URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9976
[ Назад ]

Исходное сообщение
"вопрос по flow-tools"
Отправлено AlexandrV , 02-Мрт-06 20:26

У нас трафик собирается с двух удаленных шлюзов с установленным ipcad. Все приходит на шлюз с билинговой системой. Мне необходимо с помощью пакета flow-tools вытащить информацию, сколько прошло трафика через один шлюз, а сколько через другой. Как мне это сделать? Я пробовал вот такую цепочку, но ничего не получилось, выдает пустую строку.
flow-cat /flow/2006/2006-03/2006-03-02/ | flow-nfilter -Fip-exporter -v ADDR=xxx.xxx.xxx.xxx | flow-stat 2>/dev/null | grep "Total Octets"

Содержание

вопрос по flow-tools,citrin, 11:52 , 03-Мрт-06
- вопрос по flow-tools,AlexandrV, 12:57 , 03-Мрт-06
вопрос по flow-tools,veng, 12:09 , 03-Мрт-06
- вопрос по flow-tools,AlexandrV, 12:53 , 03-Мрт-06
  - вопрос по flow-tools,AlexandrV, 16:52 , 03-Мрт-06
    - вопрос по flow-tools,veng, 19:11 , 03-Мрт-06
      - вопрос по flow-tools,AlexandrV, 06:18 , 04-Мрт-06
        
        вопрос по flow-tools,veng, 12:21 , 05-Мрт-06
        
        вопрос по flow-tools,AlexandrV, 17:12 , 05-Мрт-06

Сообщения в этом обсуждении

"вопрос по flow-tools"
Отправлено citrin , 03-Мрт-06 11:52

>У нас трафик собирается с двух удаленных шлюзов с установленным ipcad. Все
>приходит на шлюз с билинговой системой. Мне необходимо с помощью пакета
>flow-tools вытащить информацию, сколько прошло трафика через один шлюз, а сколько
>через другой. Как мне это сделать? Я пробовал вот такую цепочку,
>но ничего не получилось, выдает пустую строку.
>
>flow-cat /flow/2006/2006-03/2006-03-02/ | flow-nfilter -Fip-exporter -v ADDR=xxx.xxx.xxx.xxx | flow-stat 2>/dev/null | grep "Total Octets"
Может лучше запустить два процесса flow-capture и писать в две разные директории?

"вопрос по flow-tools"
Отправлено AlexandrV , 03-Мрт-06 12:57

>Может лучше запустить два процесса flow-capture и писать в две разные директории?
>

Физически конечно можно, но требует дополнительных изменений в рабочую систему. Просто не хотелось бы экспериментировать как говорится наживую... Но за совет спасибо большое, если не получится как я планирую, то возможно придется делать так, как вы предлагаете.

"вопрос по flow-tools"
Отправлено veng , 03-Мрт-06 12:09

>У нас трафик собирается с двух удаленных шлюзов с установленным ipcad. Все
>приходит на шлюз с билинговой системой. Мне необходимо с помощью пакета
>flow-tools вытащить информацию, сколько прошло трафика через один шлюз, а сколько
>через другой. Как мне это сделать? Я пробовал вот такую цепочку,
>но ничего не получилось, выдает пустую строку.
>
>flow-cat /flow/2006/2006-03/2006-03-02/ | flow-nfilter -Fip-exporter -v ADDR=xxx.xxx.xxx.xxx | flow-stat 2>/dev/null | grep "Total Octets"
Проверь определение ip-exporter в конфигурации фильтров. Скорее всего оно отсутствует.

"вопрос по flow-tools"
Отправлено AlexandrV , 03-Мрт-06 12:53

>Проверь определение ip-exporter в конфигурации фильтров. Скорее всего оно отсутствует.
Вот отрывок файла filter.cfg:
filter-primitive ip-exp
  type ip-address
  permit @{ADDR:-0.0.0.0}
filter-definition ip-exporter
  match ip-exporter-address ip-exp

"вопрос по flow-tools"
Отправлено AlexandrV , 03-Мрт-06 16:52

Вот что заметил... Пытаюсь посмотреть IP-адреса Экспортеров, мне вот какая информация выдается
[root@flow /]# flow-cat /flow/2006/2006-03/ | flow-stat -f27
#  --- ---- ---- Report Information --- --- ---
#
# Fields:    Total
# Symbols:   Disabled
# Sorting:   None
# Name:      Exporter IP
#
# Args:      flow-stat -f27
#
#
# IPaddr         flows                 octets                packets
#
127.0.0.1        5797233               18706151212           63055069
Я считал, что Экспортер - это шлюз, который собирает трафик и отправляет его коллектору.... Или я чего-то не понимаю?

"вопрос по flow-tools"
Отправлено veng , 03-Мрт-06 19:11

>Вот что заметил... Пытаюсь посмотреть IP-адреса Экспортеров, мне вот какая информация выдается
>
>
>[root@flow /]# flow-cat /flow/2006/2006-03/ | flow-stat -f27
>#  --- ---- ---- Report Information --- --- ---
>#
># Fields:    Total
># Symbols:   Disabled
># Sorting:   None
># Name:      Exporter IP
>#
># Args:      flow-stat -f27
>#
>#
># IPaddr         flows                 octets                packets
>#
>127.0.0.1        5797233               18706151212           63055069
>
Не хочу тебя расстраивать, но IPCAD не имеет поля exaddr (Exporter IP), поэтому flow-capture заполнил его 127.0.0.1
>Я считал, что Экспортер - это шлюз, который собирает трафик и отправляет
>его коллектору.... Или я чего-то не понимаю?
Совершенно верно

"вопрос по flow-tools"
Отправлено AlexandrV , 04-Мрт-06 06:18

>Не хочу тебя расстраивать, но IPCAD не имеет поля exaddr (Exporter IP),
>поэтому flow-capture заполнил его 127.0.0.1
>
>>Я считал, что Экспортер - это шлюз, который собирает трафик и отправляет
>>его коллектору.... Или я чего-то не понимаю?
>
>Совершенно верно

т.е. в моем случае единственный вариант различить трафик по Экспортерам - это запустить два разных flow-capture? Или использовать вместо IPCAD другую утилиту, которая имеет поле exaddr?

"вопрос по flow-tools"
Отправлено veng , 05-Мрт-06 12:21

>т.е. в моем случае единственный вариант различить трафик по Экспортерам - это
>запустить два разных flow-capture? Или использовать вместо IPCAD другую утилиту, которая
>имеет поле exaddr?
В последней версии IPCAD (а возможно и не только) добавлены новые опции в ipcad.conf:
netflow engine-type 73; # v5 engine_type; 73='I' for "IPCAD"
netflow engine-id 1; # Useful to differentiate multiple ipcads.
Если на разных шлюзах выставить разные значения engine-id, то разделить трафик будет задачей тривиальной.
Единственное, НО! Это справедливо лишь для Netflow-формата 5 версии.

"вопрос по flow-tools"
Отправлено AlexandrV , 05-Мрт-06 17:12

>Если на разных шлюзах выставить разные значения engine-id, то разделить трафик будет
>задачей тривиальной.
>Единственное, НО! Это справедливо лишь для Netflow-формата 5 версии.

Спасибо большое, все получилось.