Начал разбираться с netflow. Поставил и настроил flowd (http://www.mindrot.org/flowd.html). Только не совсем понятно - как вести подсчёт? Вот вывод получаемого netflow-потока:

FLOW recv_time 2006-02-21T16:45:56 proto 6 tcpflags 11 tos 60 agent [195.46.125.1] src [80.221.9.127]:4662 dst [195.46.125.5]:27211 gateway [195.46.125.5] packets 2 octets 80 in_if 2 out_if 9 sys_uptime_ms 6w2d21h40m26s.848 time_sec 2006-02-21T16:26:45 time_nanosec 210804528 netflow ver 5 flow_start 6w2d21h40m24s.900 flow_finish 6w2d21h40m25s.060 src_AS 0 src_masklen 0 dst_AS 0 dst_masklen 24 engine_type 0 engine_id 0 seq 316227162 crc32 980d4d29

Как нужно суммировать? Только octets или octets * packets ??

И ещё - играют-ли какую-то роль in_if и out_if?

• flowd, подсчёт трафика.,sh_, 09:46 , 22-Фев-06
• flowd, подсчёт трафика.,kuralesovo, 09:52 , 22-Фев-06
  • flowd, подсчёт трафика.,kba, 06:13 , 26-Фев-06
    • flowd, подсчёт трафика.,sh_, 07:42 , 26-Фев-06
• flowd, подсчёт трафика.,Asg, 09:32 , 09-Мрт-06
• flowd, подсчёт трафика.,Asg, 09:36 , 09-Мрт-06
  • flowd, подсчёт трафика.,sh_, 09:47 , 09-Мрт-06
    • flowd, подсчёт трафика.,Asg, 09:51 , 09-Мрт-06
      • flowd, подсчёт трафика.,Gnom, 14:00 , 09-Мрт-06
        • flowd, подсчёт трафика.,Asg, 14:41 , 09-Мрт-06

Суммируем только октеты.
in_if и out_if - это snmp индексы входящего и исходящего интерфейсов...

>Начал разбираться с netflow. Поставил и настроил flowd (http://www.mindrot.org/flowd.html). Только не совсем
>понятно - как вести подсчёт? Вот вывод получаемого netflow-потока:
>
>FLOW recv_time 2006-02-21T16:45:56 proto 6 tcpflags 11 tos 60 agent [195.46.125.1] src
>[80.221.9.127]:4662 dst [195.46.125.5]:27211 gateway [195.46.125.5] packets 2 octets 80 in_if 2
>out_if 9 sys_uptime_ms 6w2d21h40m26s.848 time_sec 2006-02-21T16:26:45 time_nanosec 210804528 netflow ver 5
>flow_start 6w2d21h40m24s.900 flow_finish 6w2d21h40m25s.060 src_AS 0 src_masklen 0 dst_AS 0 dst_masklen
>24 engine_type 0 engine_id 0 seq 316227162 crc32 980d4d29
>
>Как нужно суммировать? Только octets или octets * packets ??
>
>И ещё - играют-ли какую-то роль in_if и out_if?

http://doc.trecom.tomsk.su/cisco/cc/td/doc/product/rtrmgmt/c...

здеся поля описаны

а время какое берётся?

time_sec ?

>а время какое берётся?

flow_start - flow_finish - время первого и последнего пакета в flow...

А как выделить вход/исход трафик.
То где src мой ip -это исход, а то где dst мой

А как выделить вход/исход трафик.
То где src мой ip -это исход, а то где dst мой ip - это входящий?
Может ли быть что src мой ip, а трафик входящий?

Не понятно, что сложности вызывает? Вам нужно считать трафик, пришедший на адрес (то есть проверять dst ip) и ушедший с него (src ip). А остальное вас не должно беспокоить...

>Не понятно, что сложности вызывает? Вам нужно считать трафик, пришедший .>на адрес
>(то есть проверять dst ip)
это будет входящий?

>и ушедший с него (src ip).
исходящий?

>А остальное вас не должно беспокоить...

Свою проблему я изложил здесь
_http://www.opennet.me/openforum/vsluhforumID1/64633.html

>>Не понятно, что сложности вызывает? Вам нужно считать трафик, пришедший .>на адрес
>>(то есть проверять dst ip)
>это будет входящий?
>
>>и ушедший с него (src ip).
>исходящий?
>
>>А остальное вас не должно беспокоить...
>
>Свою проблему я изложил здесь
>_http://www.opennet.me/openforum/vsluhforumID1/64633.html

flow-tools думаю лучше будет.

>flow-tools думаю лучше будет.
может быть, но мой друг снимает ей же статистику только с нормальной циски вполне доволен. Я же пытаюсь понять нормально у меня работает или нет, совпадание статистики вроде говорит что правильно,но есть странности которые я не могу понять