The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Сбор, анализ и визуализация информация с помощью NetFlow

06.08.2006 14:15

Статья рассказывает о том, как организовать сбор, обработку и визуализацию информации о сетевом трафике используя NetFlow.

  1. Главная ссылка к новости (http://xgu.ru/wiki/NetFlow...)
Автор новости: xguru
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/8024-netflow
Ключевые слова: netflow, traffic
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, edgarz (??), 10:11, 07/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    na onlamp tachno takaja stateika byla, god nazat :)
     
     
  • 2.2, chas (?), 10:19, 07/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    "Данная статья рассказывает о .... Она составлена на основе статей [1] и [2],",
    где
    [1] http://www.onlamp.com/pub/a/bsd/2005/08/18/Big_Scary_Daemons.html
    [2] http://www.onlamp.com/pub/a/bsd/2005/09/15/Big_Scary_Daemons.html
     

  • 1.3, TS (?), 16:04, 07/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пропущен зело хороший коллектор - ipcad - http://lionet.info/ipcad/
    Умеет работать через bpf(freebsd) / libipq(linux) что гарантирует отстутсвие потерянных пакетов.
     
     
  • 2.4, xguru (?), 17:23, 07/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Добавлен
     
  • 2.5, jumbo (?), 08:37, 08/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    через BPF гарантирует отстутсвие потерянных пакетов? не смешите мои тапочки!
     

  • 1.6, Slimm (??), 13:30, 08/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Собрал все эту канитель :)
    Вижу html отчеты (topten, overall) можно сделать вывод что данные в rrd-базе есть, а вот график пустой, только сетка.
    Подскажите где посмотреть что ни так
     
  • 1.7, xguru (?), 00:39, 09/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если данные в базе RRD есть, то и на картинке они тоже покажутся.
    Попробуйте выбрать другой масштаб, посмотреть за другой интервал времени.

    Обычно основная проблема именно с наполнением RRD базы,
    но раз данные в ней есть, значит дело за малым.

    А как проверяли базу?
    rrdtool dump
    ?

     
  • 1.8, Аноним (-), 15:48, 09/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну, что касается современной FreeBSD, то на ней Netflow лучше собирать с помощью ng_netflow. Berkeley Packet Filter достаточно здорово подгружает систему (маленькие сведения из истории: ng_netflow базируется на ng_ipacct, который появился, когда стало понятно, что как ни крути trafd, BPF всё равно будет "укладывать" операционку на машинках с большой нагрузкой по пакетам - речь шла о массовом Web-хостинге). Правда, я не совсем точно осведомлён, насколько хорошо скоординированы действия между Глебом Смирновым и Романом Палагиным по разработке этих Netgraph'овских модулей, но пока, вроде бы, оба модуля работали под "живой" нагрузкой, и ничего не падало.
    И ещё вопрос: а кто-нибудь доделал связку между любым Netflow-сенсором/коллектором и каким-нибудь из Routing Daemon'ов (в смысле, Zebra/Quagga/OpenBGPd)? А то как-то скучно видеть Netflow с незаполненными полями "Originating AS/Destination AS"... :)
     
  • 1.9, lj (?), 08:14, 11/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ребята, помогите плиз! Использую ipcad на FreeBSD 4.11: ipfw + natd.
    Расхождения с провайдером раза в 2-3. Стал копать, обнаружил, что в статистике ipcad-а, напр., не все посещенные в WWW адреса. Такое ощущение, что он теряет что-то.
    Куда копать? Кстати, как понять через что ipcad считает трафик: pcap | bpf ? Где это указывается ?
    Вкраце настройка ipcad-а такая:
    ===============================
    ....
    capture-ports enable;
    ....
    buffers = 64k; # пробовал разные значения - вижу, что влияет...
    ....
    # внутр. и внешний
    interface xl0;
    interface xl1;
    ....

    aggregate 192.168.1.0/24 strip 32;
    ....
    memory_limit = 9m;

    Нетфлоу нигде не используется.

     
  • 1.10, alice (?), 14:48, 16/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    там, кажется, в этот абзац закралась ошибка:
    ================
    Сенсор - демон, который слушает сеть и фиксирует
    данные сеанса. Также как Snort или любая другая система обнаружения вторжений,
    коллектор (может быть - сенсор?) должен иметь возможность подключиться к хабу, "зеркалированному" порту коммутатора или любому другому устройству, для просмотра сетевого трафика. Если вы используете систему пакетной фильтрации на базе BSD
    или Linux, то это превосходное место для коллектора  (сенсора?) Netflow, так как
    весь трафик будет проходить через эту точку. Сенсор будет собирать
    информацию о сеансах и сбрасывать ее в коллектор.
    ===============
    не правлю в вики, так как нет уверенности в правоте...
     
     
  • 2.11, xguru (?), 13:28, 28/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо!
    Как закралась ошибка абсолютно непонятно.

    Исправлено.

     

  • 1.12, Аноним (-), 16:44, 01/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У кого-нибуть удалос запустить softflowd тем скриптом что там лежит?
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру