Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
abills:docs:manual:other:flowtools:ru [2015/07/08 13:11] andriy [Debian] |
abills:docs:manual:other:flowtools:ru [2017/10/20 14:40] (текущий) anton [CentOS] |
||
|---|---|---|---|
| Строка 3: | Строка 3: | ||
| Пакет утилит для работы с NetFlow потоками отправляемыми маршрутизаторами [[http://www.cisco.com/|Cisco]] или [[http://www.juniper.net/|Juniper]]. | Пакет утилит для работы с NetFlow потоками отправляемыми маршрутизаторами [[http://www.cisco.com/|Cisco]] или [[http://www.juniper.net/|Juniper]]. | ||
| - | # cd /usr/ports/net-mgmt/flow-tools | + | # pkg install flow-tools |
| - | # make | + | |
| - | # make install | + | |
| Запускаем | Запускаем | ||
| Строка 22: | Строка 20: | ||
| **-w /usr/abills/var/log/ipn/** - Каталог, в котором сохраняются файлы с данными netflow. | **-w /usr/abills/var/log/ipn/** - Каталог, в котором сохраняются файлы с данными netflow. | ||
| - | **0/0/9995** - по порядку: адрес, на котором коллектор будет принимать netflow, адрес с которого коллектор будет принимать netflow и порт, на который коллектор будет принимать netflow. Если первый заменить на 0, то коллектор будет принимать на любой адрес из доступных интерфейсов, если второй заменить на 0, то коллектор будет принимать netflow данные с любых адресов. Этого делать не рекомендуется по одной простой причине: netflow не имеет никаких средств авторизации, поэтому если адрес, на котором коллектор принимает netflow, доступен кому-то еще, то злоумышленник может послать ложные данные. Учитывая то, что данные netflow могут использоваться как для расчетов, так и выявления сетевых проблем и аномалий, лучше обезопаситься и задать все жестко.\\ | + | **0/0/9996** - по порядку: адрес, на котором коллектор будет принимать netflow, адрес с которого коллектор будет принимать netflow и порт, на который коллектор будет принимать netflow. Если первый заменить на 0, то коллектор будет принимать на любой адрес из доступных интерфейсов, если второй заменить на 0, то коллектор будет принимать netflow данные с любых адресов. Этого делать не рекомендуется по одной простой причине: netflow не имеет никаких средств авторизации, поэтому если адрес, на котором коллектор принимает netflow, доступен кому-то еще, то злоумышленник может послать ложные данные. Учитывая то, что данные netflow могут использоваться как для расчетов, так и выявления сетевых проблем и аномалий, лучше обезопаситься и задать все жестко.\\ |
| Кроме того, можно запустить несколько коллекторов на разных адресах и/или портах, так же один колектор может работать с несколькими роутерами одновременно и различать их по полю engine-id.\\ | Кроме того, можно запустить несколько коллекторов на разных адресах и/или портах, так же один колектор может работать с несколькими роутерами одновременно и различать их по полю engine-id.\\ | ||
| Строка 34: | Строка 32: | ||
| flow_capture_port="9996" | flow_capture_port="9996" | ||
| flow_capture_flags="-S 5 -n 287 -N 0 -d 5" | flow_capture_flags="-S 5 -n 287 -N 0 -d 5" | ||
| + | |||
| + | старт flow_capture | ||
| + | |||
| + | /usr/local/etc/rc.d/flow_capture start | ||
| ===Запуск нескольких демонов flow_capture=== | ===Запуск нескольких демонов flow_capture=== | ||
| Строка 48: | Строка 50: | ||
| flow_capture_r1_port="9996" | flow_capture_r1_port="9996" | ||
| flow_capture_r1_flags="-S 5 -n 287 -N 0 -d 5" | flow_capture_r1_flags="-S 5 -n 287 -N 0 -d 5" | ||
| - | ==== Запуск нескольких демонов flow_capture ==== | ||
| - | Иногда возникают ситуации когда нужно запустить несколько процессов flow_capture для получения flow потоков от разных серверов доступа. | + | ====== Ubuntu / Debian ====== |
| - | + | ||
| - | **/etc/rc.conf** | + | |
| - | + | ||
| - | flow_capture_enable="YES" | + | |
| - | flow_capture_profiles="r1 r2" | + | |
| - | # описание первого демона на порту 9997 | + | |
| - | flow_capture_r2_datadir="/usr/abills/var/log/ipn/" | + | |
| - | flow_capture_r2_port="9997" | + | |
| - | flow_capture_r2_flags="-S 5 -n 1400 -N 0 -d 5" | + | |
| - | # описание второго демона 9996 | + | |
| - | flow_capture_r1_datadir="/usr/abills/var/log/ipn2/" | + | |
| - | flow_capture_r1_port="9996" | + | |
| - | flow_capture_r1_flags="-S 5 -n 287 -N 0 -d 5" | + | |
| - | + | ||
| - | ====== Debian ====== | + | |
| Установка flow-tools: | Установка flow-tools: | ||
| # apt-get install flow-tools | # apt-get install flow-tools | ||
| Запускаем flow-tools: | Запускаем flow-tools: | ||
| + | # mkdir -p /usr/abills/var/log/ipn/ | ||
| + | # chown flow-tools /usr/abills/var/log/ipn/ | ||
| # flow-capture -S 5 -n 287 -N 0 -d 5 -w /usr/abills/var/log/ipn/ 0/0/9996 | # flow-capture -S 5 -n 287 -N 0 -d 5 -w /usr/abills/var/log/ipn/ 0/0/9996 | ||
| Строка 94: | Строка 82: | ||
| Меняем конфиг: | Меняем конфиг: | ||
| - | # nano /etc/flow-tools/flow-capture.conf | + | # echo "-S 5 -n 287 -N 0 -d 5 -w /usr/abills/var/log/ipn/ 0/0/9996" > /etc/flow-tools/flow-capture.conf |
| - | + | ||
| - | Добавляем в него ''-S 5 -n 287 -N 0 -d 5 -w /usr/abills/var/log/ipn/ 0/0/9996'' строку. | + | |
| Автозапуск: | Автозапуск: | ||
| # update-rc.d flow-capture defaults | # update-rc.d flow-capture defaults | ||
| # update-rc.d flow-capture enable | # update-rc.d flow-capture enable | ||
| + | | ||
| + | | ||
| + | На Debian 8 для нужно создать ссылки, иначе traffic2sql работать не будет: | ||
| + | # ln -s `which flow-cat` /usr/local/bin/flow-cat | ||
| + | # ln -s `which flow-print` /usr/local/bin/flow-print | ||
| + | ====== CentOS ====== | ||
| + | Устанавливаем flow-tools с пакетов: | ||
| + | # yum install -y flow-tools | ||
| + | |||
| + | Создаем папку для логов: | ||
| + | # mkdir -p /usr/abills/var/log/ipn/ | ||
| + | # chown -R flow-tools /usr/abills/var/log/ipn/ | ||
| + | |||
| + | Запустить flow-tools командой: | ||
| + | # flow-capture -S 5 -n 287 -N 0 -w /usr/abills/var/log/ipn/ 0/0/9996 | ||
| + | Где: | ||
| + | |||
| + | -S 5 - каждые 5 минут коллектор будет скидывать статистику о своей работе в лог. Самое интересное там - это количество потерянных посылок, которые не дошли до коллектора. | ||
| + | |||
| + | -n 287 - количество ротаций файлов с записями о соединениях в сутки. 287 означает создание нового файла с данными netflow каждые 5 минут. | ||
| + | |||
| + | -N 0 - так называемый nesting_level; определяет структуру директорий которая, будет создаваться при записи файлов с соединениями, 0 - файл с данными netflow в каталоге. | ||
| + | |||
| + | -d 5 - Уровень отладки. Используется только для теста или выявления аномалий. Можно добавить, если есть проблемы. | ||
| + | |||
| + | -w /usr/abills/var/log/ipn/ - Каталог, в котором сохраняются файлы с данными netflow. | ||
| + | |||
| + | 0/0/9995 - по порядку: адрес, на котором коллектор будет принимать netflow, адрес с которого коллектор будет принимать netflow и порт, на который коллектор будет принимать netflow. Если первый заменить на 0, то коллектор будет принимать на любой адрес из доступных интерфейсов, если второй заменить на 0, то коллектор будет принимать netflow данные с любых адресов. Этого делать не рекомендуется по одной простой причине: netflow не имеет никаких средств авторизации, поэтому если адрес, на котором коллектор принимает netflow, доступен кому-то еще, то злоумышленник может послать ложные данные. Учитывая то, что данные netflow могут использоваться как для расчетов, так и выявления сетевых проблем и аномалий, лучше обезопаситься и задать все жестко. | ||
| + | |||
| + | ===Автозапуск=== | ||
| + | Создаем папку для логов и записываем наши настройки: | ||
| + | # echo 'OPTIONS="-S 5 -n 287 -N 0 -w /usr/abills/var/log/ipn/ 0/0/9996"' > /etc/sysconfig/flow-capture | ||
| + | Добавляем flow-capture в автозагрузку: | ||
| + | chkconfig --add flow-capture | ||
| + | chkconfig --level 345 flow-capture on | ||