Мар 27 2010

flow-tools. Запись и анализ сетевого трафика.

Не так давно я писал о установке ipcad, там я говорил о том, что ipcad умеет отливать состояние трафика по netflow. Теперь я попытаюсь рассказать, что теперь делать с этой статистикой.
Для того, что бы проанализировать netflow, в первую очередь нужно его сохранить, записать на диск. Для этого служат спациальные коллекторы netflow. В состав набора утилит по работе с netflow, netflow-tools входит flow-capture, это и есть коллектор netflow.
В общем начнем с установки flow-tools:

cd /usr/ports/net-mgmt/flow-tools
make install clean


Настройка flow-capture фактически сводится к установке стартовых флагов, которые добавляются в /etc/rc.conf.
Флаги можно использовать такие:

# Разрешаем старт flow_capture
flow_capture_enable="YES"
#Указываем ip адрес на котором будет слушать flow_capture
flow_capture_localip="89.252.34.107"
#Делаем 2 разных коллектора трафика для 2 роутеров
flow_capture_profiles="router1 router2"
#Директория где будут сохраняться принятые флоу записи для первого роутера
flow_capture_router1_datadir="/var/db/flows/router1"
#Порт на котором слушает флоу для первый роутера
flow_capture_router1_port="4444"
#Флаги для первого роутера
flow_capture_router1_flags="-E20G -n287 -N-2"
#Далее аналогично, но для второго роутера
flow_capture_router2_datadir="/var/db/flows/router2"
flow_capture_router2_port="4445"
flow_capture_router2_flags="-E5G -n287 -N-2"

Теперь о примененных флагах:
-E20G — это объем записанных флоу пакетов, как только эта цифра превысит установленное значение, самые старые файлы начнут удаляться. Важно рассчитать примерный объем, который вам нужен. То есть если за месяц ваш роутер генерирует 5Гиг флоу, то что бы хранить трафик за 3 месяца, нужно установть в 15Гиг. Ну или с небольшим запасом.

-n287 — число ротаций за сутки, фактически сколько отдельных файлов флоу будет записано в сутки. 287 ротаций — это 1 файл каждые 5 минут.

-N-2 — вид в каком будут хранится файлы флоу на диске. Или правильней сказать структура хранения файлов. В настоящем случае это будет YYYY-MM/YYYY-MM-DD/flow-file — то есть каталог с год-месяц/год-месяц-день/и сами файлы.

Файлы записываются в виде ft-v05.2010-03-27.090000+0200, тот файл в который пишется в текущий момент имеет в начале tmp, вместо ft.

Ну, с тем как записать сведения о трафике мы разобрались. Теперь надо разобраться, как же его просмотреть и проанализировать.
Для этого служат другие утилиты из пакета flow-tools.
К примеру, что бы просмотреть содержимое файла флоу, нужно выполнить:

flow-cat ft-v05.2010-03-27.090000+0200 |flow-print |less

Это мы просмотрели содержимое файла ft-v05.2010-03-27.090000+0200.
Соответственно просмотреть все файлы, можно такой командой:

flow-cat ft-*|flow-print|less

Для того, что бы перевести содержимое файлов флоу в другой формат, нужно воспользоваться командой flow-export. Эта утилита позволяет экспортивать flow файлы в несколько форматов, наиболее интересным из которых, по моему мнению, является экспорт в csv файл.
Для экспорта в csv файл, команда выглядит так:

flow-cat ft-v05.2010-01-12.190000+0200 | flow-export -f 2 | less

Утилита flow-stat позволяет создавать различные отчеты. К примеру выявление наиболее активных «качальщиков» — генераторов трафика. Вещь полезная.

flow-cat ft-v05.2010-01-12.190000+0200 | flow-stat -f 9 -S 2 |less

Ну а самое главное и полезное, это то, что в любом случае, имея информацию о трафике, вы в любой момент сможете отчитаться о том, что происходило с клиентом. По моему мнению, это самое главное.

Добавить в закладки:

google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru

Украинская Баннерная Сеть