The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"вопрос по flow-tools"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"вопрос по flow-tools"  
Сообщение от AlexandrV (ok) on 02-Мрт-06, 20:26 
У нас трафик собирается с двух удаленных шлюзов с установленным ipcad. Все приходит на шлюз с билинговой системой. Мне необходимо с помощью пакета flow-tools вытащить информацию, сколько прошло трафика через один шлюз, а сколько через другой. Как мне это сделать? Я пробовал вот такую цепочку, но ничего не получилось, выдает пустую строку.

flow-cat /flow/2006/2006-03/2006-03-02/ | flow-nfilter -Fip-exporter -v ADDR=xxx.xxx.xxx.xxx | flow-stat 2>/dev/null | grep "Total Octets"

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "вопрос по flow-tools"  
Сообщение от citrin email(ok) on 03-Мрт-06, 11:52 
>У нас трафик собирается с двух удаленных шлюзов с установленным ipcad. Все
>приходит на шлюз с билинговой системой. Мне необходимо с помощью пакета
>flow-tools вытащить информацию, сколько прошло трафика через один шлюз, а сколько
>через другой. Как мне это сделать? Я пробовал вот такую цепочку,
>но ничего не получилось, выдает пустую строку.
>
>flow-cat /flow/2006/2006-03/2006-03-02/ | flow-nfilter -Fip-exporter -v ADDR=xxx.xxx.xxx.xxx | flow-stat 2>/dev/null | grep "Total Octets"

Может лучше запустить два процесса flow-capture и писать в две разные директории?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "вопрос по flow-tools"  
Сообщение от AlexandrV (ok) on 03-Мрт-06, 12:57 
>Может лучше запустить два процесса flow-capture и писать в две разные директории?
>


Физически конечно можно, но требует дополнительных изменений в рабочую систему. Просто не хотелось бы экспериментировать как говорится наживую... Но за совет спасибо большое, если не получится как я планирую, то возможно придется делать так, как вы предлагаете.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "вопрос по flow-tools"  
Сообщение от veng (ok) on 03-Мрт-06, 12:09 
>У нас трафик собирается с двух удаленных шлюзов с установленным ipcad. Все
>приходит на шлюз с билинговой системой. Мне необходимо с помощью пакета
>flow-tools вытащить информацию, сколько прошло трафика через один шлюз, а сколько
>через другой. Как мне это сделать? Я пробовал вот такую цепочку,
>но ничего не получилось, выдает пустую строку.
>
>flow-cat /flow/2006/2006-03/2006-03-02/ | flow-nfilter -Fip-exporter -v ADDR=xxx.xxx.xxx.xxx | flow-stat 2>/dev/null | grep "Total Octets"

Проверь определение ip-exporter в конфигурации фильтров. Скорее всего оно отсутствует.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "вопрос по flow-tools"  
Сообщение от AlexandrV (ok) on 03-Мрт-06, 12:53 
>Проверь определение ip-exporter в конфигурации фильтров. Скорее всего оно отсутствует.

Вот отрывок файла filter.cfg:

filter-primitive ip-exp
  type ip-address
  permit @{ADDR:-0.0.0.0}

filter-definition ip-exporter
  match ip-exporter-address ip-exp

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "вопрос по flow-tools"  
Сообщение от AlexandrV (ok) on 03-Мрт-06, 16:52 
Вот что заметил... Пытаюсь посмотреть IP-адреса Экспортеров, мне вот какая информация выдается

[root@flow /]# flow-cat /flow/2006/2006-03/ | flow-stat -f27
#  --- ---- ---- Report Information --- --- ---
#
# Fields:    Total
# Symbols:   Disabled
# Sorting:   None
# Name:      Exporter IP
#
# Args:      flow-stat -f27
#
#
# IPaddr         flows                 octets                packets
#
127.0.0.1        5797233               18706151212           63055069

Я считал, что Экспортер - это шлюз, который собирает трафик и отправляет его коллектору.... Или я чего-то не понимаю?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "вопрос по flow-tools"  
Сообщение от veng (ok) on 03-Мрт-06, 19:11 
>Вот что заметил... Пытаюсь посмотреть IP-адреса Экспортеров, мне вот какая информация выдается
>
>
>[root@flow /]# flow-cat /flow/2006/2006-03/ | flow-stat -f27
>#  --- ---- ---- Report Information --- --- ---
>#
># Fields:    Total
># Symbols:   Disabled
># Sorting:   None
># Name:      Exporter IP
>#
># Args:      flow-stat -f27
>#
>#
># IPaddr         flows                 octets                packets
>#
>127.0.0.1        5797233               18706151212           63055069
>
Не хочу тебя расстраивать, но IPCAD не имеет поля exaddr (Exporter IP), поэтому flow-capture заполнил его 127.0.0.1

>Я считал, что Экспортер - это шлюз, который собирает трафик и отправляет
>его коллектору.... Или я чего-то не понимаю?

Совершенно верно

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "вопрос по flow-tools"  
Сообщение от AlexandrV (ok) on 04-Мрт-06, 06:18 
>Не хочу тебя расстраивать, но IPCAD не имеет поля exaddr (Exporter IP),
>поэтому flow-capture заполнил его 127.0.0.1
>
>>Я считал, что Экспортер - это шлюз, который собирает трафик и отправляет
>>его коллектору.... Или я чего-то не понимаю?
>
>Совершенно верно


т.е. в моем случае единственный вариант различить трафик по Экспортерам - это запустить два разных flow-capture? Или использовать вместо IPCAD другую утилиту, которая имеет поле exaddr?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "вопрос по flow-tools"  
Сообщение от veng (ok) on 05-Мрт-06, 12:21 
>т.е. в моем случае единственный вариант различить трафик по Экспортерам - это
>запустить два разных flow-capture? Или использовать вместо IPCAD другую утилиту, которая
>имеет поле exaddr?

В последней версии IPCAD (а возможно и не только) добавлены новые опции в ipcad.conf:

netflow engine-type 73;         # v5 engine_type; 73='I' for "IPCAD"
netflow engine-id 1;            # Useful to differentiate multiple ipcads.

Если на разных шлюзах выставить разные значения engine-id, то разделить трафик будет задачей тривиальной.
Единственное, НО! Это справедливо лишь для Netflow-формата 5 версии.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "вопрос по flow-tools"  
Сообщение от AlexandrV (ok) on 05-Мрт-06, 17:12 
>Если на разных шлюзах выставить разные значения engine-id, то разделить трафик будет
>задачей тривиальной.
>Единственное, НО! Это справедливо лишь для Netflow-формата 5 версии.


Спасибо большое, все получилось.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру