URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7817
[ Назад ]

Исходное сообщение
"NetFlow + NetFlowMet + fd_filter"
Отправлено Nexus_SV , 26-Апр-05 11:31

Добрый день, Уважаемые Знатоки маршрутизаторов Cisco.
Ситуация такая: включил на циске (2610) генерацию нетфлоу-статистики, установил и запустил на FreeBSD-машинке NetFlowMet + NeMaC
Раз в полчаса трафик из свопа перегоняется в файл, раз в час этот файл обрабатывается проводится через fd_filter и потом загоняется в MySQL-базу.
Собственно вопрос: обнаружилось, что файл на выходе после fd_filter пустой :-( ...
прогнал руками: fd_filter format.file 20050425225017.flows |grep -v "#" > out.log
ошибок никаких не выдает, а out.log пустой :-(
Формат сверял - правильный, на всякий случай вот формат файл:
---===format.file===---
Format:
sourcepeeraddress
destpeeraddress
tooctets
fromoctets
topdus
frompdus
sourcetransaddress
desttransaddress
sourcetranstype
flowkind
flowindex
firsttime
lasttime
flowruleset;
---===format.file===---
Огромное спасибо за любую помощь :-)

Содержание

NetFlow + NetFlowMet + fd_filter,sh_, 11:39 , 26-Апр-05
- NetFlow + NetFlowMet + fd_filter,Nexus_SV, 11:54 , 26-Апр-05
  - NetFlow + NetFlowMet + fd_filter,sh_, 12:19 , 26-Апр-05
    - NetFlow + NetFlowMet + fd_filter,Nexus_SV, 12:22 , 26-Апр-05
      - NetFlow + NetFlowMet + fd_filter,sh_, 12:23 , 26-Апр-05
        
        NetFlow + NetFlowMet + fd_filter,Nexus_SV, 12:43 , 26-Апр-05
И ещё вопросик в догонку :-),Nexus_SV, 13:47 , 26-Апр-05

Сообщения в этом обсуждении

"NetFlow + NetFlowMet + fd_filter"
Отправлено sh_ , 26-Апр-05 11:39

Точно не помню, как делается, но когда я собирал статистику, fd_filter ужасно глючил. При чем разные версии fd_filter выдавали разные значения. В конце концов я на него забил и начал агрегировать логи сразу же в MySQL. Когда искал в интернете, сложилось впечатление, что так все делают...

"NetFlow + NetFlowMet + fd_filter"
Отправлено Nexus_SV , 26-Апр-05 11:54

>Точно не помню, как делается, но когда я собирал статистику, fd_filter ужасно
>глючил. При чем разные версии fd_filter выдавали разные значения. В конце
>концов я на него забил и начал агрегировать логи сразу же
>в MySQL. Когда искал в интернете, сложилось впечатление, что так все
>делают...
спасибо за ответ :-)
но у меня поток трафика очень большой .. соответсвенно аккумуляция огромная и как следствие полученные данные превышают реальные в несколько раз :-(
Может у кого-то будут другие предложения??

"NetFlow + NetFlowMet + fd_filter"
Отправлено sh_ , 26-Апр-05 12:19

Я думаю, что превышают из за того, что нужно командочкой REPLACE, а не INSERT добавлять строчки в таблицу...

"NetFlow + NetFlowMet + fd_filter"
Отправлено Nexus_SV , 26-Апр-05 12:22

>Я думаю, что превышают из за того, что нужно командочкой REPLACE, а
>не INSERT добавлять строчки в таблицу...
Хм... как-то и не подумал я :-)
и насколько точная у тебя статистика получается, собранная таким образом?

"NetFlow + NetFlowMet + fd_filter"
Отправлено sh_ , 26-Апр-05 12:23

Контролировал iptables'ом. В общем совпадает... :)

"NetFlow + NetFlowMet + fd_filter"
Отправлено Nexus_SV , 26-Апр-05 12:43

>Контролировал iptables'ом. В общем совпадает... :)

Спасибо большое за идею...
Интересно - кто и как ещё из такиз ситуаций выходил ...

"И ещё вопросик в догонку :-)"
Отправлено Nexus_SV , 26-Апр-05 13:47

И ещё вопрос по этой же теме ...
Получается так, что у меня в файле *.flows исходящий трафик всегда 0
Вот, например, с одного ипа 11.11.11.11 отправлено на второй 22.22.22.22 19 байт и принято 17 ...
у меня в файле почему-то не таким образом:
"11.11.11.11 22.22.22.22 19 17"
а таким:
"11.11.11.11 22.22.22.22 19 0
22.22.22.22 11.11.11.11 17 0"
Кто-то знает в чем может быть проблема?
заранее спасибо за ответы....