[Sysadmins] анализатор netflow

[Slava Dubrovskiy]

01.12.2009 14:28, Гусев В.Ю. пишет:
> В сообщении от 25 ноября 2009 17:41:47 автор Slava Dubrovskiy написал:
>   
>>> В списке пакетов нашёл nfacct, но он без веб-интерфейса.
>>>       
>> Это не его задача. Его задача получать нетфлоу, аггрегировать по
>> заданным критериям и складывать в какую либо базу (или хранить в памяти).
>> Для получения отчетов существуют сторонние приложения. Вот список с
>> www.pmacct.org:
>>
>>     
> Настроил nfacct. В базу данные пишутся. Одно пока не понятно, как разделять 
> потоки для разных интерфейсов и для разных цисок? В таблице заполняются поля: 
> источник, назначение, порт источника, порт назначения, протокол, количество 
> пакетов и количество переданной информации. Это замечательно, но как понять 
> через какой интерфейс и какой циски это прошло?...
>   
Встречный вопрос: - а зачем? У вас через 2 циски ходят одинаковые пары IP?

Если очень хочется, то это делается через pretag.map. Посмотрите примеры
в pretag.map.example.
!
! A few examples sFlow-related. The format of the rules is the same of
'nfacctd' ones
! but some keys don't apply to it. Note that the format of 'pmacctd'
rules differs.
!
id=30 ip=192.168.1.1
id=31 ip=192.168.1.2

где IP это IP циски которая шлет netflow.

При этом в aggregate нужно добавить tag
Например так: aggregate: tag, src_host, dst_host

чтобы в базу в поле agent_id писалось 30 для циски с ip=192.168.1.1 и 31
для ip=192.168.1.2


-- 
WBR,
Dubrovskiy Vyacheslav

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : smime.p7s
Тип     : application/pkcs7-signature
Размер  : 3262 байтов
Описание: S/MIME Cryptographic Signature
Url     : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20091201/25a6241d/attachment.bin>