1.25s
gw#
посмотреть информацию о самих потоках
softflowctl dump-flows