URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77879
[ Назад ]

Исходное сообщение
"flow-tools"
Отправлено MoHaX , 14-Дек-07 10:12

Использую flow-tools для накопления данных о трафике. Решил сделать отчёт за прошлый месяц и вдруг обнаружил, что папки с данными за прошлый мецяц пусты, т.е. сами папки есть (/var/db/flow/2007/2007-11/2007-11-01 и т.д.), но там нифига нет. За текущий месяц данные есть. Чтобы это значило? И куда девались данные?

Содержание

flow-tools,MoHaX, 11:25 , 14-Дек-07
- flow-tools,MoHaX, 11:59 , 14-Дек-07
- flow-tools,Энди, 12:04 , 14-Дек-07
  - flow-tools,Matz, 13:35 , 14-Дек-07
    - flow-tools,aurved, 15:26 , 14-Дек-07
      - flow-tools,Александр, 09:06 , 15-Дек-07
- flow-tools,stakado, 13:46 , 14-Дек-07

Сообщения в этом обсуждении

"flow-tools"
Отправлено MoHaX , 14-Дек-07 11:25

>Использую flow-tools для накопления данных о трафике. Решил сделать отчёт за прошлый
>месяц и вдруг обнаружил, что папки с данными за прошлый мецяц
>пусты, т.е. сами папки есть (/var/db/flow/2007/2007-11/2007-11-01 и т.д.), но там нифига
>нет. За текущий месяц данные есть. Чтобы это значило? И куда
>девались данные?
flow-capture запущен так:
--
/usr/local/bin/flow-capture -E 128M -w /var/db/flows -p /var/run/flow-capture/flow-capture.pid 0.0.0.0/0.0.0.0/4444
--

"flow-tools"
Отправлено MoHaX , 14-Дек-07 11:59

>[оверквотинг удален]
>>месяц и вдруг обнаружил, что папки с данными за прошлый мецяц
>>пусты, т.е. сами папки есть (/var/db/flow/2007/2007-11/2007-11-01 и т.д.), но там нифига
>>нет. За текущий месяц данные есть. Чтобы это значило? И куда
>>девались данные?
>
>flow-capture запущен так:
>
>--
>/usr/local/bin/flow-capture -E 128M -w /var/db/flows -p /var/run/flow-capture/flow-capture.pid 0.0.0.0/0.0.0.0/4444
>--
Как я понял -E 128 даёт flow-capture записать только 128 Мб данных, видимо при превышении затираются предыдущие записи. Просто совпало, что остались данные именно с 1 декабря. Или я не прав?

"flow-tools"
Отправлено Энди , 14-Дек-07 12:04

>[оверквотинг удален]
>>месяц и вдруг обнаружил, что папки с данными за прошлый мецяц
>>пусты, т.е. сами папки есть (/var/db/flow/2007/2007-11/2007-11-01 и т.д.), но там нифига
>>нет. За текущий месяц данные есть. Чтобы это значило? И куда
>>девались данные?
>
>flow-capture запущен так:
>
>--
>/usr/local/bin/flow-capture -E 128M -w /var/db/flows -p /var/run/flow-capture/flow-capture.pid 0.0.0.0/0.0.0.0/4444
>--
искать в направлении /etc/rc.conf по полю flow_capture_flags и разбираться с ним.

"flow-tools"
Отправлено Matz , 14-Дек-07 13:35

Ребята, есть вопрос. Собираю статистику на маршрутизаторе под управлением freebsd 6.2, использую softflowd и flow-tools, скидываю статистику каждые 5 минут. Собственно говоря вопрос такой, если тяну большйо файл, и закачка растягивается на несколько часов, то днные падают только по окончании закачки, как-то можно с этим бороться, т.е. чтобы данные были актуальными?

"flow-tools"
Отправлено aurved , 14-Дек-07 15:26

>Ребята, есть вопрос. Собираю статистику на маршрутизаторе под управлением freebsd 6.2, использую
>softflowd и flow-tools, скидываю статистику каждые 5 минут. Собственно говоря вопрос
>такой, если тяну большйо файл, и закачка растягивается на несколько часов,
>то днные падают только по окончании закачки, как-то можно с этим
>бороться, т.е. чтобы данные были актуальными?
Не знаю поможет ли в твоем случае, но на циске нужно для этого сказать:
en
conf t
ip flow-cache timeout active 10
это в минутах, по умолчанию стоит 30 минут и были потери трафика,
текущие настройки можно посмотреть командой:
sh ip cache flow
Active flows timeout in 10 minutes
Inactive flows timeout in 60 seconds

можно еще сказать:
en
conf t
ip flow-cache timeout inactive 60
это в секундах, по умолчанию этот параметр 15
Чем меньше timeout active -- тем больше нагрузка на маршрутизатор и тем точнее

"flow-tools"
Отправлено Александр , 15-Дек-07 09:06

>[оверквотинг удален]
>можно еще сказать:
>
>en
>conf t
>ip flow-cache timeout inactive 60
>
>это в секундах, по умолчанию этот параметр 15
>
>Чем меньше timeout active -- тем больше нагрузка на маршрутизатор и тем
>точнее
Спасибо. Про это я в курсе. Никак не могу найти подобную настройку здесь (

"flow-tools"
Отправлено stakado , 14-Дек-07 13:46

>
>flow-capture запущен так:
>
>--
>/usr/local/bin/flow-capture -E 128M -w /var/db/flows -p /var/run/flow-capture/flow-capture.pid 0.0.0.0/0.0.0.0/4444
>--
Раз обсуждаете flow-tools, то может и мне поможете?
Пытаюсь использовать для сбора статистики softflowd и flow-capture. Но flow-capture вылетает с ошибкой:
flow-capture[3070]: New exporter: time=1197657971 src_ip=127.0.0.1 dst_ip=127.0.0.1 d_version=5
kernel: flow-capture[3070]: segfault at 0000000000000000 rip 00002b48a8a42723 rsp 00007fff0214b640 error 4
Запуск softflowd:
/usr/local/sbin/softflowd -i eth0 -n 127.0.0.1:8818
Лог при запуске:
kernel: device eth0 entered promiscuous mode
kernel: audit(1197658232.411:24): dev=eth0 prom=256 old_prom=0 auid=4294967295
Запуск flow-capture:
/usr/sbin/flow-capture -n 287 -N 0 -w /home/services/netflow/flow-tools -S 5 127.0.0.1/127.0.0.1/8818
Лог при запуске:
flow-capture[14924]: setsockopt(size=4194304)
Версии:
softflowd - 0.9.8
flow-capture - 0.68
OS: Linux 2.6.21.3 (изначально была Mandriva 2007.0 Free, потом пересобрано ядро посвежее)