Здравствуйте коллеги,есть сеть на ~1400 клиентов, 140/50 мбитс траффика down/up.
Собираем нетфлоу с сетевухи на линукс сервере (debian lenny 5.0.6 fully updated, 2.6.26-2-amd64 distribution default, NIC - marvel gbit onboard) с fprobe/flow-capture,
на этот NIC траффик льётся через порт миррор на свитче (hybrid port - нетагованый трафф + несколько vlan ), нагрузка на сервер небольшая - load average: 0.22, 0.13, 0.10.logserv:/usr/src# mpstat -P ALL
Linux 2.6.26-2-amd64 (logserv.domain.tld) 11/11/2010 _x86_64_08:52:22 AM CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s
08:52:22 AM all 0.13 0.01 0.58 0.03 0.30 0.23 0.00 98.71 123.23
08:52:22 AM 0 0.06 0.00 0.06 0.01 0.00 0.00 0.00 99.86 0.44
08:52:22 AM 1 0.35 0.02 2.06 0.01 1.15 0.84 0.00 95.57 113.13
08:52:22 AM 2 0.06 0.01 0.06 0.08 0.00 0.01 0.00 99.77 8.52
08:52:22 AM 3 0.05 0.00 0.06 0.03 0.00 0.01 0.00 99.84 1.14
flow-stat'ом смотрю статистику - и ничего непонимаю:срез за день - summary:
logserv:/data/netflow/net/2010/2010-06/2010-06-16# flow-cat ./ | flow-stat
# --- ---- ---- Report Information --- --- ---
#
# Fields: Total
# Symbols: Disabled
# Sorting: None
# Name: Overall Summary
#
# Args: flow-stat
#
Total Flows : 3337503
Total Octets : 1025757664455
Total Packets : 78712326
Total Time (1/1000 secs) (flows): 20767531025
Duration of data (realtime) : 86395
Duration of data (1/1000 secs) : 51436679
Average flow time (1/1000 secs) : 6222.4756
Average packet size (octets) : 13031.7285
Average flow size (octets) : 307342.8438
Average packets per flow : 23.5842
Average flows / second (flow) : 64.8865
Average flows / second (real) : 38.6307
Average Kbits / second (flow) : 159539.2656
Average Kbits / second (real) : 94983.0625
IP packet size distribution:
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.390 .000 .000 .000 .000 .007 .000 .000 .000 .000 .000 .000 .000 .000 .000512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .002 .000 .000 .000 .000 .000 .000 .000Packets per flow distribution:
1 2 4 8 12 16 20 24 28 32 36 40 44 48 52
.373 .183 .137 .160 .041 .021 .013 .009 .006 .005 .004 .003 .003 .002 .00260 100 200 300 400 500 600 700 800 900 >900
.003 .010 .009 .004 .002 .001 .001 .001 .001 .001 .005Octets per flow distribution:
32 64 128 256 512 1280 2048 2816 3584 4352 5120 5888 6656 7424 8192
.390 .000 .000 .006 .000 .002 .000 .000 .000 .000 .000 .000 .000 .000 .0008960 9728 10496 11264 12032 12800 13568 14336 15104 15872 >15872
.006 .000 .000 .000 .000 .000 .000 .000 .000 .000 .596Flow time distribution:
10 50 100 200 500 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000
.457 .029 .031 .040 .069 .042 .037 .041 .030 .016 .020 .015 .009 .015 .01512000 14000 16000 18000 20000 22000 24000 26000 28000 30000 >30000
.024 .011 .011 .008 .008 .007 .005 .005 .005 .005 .044Почему невидно пакеты норм. размеров (1500b) ? Откуда вылез Average packet size (octets) : 13031.7285 байт? Лезет там конечно и QinQ но это макс 1522 байт...
А вот это вообще непонимаю:
logserv:/data/netflow/net/2010/2010-06/2010-06-16# flow-cat ./ | flow-stat -f 5
# --- ---- ---- Report Information --- --- ---
#
# Fields: Total
# Symbols: Disabled
# Sorting: None
# Name: UDP/TCP destination port
#
# Args: flow-stat -f 5
#
#
# port flows octets packets
#
64168 2 180224 12
60018 11 901120 55
59507 6 25919488 1582
56222 4 573440 36
52154 2 344064 21
34258 10 8241152 503
32324 33 11436032 707
27753 1 16384 1
19363 2 163840 10
11102 7 20365312 1246
9649 3 49152 4
7504 10 1212416 77
7106 8 1163264 71
3133 3 12222464 747
2445 2 376832 23
432 10 18120704 1198
1 1 0 1
0 7922 3450486784 271912
logserv:/data/netflow/net/2010/2010-06/2010-06-16# flow-cat ./ | flow-stat -f 6
# --- ---- ---- Report Information --- --- ---
#
# Fields: Total
# Symbols: Disabled
# Sorting: None
# Name: UDP/TCP source port
#
# Args: flow-stat -f 6
#
#
# port flows octets packets
#
62884 33 11436032 707
60323 4 573440 36
42943 11 901120 55
42616 3 49152 4
34469 7 20365312 1246
25350 10 8241152 503
20504 18 2375680 148
20496 10 18120704 1198
16779 3 12222464 747
15932 1 16384 1
9691 6 25919488 1582
8469 2 163840 10
7970 2 180224 12
7492 2 376832 23
1645 2 344064 21
62 1 0 1
0 7922 3450486784 271912Это какие-то рандомные порты и нет нормального траффика (80,443,25 итд)...
Причом на сетевой тспдампом вижу целый траффик в норме.Вобщем ткните носом пожалуйста. Вот конфиги:
logserv:/usr/src# cat /etc/default/fprobe
#fprobe default configuration fileINTERFACE="eth1"
FLOW_COLLECTOR="localhost:555"#fprobe can't distinguish IP packet from other (e.g. ARP)
#OTHER_ARGS="-f vlan&&ip -K 18 -n 5"
OTHER_ARGS="-f ip -K 18 -n 5"logserv:/usr/src# cat /etc/flow-tools/flow-capture.conf
# Configuration for flow-capture
#
# Robin Elfrink <robin@a1.nl>
#
# Every line is basically just the options to flow-capture, see
# flow-capture(1) for explanation.# local sensor
-w /data/netflow/net -V 5 -N 3 -n 95 127.0.0.1/127.0.0.1/555Заранее спасибо за помощь.
может глючит ?
почему именно flow-tools ?
у нас было nprobe , вопросов не было.
Фильтр некорректно задан был, уже работает.OTHER_ARGS="-f ip -K 18 -n 5" было,
OTHER_ARGS='-fvlan&&ip -K18 -n 5 -r2 -q10000 -t10000:10000000' стало