[Comm] IP Traffic Accounting

[Alexei Takaseev]

On Thu, 12 Aug 2004 17:42:53 +0400
altex на crazy.ru wrote:

> Здравия всем участникам!
> 
> Сейчас занимаюсь вопросами сбора и анализа статистики о траффике в
> офисе, поэтому назрели вопросы. (Использую Компакт 2.3, тачка - P-200,
> Скорость 2МБит/c, два 100МБит/c интерфейса) Интересует детальная
> статистика - хост получатель и хост отправитель, порты (не
> обязательно) ,  число байт (IP пакеты целиком)
> 
> 1) ulog-acctd можно ли использовать или нет? Мнения очень расходятся,
> которые я видел. Говорят что он (как ulog) не все пакеты может успеть
> обработать и в результате потетрять. Но приимущества видно - наиболее
> полная статистика (особенно нравится что, указыавется в логах
> интерфейс приёмник и интерфейс источник, а также что не нужно
> перекомпиллировать ядро)
> 
> 2) Если всё-таки придем к выводу, что использование ulog-acctd не
> будет давать надёжной (с точностью до байта с IP Tables) статистики на
> тачке P200, то возникает вопрос - а чем можно ещё считать. Как вариант
> хотелось бы разобраться с возможностью iptables (может с пропатченным
> ядром?) собирать и передовать статистику по NetFlow. Насколько я понял
> это позволяет делать ещё ipcad, не имеющий отношения к iptables
> цепочкам и т.д., а собирающий через pcap, но тоже есть возможность
> потерять пакеты (**) Если это возможно, то чем и как? Тоесть что
> патчить, как при этом и что компилить...

ipcad умеет собирать статистику из многих источников. pcap этотолько
один из них. Научить его собирать данные из iptables особых проблем нет.
Но сбор статистики через ULOG чреват потерей части статистики при
интенсивном траффике. Вроде как имеется интерфейс ipq, который
гарантированно защищент от потерь статистики (пока демон не считает
скопившиеся данные происходит блокировка передачи IP-пакетов), то только
заставить работать его с этим интерфейсом мне не удалось. Вроде как
вышла новая версия 3.6.3, может там что-то и поменялось.