Настроена циска, снимаются потоки NetFlowMet, ридер, а вот fd_filter какие-то странные результаты выдает...
firsttime lasttime destpeeraddress sourcepeeraddress d_topdus d_tooctets
32210058 32210854 81.2.12.161 195.161.118.102 4294967247 4294959192NeMaC читает каждые 4 минуты, кроном каждые 10 мин. он прибиваеться, лог переименовываеться, потом опять пускаеться NeMaC из скрипта, а дальше fd_filter считает из переименованного файла. Ненормальность эта всегда начинаеться после того как NeMaC в последний раз перед убийством читает из коллектора. Я думал, может там нестыковка во времени, но ему хоть минута, хоть день все равно. Рулезы я взял стандартные rules.x_ip, но и свои писал, результат тот же.
только что заметил: флов из ридера начинаеться, допустим в 11:53, следующий забор идет в 11:55 и т.д., а в обработанном сначала идет 11:55, а тот что за 11:53 пишеться в конце и вот он-то и глючный
Сделал downgrade c NeTraMet v4.4 на v4.3 и _эти_ глюки исчезли, при всех оставшихся скриптах...
>Сделал downgrade c NeTraMet v4.4 на v4.3 и _эти_ глюки исчезли, при
>всех оставшихся скриптах...
А версию 4.5b8 не пробовали?>NeMaC читает каждые 4 минуты, кроном каждые 10 мин. он прибиваеться
ИМХО сия тактика не есть гуд. Т.е. не надо прибивать немака каждые
10 минут, это СЛИШКОМ часто. Прибивайте его раз в сутки, плюс рекомендую
интервал вычитывания флова из коллектора (опция -с) поставить ровно в 561 секунду. Почему в 561? потому как в сутках 86400 секунд, 86400/561 = 154
сброса флова , последний сброс приходится на 561*154 = 86394 секунду, т.е.
за 6 секунд до того, как немак будет убит кроном он успеет сдампить то что насобирал коллектор за последние ~6 минут.