Проблем с настройкой trafd
поставил freebsd релиз 6.1 + коллекция портов, MC, настроил ipfw,
поставил из коллекции портов trafshow3 – проверил показывает трафик и на внешней и на внутренней сетевой… теперь было бы неплохо еще этот трафик собрать, да обработать
полазив по форуму – сделал вывод, что для меня наиболее всего подходит trafd (да и описано все подробно было…).
Опять в порты /usr/ports/net-mgmt/trafd/Makefile –делал все из под МС – поэтому Makefile запустил нажатием Enter, после установки в директории /usr/ports/net-mgmt/trafd/ появилась еще одна папка /work – не знаю нормально это или нет…
Меня больше интересует, что появилось в директории /usr/local/bin/
А появилось там следующее:
*Trafd
*Trafdump
*Traflog
*trafsave
*trafstart
*trafstat
*trafstatd
*trafstop – вроде как все окдальше
/etc/rc.conf добавляю:trafd_enable="YES"
trafd_ifaces="fxp0 rl0"
trafd_flags="-r -p"
trafd_log="/usr/local/var/log/traffic.log"в /usr/local/etc/rc.d/trafd.sh со следующим содержимым:
#!/bin/sh
## PROVIDE: trafd
# REQUIRE: netif routing
# KEYWORD: shutdown#
# Add the following lines to /etc/rc.conf to enable trafd:
#
trafd_enable="YES"
trafd_ifaces="fxp0 rl0"
trafd_flags="-r -p -i"
trafd_log="/usr/local/var/log/traffic.log"
#. /etc/rc.subr
name="trafd"
rcvar=`set_rcvar`
command="/usr/local/bin/trafd"
start_cmd="trafd_start"
stop_cmd="trafd_stop"trafd_enable=${trafd_enable:-"NO"}
trafd_log=${trafd_log:-"/var/log/traffic.log"}
load_rc_config $nametrafd_start()
{
echo 'Starting trafd.'
if checkyesno ${rcvar} && [ "x${trafd_ifaces}" != "x" ]; then
for iface in ${trafd_ifaces}; do
${command} -i ${iface} ${trafd_flags}
done
else
warn '$trafd_ifaces is not set.'
fi
}trafd_stop()
{
echo 'Stopping trafd.'
for iface in ${trafd_ifaces}; do
read rc_pid < /var/run/trafd.$iface
if [ -n "${rc_pid}" ]; then
kill -TERM ${rc_pid}
wait_for_pids ${rc_pid}
echo "$(date +"%b %e %H:%M:%S") $(hostname -s) trafstop:" "'('${iface}')' signaling to shutdown" >> ${trafd_log}
fi
done
}run_rc_command "$1"
в /usr/local/etc/traffic/файл save_tmp с содержимым
#!/bin/sh
/usr/local/bin/trafdump rl0
/usr/local/bin/trafdump fxp0файл periodic с содержимым
#!/bin/sh
/usr/local/bin/trafsave rl0
/usr/local/bin/trafsave fxp0файл daily с содержимым:
#!/bin/sh
date='date -v-ld "+%Y%m%d"'
fp=/usr/local/var/traffic/$date
cp /usr/local/var/trafd/trafd.rl0 $fp.rl0
rm /usr/local/var/trafd/trafd.rl0
cp /usr/local/var/trafd/trafd.fxp0 $fp.fxp0
rm /usr/local/var/trafd/trafd.fxp0файл periodic с содержимым
#!/bin/sh
/usr/local/bin/trafsave rl0
/usr/local/bin/trafsave fxp0файл expandplain с содержимым
#!/bin/sh
date='date -v-ld "+%Y%m%d"'
fp=/usr/local/var/traffic/$date
fn=/usr/local/var/traffic_plain/$date/usr/local/bin/traflog -a -n -i $fp.rl0 >> $fn.rl0
/usr/local/bin/traflog -a -n -i $fp.fxp0 >> $fn.fxp0Затем прописал время запуска в cron
В результате ничего не заработало….
Поскольку смутило – что не увидел где задаются входы и входные и выходные данные полез в /usr/local/bin/
*Trafd
*Trafdump
*Traflog
*trafsave
*trafstart
*trafstat
*trafstatd
*trafstop – и подправил код для своих нужд:
содержимое Trafdump:#!/bin/sh
#
# trafdump Copyright (c)1993 CAD lab
#
# dump all records to /var/tmp/trafd.$iface
#
# usage: trafdump interfaces...
#
PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin
WHERE_PID=/usr/local/var/trafd/trafd.
LOG_FILE=/usr/local/var/log/traffic.logif [ $# = 0 ]; then
echo trafdump - dump tcp/udp network data traffic
echo usage: trafdump interfaces...
exit 1
fifor iface in $*; do
PID_FILE=$WHERE_PID$iface
if [ -f $PID_FILE ]; then
kill -HUP `cat $PID_FILE`
if [ $? = 0 ]; then
echo `date +"%b %e %H:%M:%S"` `hostname -s` trafdump: \
'('$iface')' signaling to dump >> $LOG_FILE
fi
else
echo error: $PID_FILE not found | tee -a $LOG_FILE
fi
done
содержимое trafsave:#!/bin/sh
#
# trafsave Copyright (c)1993 CAD lab
#
# backup(append) all records to /var/log/trafd.$iface
# and restart collect network traffic again
#
# usage: trafsave interfaces...
#
PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin
WHERE_PID=/usr/local/var/trafd/trafd.
LOG_FILE=/usr/local/var/log/traffic.logif [ $# = 0 ]; then
echo trafsave - save tcp/udp network data traffic
echo usage: trafsave interfaces...
exit 1
fifor iface in $*; do
PID_FILE=$WHERE_PID$iface
if [ -f $PID_FILE ]; then
kill -INT `cat $PID_FILE`
if [ $? = 0 ]; then
echo `date +"%b %e %H:%M:%S"` `hostname -s` trafsave: \
'('$iface')' signaling to backup >> $LOG_FILE
fi
else
echo error: $PID_FILE not found | tee -a $LOG_FILE
fi
done
содержимое trafstart:#!/bin/sh
#
# trafstart Copyright (c)1993 CAD lab
#
# start of the network traffic collector
#
# Command line switches are:
# -d print compiled packet-matching code and exit
# -O don't run the packet-matching code optimizer"
# -p don't put the interface into promiscuous mode
# -r attempt to resume data from dumped file if exist
# -i interface current support: ethernet, slip, ppp, loopback
# -c count count number of packets and exit
# -F file use file as input for the filter expression
# expr filter expression like tcpdump's
#
# Example:
# collect all tcp/udp data traffic passed via sl0 interface -
#trafd -r -i sl0
# count all ftp traffic passthrough ne0 interface -
#trafd -i ne0 port ftp or ftp-data
./trafd -p -r -i rl0
./trafd -p -r -i fxp0
#
#echo I am storage, before use invoke editor and edit as your need.
#trafd -?
Содержимое trafstop:#!/bin/sh
#
# trafstop Copyright (c)1993 CAD lab
#
# dump all records to /var/tmp/trafd.$iface
# and shutdown network traffic collector
#
# usage: trafstop interfaces...
#
PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin
WHERE_PID=/usr/local/var/trafd/trafd.
LOG_FILE=/usr/local/var/log/traffic.logif [ $# = 0 ]; then
echo trafstop - shutdown tcp/udp network data traffic collector
echo usage: trafstop interfaces...
exit 1
fifor iface in $*; do
PID_FILE=$WHERE_PID$iface
if [ -f $PID_FILE ]; then
kill -TERM `cat $PID_FILE`
if [ $? = 0 ]; then
echo `date +"%b %e %H:%M:%S"` `hostname -s` trafstop: \
'('$iface')' signaling to shutdown >> $LOG_FILE
fi
else
echo error: $PID_FILE not found | tee -a $LOG_FILE
fi
done
перегружаю – не работает…
останавливаю систему – и в комментах при завершении процессов вижу:Stopping trafd
Eval: cannot open /var/run/trafd.fxp0: No such file or directory
Writing entropy file:
TerminatedЧто за фигня…
Подскажите, что не так делаю…
>Проблем с настройкой trafd
>Что за фигня…
>Подскажите, что не так делаю…Не читать старых инструкций. Руками запустите trafd -p -r -i rl0
Руками запустите trafdump rl0
Руками запустите trafsave rl0Найдите - куда он таки положил файл trafd.rl0 ( find / -name trafd.rl0 )
И поправьте пути в скриптах. Там от версии к версии пути прыгают....
>[оверквотинг удален]
>
> Не читать старых инструкций. Руками запустите trafd -p -r -i rl0
>
> Руками запустите trafdump rl0
> Руками запустите trafsave rl0
>
> Найдите - куда он таки положил файл trafd.rl0 ( find /
>-name trafd.rl0 )
> И поправьте пути в скриптах. Там от версии к версии пути
>прыгают....спасибо за отклик
сделал - правда команда find / -name trafd.rl0 ничего не дала, но через МС нашел
/var/run/trafd.rl0
/var/run/trafd.fxp0
- но это же каталог с временными файлами, которые при перегрузе удаляются... или я путаю...
взглянул еще раз на свою писанину - теперь в ступоре где и на что пути исправлять... - я практически во всех составляющих программы trafd пути менял...и еше - до запуска вручную в папке /var/run/ обозначенные файлы раньше не появлялись - это точно, поскольку эту папку неоднократно просматривал... - как так ведь в cron прописывал переодические запуски (в целях тестирования - trafdump - каждые 3 минуты, trafsave - каждые 5 минут.....)
и еще непонятна ситуация с traffic.log - (/usr/local/var/log/traffic.log) - ни одной записи...., хотя сюда должен заноситься весь лог....
пергрузил системувыполняю trafdump rl0
trafsave rl0
захожу снова в /var/run/ - не фига
тогда делаю trafd -p -r -i rl0
trafdump rl0
trafsave rl0
захожу снова в /var/run/ - появился trafd.rl0это значит, что trafd у меня автоматически не запускается???
хотя в /usr/local/etc/rc.d/trafd.sh прописано:
#!/bin/sh
## PROVIDE: trafd
# REQUIRE: netif routing
# KEYWORD: shutdown#
# Add the following lines to /etc/rc.conf to enable trafd:
#
trafd_enable="YES"
trafd_ifaces="fxp0 rl0"
trafd_flags="-r -p -i"
trafd_log="/usr/local/var/log/traffic.log"
#. /etc/rc.subr
name="trafd"
rcvar=`set_rcvar`
command="/usr/local/bin/trafd"
start_cmd="trafd_start"
stop_cmd="trafd_stop"trafd_enable=${trafd_enable:-"NO"}
trafd_log=${trafd_log:-"/var/log/traffic.log"}
load_rc_config $nametrafd_start()
{
echo 'Starting trafd.'
if checkyesno ${rcvar} && [ "x${trafd_ifaces}" != "x" ]; then
for iface in ${trafd_ifaces}; do
${command} -i ${iface} ${trafd_flags}
done
else
warn '$trafd_ifaces is not set.'
fi
}trafd_stop()
{
echo 'Stopping trafd.'
for iface in ${trafd_ifaces}; do
read rc_pid < /var/run/trafd.$iface
if [ -n "${rc_pid}" ]; then
kill -TERM ${rc_pid}
wait_for_pids ${rc_pid}
echo "$(date +"%b %e %H:%M:%S") $(hostname -s) trafstop:" "'('${iface}')' signaling to shutdown" >> ${trafd_log}
fi
done
}run_rc_command "$1"
надеюсь на отклик...
открыл /var/run/trafd.rl0 - там одна запись 953 - и все... насколько я понимаю там должен был быть трафик в бинарном виде...(а ведь шлюз уже функционирует - и интернет трафик идет примерно 500-1024 мб в день)
где-то напортачил, а где....
>
>открыл /var/run/trafd.rl0 - там одна запись 953 - и все... насколько я
>понимаю там должен был быть трафик в бинарном виде...
>
>(а ведь шлюз уже функционирует - и интернет трафик идет примерно 500-1024
>мб в день)
>где-то напортачил, а где....в /var/run лежат pid-файлы :) проверить запустился или нет поможет команда
ps -ax |grep trafd | grep -v grep
>[оверквотинг удален]
>>открыл /var/run/trafd.rl0 - там одна запись 953 - и все... насколько я
>>понимаю там должен был быть трафик в бинарном виде...
>>
>>(а ведь шлюз уже функционирует - и интернет трафик идет примерно 500-1024
>>мб в день)
>>где-то напортачил, а где....
>
>в /var/run лежат pid-файлы :) проверить запустился или нет поможет команда
>
>ps -ax |grep trafd | grep -v grepсделал
результат:
514 ?? Ss 0:00.03 /usr/local/bin/trafd -r -p -i fxp0
516 ?? Ss 0:00.04 /usr/local/bin/trafd -r -p -i rl0причем 514 и 516 - соответствует содержимому файлов /var/run/trafd.fxp0 и /var/run/trafd.rl0
так и должно быть?
>>[оверквотинг удален]
>так и должно быть?Да, теперь ищите, куда-же он кладет файлы. В разных версиях от /var/log до /usr/local/var
find / -name traf*
с этим разобрался - теперь в бинарном виде получаю логстолкнулся с новой трудностью - нужно для начала перевести его в читаемый вид
в ручную запускаю команду:/usr/local/bin/traflog -a -n -i /usr/local/var/traffic/log_bin/trafd.fxp0 >> /usr/local/var/traffic/log_txt/trafd.fxp0
выдало:
traflog: WARNING: SIOCGIFADDR: /usr/local/var/traffic/log_bin/trafd.fxp0: Device not configured
traflog: can't open /usr/local/var/traffic/log_bin/trafd.fxp0что значит /usr/local/var/traffic/log_bin/trafd.fxp0 устройство не сконфигурированно?
как сконфигурировать - прошерстил форум - такой проблемы не встретил...
man tcpdump>выдало:
>traflog: WARNING: SIOCGIFADDR: /usr/local/var/traffic/log_bin/trafd.fxp0: Device not configured
>traflog: can't open /usr/local/var/traffic/log_bin/trafd.fxp0
>
>что значит /usr/local/var/traffic/log_bin/trafd.fxp0 устройство не сконфигурированно?
>
>как сконфигурировать - прошерстил форум - такой проблемы не встретил...