Работаем с Netflow

Case — Wed, 13 May 2009 14:14:11 +0000

Коллектор flow-capture

Установка:

$ cd /usr/ports/net-mgmt/flow-tools
$ make install clean

Прописываем в rc.conf:

flow_capture_enable="YES"
flow_capture_localip="127.0.0.1"

Запускаем:

$ /usr/local/etc/rc.d/flow_capture start
Starting flow_capture.

Проверяем:

$ sockstat -l4|grep flow
flowtoolsflow-captu 43982 1  udp4   127.0.0.1:8787        *:*

Сенсор softflowd

Установка:

$ cd /usr/ports/net-mgmt/softflowd
$ make install clean

Добавляем стартовый скрипт в /usr/local/etc/rc.d:

#!/bin/sh
# Softflowd loader
 
case $1 in
        start)
                softflowd -i vlan3 -n 127.0.0.1:8787
                echo 'Softflowd is loaded'
                ;;
        stop)
                softflowctl shutdown
                echo 'Softflowd is unloaded'
                ;;
        status)
                softflowctl statistics
                ;;
        *)
                echo "Usage: `basename $0` {start|stop|status}" >&2
                ;;
esac
exit 0

Основные ключи для softflowd:

     -n host:port
             Specify the host and port that the accounting datagrams are to be 
             sent to.
     -i interface
             Specify a network interface on which to listen for traffic.
             Either the -i or the -r options must be specified.

Запускаем:

$ /usr/local/etc/rc.d/softflowd start
Softflowd is loaded

Чтение данных

В каталоге /var/db/flows будут скапливаться файлы с данными.
Пример выборки – статистика по объёму трафика за один час:

$ flow-cat -t "17:00" -T "18:00" /var/db/flows/2009/2009-05/2009-05-13/ | flow-stat -f 15 
#  --- ---- ---- Report Information --- --- ---
#
# Fields:    Total
# Symbols:   Disabled
# Sorting:   None
# Name:      short summary
#
# Args:      flow-stat -f 15 
#
#
# Octets            Packets             MBytes
#
144830237           699315              144.830

Ссылки:

Case » netflow

Работаем с Netflow