Случайно заметил, что коллектор стал дублировать флоусы.
В выполненной расшифровке выглядит это примерно так.
#:unix_secs,exaddr,doctets,srcaddr,dstaddr,input,output,srcport,dstport,prot,tos
1183764294,195.x.x.x,40,59.36.101.3,78.y.y.y,253,4,6000,2967,6,0
1183764294,195.x.x.x,40,59.36.101.3,78.y.y.y,253,4,6000,2967,6,0
1183764294,195.x.x.x,40,59.36.101.3,78.y.y.y,253,4,6000,2967,6,0
1183764294,195.x.x.x,40,59.36.101.3,78.y.y.y,253,4,6000,2967,6,0На всякий случай расшифровку выполнял след.образом FORMAT="UNIX_SECS,EXADDR,DOCTETS,SRCADDR,DSTADDR,INPUT,OUTPUT,SRCPORT,DSTPORT,PROT,TOS"
flow-cat -m $PATH_TO_FLOW/ft-v05.2007-07-08.000000+0400 | flow-nfilter -f $FILTER_FILE -Falls| flow-export -f2 -m$FORMAT Коллектор на этой машине эксплуатировался очень давно. Все было в порядке. У нас 2 коллектора. Один используется биллинговой системой и крутится на linux. Второй (который стал глючить) используется для расшифровок и статистики на freebsd. Когда все было нормально, то обсчитанный трафик на обоих коолекторах совпадал. Сейчас наблюдается странная картина. flow-tools на free-bsd стал показывать обсчитанные объемы трафика больше (иногда в 2 раза) при одинаковых условиях выборки. Причем это происходит не каждый день. Есть дни, когда все совпадает. Даже если сделать расшифровку за 1 сутки, то умножение флоусов идет как бы волнами. То есть, то нет.
Есть подозрение, что возникло это всвязи с апгрейдом системы. Подключили дисковый массив по оптике и для этого пришлось проапдейтить систему до FreeBSD 6.2-STABLE FreeBSD. Думали, что из-за flow-tools-0.67, и поставили flow-tools-0.68_4 из портов. Тоже не помогло.
Помогите люди добрые как диагносцировать проблему.
Коллектор запущен:
/usr/local/bin/flow-capture -D -w /data/netflow/ -n3 -S5 -N2 -z9 0/0/2055 &
|
