Статья (http://xgu.ru/wiki/NetFlow) рассказывает о том, как организовать сбор, обработку и визуализацию информации о сетевом трафике используя NetFlow.URL: http://xgu.ru/wiki/NetFlow
Новость: http://www.opennet.me/opennews/art.shtml?num=8024
na onlamp tachno takaja stateika byla, god nazat :)
"Данная статья рассказывает о .... Она составлена на основе статей [1] и [2],",
где
[1] http://www.onlamp.com/pub/a/bsd/2005/08/18/Big_Scary_Daemons...
[2] http://www.onlamp.com/pub/a/bsd/2005/09/15/Big_Scary_Daemons...
Пропущен зело хороший коллектор - ipcad - http://lionet.info/ipcad/
Умеет работать через bpf(freebsd) / libipq(linux) что гарантирует отстутсвие потерянных пакетов.
Добавлен
через BPF гарантирует отстутсвие потерянных пакетов? не смешите мои тапочки!
Собрал все эту канитель :)
Вижу html отчеты (topten, overall) можно сделать вывод что данные в rrd-базе есть, а вот график пустой, только сетка.
Подскажите где посмотреть что ни так
Если данные в базе RRD есть, то и на картинке они тоже покажутся.
Попробуйте выбрать другой масштаб, посмотреть за другой интервал времени.Обычно основная проблема именно с наполнением RRD базы,
но раз данные в ней есть, значит дело за малым.А как проверяли базу?
rrdtool dump
?
Ну, что касается современной FreeBSD, то на ней Netflow лучше собирать с помощью ng_netflow. Berkeley Packet Filter достаточно здорово подгружает систему (маленькие сведения из истории: ng_netflow базируется на ng_ipacct, который появился, когда стало понятно, что как ни крути trafd, BPF всё равно будет "укладывать" операционку на машинках с большой нагрузкой по пакетам - речь шла о массовом Web-хостинге). Правда, я не совсем точно осведомлён, насколько хорошо скоординированы действия между Глебом Смирновым и Романом Палагиным по разработке этих Netgraph'овских модулей, но пока, вроде бы, оба модуля работали под "живой" нагрузкой, и ничего не падало.
И ещё вопрос: а кто-нибудь доделал связку между любым Netflow-сенсором/коллектором и каким-нибудь из Routing Daemon'ов (в смысле, Zebra/Quagga/OpenBGPd)? А то как-то скучно видеть Netflow с незаполненными полями "Originating AS/Destination AS"... :)
ребята, помогите плиз! Использую ipcad на FreeBSD 4.11: ipfw + natd.
Расхождения с провайдером раза в 2-3. Стал копать, обнаружил, что в статистике ipcad-а, напр., не все посещенные в WWW адреса. Такое ощущение, что он теряет что-то.
Куда копать? Кстати, как понять через что ipcad считает трафик: pcap | bpf ? Где это указывается ?
Вкраце настройка ipcad-а такая:
===============================
....
capture-ports enable;
....
buffers = 64k; # пробовал разные значения - вижу, что влияет...
....
# внутр. и внешний
interface xl0;
interface xl1;
....aggregate 192.168.1.0/24 strip 32;
....
memory_limit = 9m;Нетфлоу нигде не используется.
там, кажется, в этот абзац закралась ошибка:
================
Сенсор - демон, который слушает сеть и фиксирует
данные сеанса. Также как Snort или любая другая система обнаружения вторжений,
коллектор (может быть - сенсор?) должен иметь возможность подключиться к хабу, "зеркалированному" порту коммутатора или любому другому устройству, для просмотра сетевого трафика. Если вы используете систему пакетной фильтрации на базе BSD
или Linux, то это превосходное место для коллектора (сенсора?) Netflow, так как
весь трафик будет проходить через эту точку. Сенсор будет собирать
информацию о сеансах и сбрасывать ее в коллектор.
===============
не правлю в вики, так как нет уверенности в правоте...
Спасибо!
Как закралась ошибка абсолютно непонятно.Исправлено.
У кого-нибуть удалос запустить softflowd тем скриптом что там лежит?