Жълти листа - статии - профил на мрежовия трафик с fprobe и поточни инструменти

Предишен ◈ Следващото

Много често има проблем на счетоводната системните администратори на мрежовия трафик. По-долу ще покажем как да се реши този проблем, използвайки fprobe поток-сензор и комунални услуги от пакета за поточни инструменти.

Наречен от първоначалните условия:

На първо място, инсталиране на fprobe към сървъра:

На въпрос какво интерфейс за премахване на трафика, който трябва да се отговори с "eth1", както и въпросът за това къде да изпратите журналите - "192.168.2.10:9999". Пристанището може да бъде избрана произволно - най-важното, че на сървъра на наблюдение, той е свободен. Всъщност тази настройка интернет портал приключи, отидете на сървъра за мониторинг.

По-долу са /etc/flow-tools/flow-capture.conf файл към формуляра:

Създаване на директория за дневника:

И рестартиране на потока колектор:

Във всеки случай, се уверете, че колектора е слушане на правилния порт:

Ако всичко е наред - изходът ще изглежда по следния начин:

Ако колектора не се стартира - внимателно проверете настройките й.

След известно време в тази директория ще се събира трупи. Остава само да пишат скриптове за генериране на отчети въз основа на тези дневници. Създайте директория / корен / потоци, всички по-нататъшни действия, ние ще го произвеждат:

Flow.acl създадете файл, в който описваме необходимите списъци за контрол на достъпа, след което този файл ще се използва потока филтър инструмент:

Само не забравяйте, че не е необходимо, когато мрежите в този файл трябва да се обърнете на маската. Ако не сте свободни да работят с такива маски - използвайте IP-калкулатор.

Следващата стъпка е да се създаде report.conf файл, който ще се използва от програма потока доклада:

На този написването конфигурационните файлове е завършен и можете да започнете да пишете скриптове. Първо, създаване на скрипт за генериране на ежедневни отчети и да го запишете като stat_daily.sh. Тук е неговата оферта:

Осъществяване на скрипта изпълним и да го добавите към тичам в хронологичната:

След това, всеки ден в директория / Var / WWW / потока доклади / дневни отчети ще оформи трафика от предишния ден. Докладът ще изглежда така:

Отказах се от както аз бутам.
Повтарям ..
Така че предвид факта, че
1. поток сме написали на / реактивна / дневник / поток /
2. Филтрите са в /home/log/filter.acl
3. База в типа на мускулната

Създаване на таблица АКО НЕ СЪЩЕСТВУВА `raw` (
`Unix_secs` инт (11) неподписан NOT NULL подразбиране" 0 ",
`Unix_nsecs` инт (11) неподписан NOT NULL подразбиране" 0 ",
`Sysuptime` инт (11) неподписан NOT NULL подразбиране" 0 ",
`Exaddr` VARCHAR (45) utf8_unicode_ci съпоставя NOT NULL подразбиране" 0 "
`Dflows` инт (11) неподписан NOT NULL подразбиране" 0 ",
`Dpkts` инт (11) неподписан NOT NULL подразбиране" 0 ",
`Doctets` инт (11) неподписан NOT NULL подразбиране" 0 ",
`First` инт (11) неподписан NOT NULL подразбиране" 0 ",
`Last` инт (11) неподписан NOT NULL подразбиране" 0 ",
`Engine_type` TINYINT (3) неподписан NOT NULL подразбиране" 0 ",
`Engine_id` TINYINT (3) неподписан NOT NULL подразбиране" 0 ",
`Srcaddr` VARCHAR (45) utf8_unicode_ci съпоставя NOT NULL подразбиране" 0 "
`Dstaddr` VARCHAR (45) utf8_unicode_ci съпоставя NOT NULL подразбиране" 0 "
`Nexthop` VARCHAR (45) utf8_unicode_ci съпоставя NOT NULL подразбиране" 0 "
`Input` SMALLINT (5) неподписан NOT NULL подразбиране" 0 ",
`Output` SMALLINT (5) неподписан NOT NULL подразбиране" 0 ",
`Srcport` SMALLINT (5) неподписан NOT NULL подразбиране" 0 ",
`Dstport` SMALLINT (5) неподписан NOT NULL подразбиране" 0 ",
`Prot` TINYINT (3) неподписан NOT NULL подразбиране" 0 ",
`Tos` TINYINT (3) неподписан NOT NULL подразбиране" 0 ",
`Tcp_flags` TINYINT (3) неподписан NOT NULL подразбиране" 0 ",
`Src_mask` TINYINT (3) неподписан NOT NULL подразбиране" 0 ",
`Dst_mask` TINYINT (3) неподписан NOT NULL подразбиране" 0 ",
`Flag` TINYINT (1) неподписан NOT NULL подразбиране" 0 ",
Първичен ключ ( `unix_secs`,` srcaddr`, `dstaddr`,` srcport`, `dstport`)
) ДВИГАТЕЛ = MyISAM DEFAULT CHARSET = utf8 съпоставя = utf8_unicode_ci;

допълнително напиши shelovsky файл и го набута в корона, във файл посочи произволен брой файлове (от сегашните минус 30 минути в моя пример) в момента ние подбираме.
Той го бута в база данни / ЮЕсАр / хамбар / потока износа

Защото в $ (/ ЮЕсАр / хамбар / намерят / Var / дневник / поток / -name фута * -mmin -30); правя / ЮЕсАр / хамбар / потока котка $ аз | / ЮЕсАр / хамбар / потока nfilter -Foutputtraff -f /home/log/filter.acl | / ЮЕсАр / хамбар / потока износ -f3 -mUNIX_SECS, DOCTETS, първа, последна, SRCADDR, DSTADDR, SRCPORT, DSTPORT, PROT -u "Потребител: Парола: хост: порт: база: маса"; свършен

какво се случва, вие дори може да работи CZK 1 на минута, двойки не попадат, защото всеки запис получава уникален.
Разреша интерфейси
от ключово поле за въвеждане ()
където 1 и 2 интерфейси. Мисля, че можете да погледнете какво емпирично интерфейс. )

Да, ако хвърляне на файла не в shelovskom през примката, а след това се изкачи до базовата стойност на ляво (клеймо 00000000) Аз не знам защо, в началото на строителството беше толкова находка. потока котка <> /;
Тогава забелязах и копират чрез цикъл, докато всичко е нормално!

Ясно е :) аз ще знам :)

Отговорът е тук, в този ред:

Това е мястото, където имате трупи слиза? Ако се съди по текста на журналите за грешки, които не го правят, когато сценария чака да ги види

Дадох пример за своите каталози, съответно, ако сложите трупи до друга директория, тя трябва да бъде коригирана. )

> Уеб сървър може да бъде увеличен за достъп до отчетите
Prompt какво уеб сървър е най-добре да бъде конфигуриран да работи с трупи поток?

Prompt какво уеб сървър е най-добре да бъде конфигуриран да работи с трупи поток?

Мисля, че тук ще е напълно достатъчно.

Сега имаше само един voprosets: изглежда, че статистиката отчитат само в входящ трафик. Възможно ли е да се чувстват по същия начин и идва без много танци с тимпани?

по мое мнение, е все още там. просто не гледайте внимателно! )))

ето го избутва в основата
Защото в $ (/ ЮЕсАр / хамбар / намерят / Var / дневник / поток / -name фута * -mmin -30); правя / ЮЕсАр / хамбар / потока котка $ аз | / ЮЕсАр / хамбар / потока nfilter -Foutputtraff -f /home/log/filter.acl | / ЮЕсАр / хамбар / потока износ -f3 -mUNIX_SECS, DOCTETS, първа, последна, SRCADDR, DSTADDR, SRCPORT, DSTPORT, PROT -u "Потребител: Парола: хост: порт: база: маса"; свършен

около една проста уеб муцуната няма смисъл. IMHO. или трябва да напишете всички видове samopisny таксуване или nafig нужда. идеята със сигурност го има. но времето е крайно липсва)

Хе. Така че трябва всички клиенти на същата връзка в края на краищата, свързани? След това трябва само да ги запишете в ACL за потока филтъра. Идеята ще помогне

Честно казано аз не знам. Бих искал да погледнете какво се е случило в доклада. Не съм сигурен, че това дере същото SARG Webalizer или нещо разбираем ще генерира файл. В общи линии това е необходимо да се разгледа :)

3 Тя отдавна се чете, аз съм така yandeks.money хвърли отдавна беше. Много благодаря, че отговориха.

Благодаря ви :) И аз се опитвам да се отговори на всеки, който иска интересните и подходящи въпроси. от това за себе си аз съм се ползва под формата на нови знания в резултат на дискусии.

Много удобни според мен, той показва как всички посоки.
От fprobe трябва да премине параметрите на скрипт като време / обем / IP клиент / IP ресурс.

Имате ли скайп.

Задълбоченият четене човек-страница потока доклад ще ви помогне. Просто трябва да настроите правилния формат доклад.