Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
abills:docs:manual:other:flowtools:ru [2015/08/12 12:47] andriy [CentOS] |
abills:docs:manual:other:flowtools:ru [2017/10/20 14:40] (текущий) anton [CentOS] |
||
|---|---|---|---|
| Строка 3: | Строка 3: | ||
| Пакет утилит для работы с NetFlow потоками отправляемыми маршрутизаторами [[http://www.cisco.com/|Cisco]] или [[http://www.juniper.net/|Juniper]]. | Пакет утилит для работы с NetFlow потоками отправляемыми маршрутизаторами [[http://www.cisco.com/|Cisco]] или [[http://www.juniper.net/|Juniper]]. | ||
| - | # cd /usr/ports/net-mgmt/flow-tools | + | # pkg install flow-tools |
| - | # make | + | |
| - | # make install | + | |
| Запускаем | Запускаем | ||
| Строка 22: | Строка 20: | ||
| **-w /usr/abills/var/log/ipn/** - Каталог, в котором сохраняются файлы с данными netflow. | **-w /usr/abills/var/log/ipn/** - Каталог, в котором сохраняются файлы с данными netflow. | ||
| - | **0/0/9995** - по порядку: адрес, на котором коллектор будет принимать netflow, адрес с которого коллектор будет принимать netflow и порт, на который коллектор будет принимать netflow. Если первый заменить на 0, то коллектор будет принимать на любой адрес из доступных интерфейсов, если второй заменить на 0, то коллектор будет принимать netflow данные с любых адресов. Этого делать не рекомендуется по одной простой причине: netflow не имеет никаких средств авторизации, поэтому если адрес, на котором коллектор принимает netflow, доступен кому-то еще, то злоумышленник может послать ложные данные. Учитывая то, что данные netflow могут использоваться как для расчетов, так и выявления сетевых проблем и аномалий, лучше обезопаситься и задать все жестко.\\ | + | **0/0/9996** - по порядку: адрес, на котором коллектор будет принимать netflow, адрес с которого коллектор будет принимать netflow и порт, на который коллектор будет принимать netflow. Если первый заменить на 0, то коллектор будет принимать на любой адрес из доступных интерфейсов, если второй заменить на 0, то коллектор будет принимать netflow данные с любых адресов. Этого делать не рекомендуется по одной простой причине: netflow не имеет никаких средств авторизации, поэтому если адрес, на котором коллектор принимает netflow, доступен кому-то еще, то злоумышленник может послать ложные данные. Учитывая то, что данные netflow могут использоваться как для расчетов, так и выявления сетевых проблем и аномалий, лучше обезопаситься и задать все жестко.\\ |
| Кроме того, можно запустить несколько коллекторов на разных адресах и/или портах, так же один колектор может работать с несколькими роутерами одновременно и различать их по полю engine-id.\\ | Кроме того, можно запустить несколько коллекторов на разных адресах и/или портах, так же один колектор может работать с несколькими роутерами одновременно и различать их по полю engine-id.\\ | ||
| Строка 53: | Строка 51: | ||
| flow_capture_r1_flags="-S 5 -n 287 -N 0 -d 5" | flow_capture_r1_flags="-S 5 -n 287 -N 0 -d 5" | ||
| - | ====== Debian ====== | + | ====== Ubuntu / Debian ====== |
| Установка flow-tools: | Установка flow-tools: | ||
| # apt-get install flow-tools | # apt-get install flow-tools | ||
| Запускаем flow-tools: | Запускаем flow-tools: | ||
| + | # mkdir -p /usr/abills/var/log/ipn/ | ||
| + | # chown flow-tools /usr/abills/var/log/ipn/ | ||
| # flow-capture -S 5 -n 287 -N 0 -d 5 -w /usr/abills/var/log/ipn/ 0/0/9996 | # flow-capture -S 5 -n 287 -N 0 -d 5 -w /usr/abills/var/log/ipn/ 0/0/9996 | ||
| Строка 88: | Строка 88: | ||
| # update-rc.d flow-capture enable | # update-rc.d flow-capture enable | ||
| | | ||
| + | | ||
| + | На Debian 8 для нужно создать ссылки, иначе traffic2sql работать не будет: | ||
| + | # ln -s `which flow-cat` /usr/local/bin/flow-cat | ||
| + | # ln -s `which flow-print` /usr/local/bin/flow-print | ||
| ====== CentOS ====== | ====== CentOS ====== | ||
| - | Можно пользоваться инструкцией для Debian, [[abills:docs:manual:install_centos:epel|установив epel репозиторий]] | ||
| - | |||
| - | ====ТЕСТИРУЕТСЯ==== | ||
| Устанавливаем flow-tools с пакетов: | Устанавливаем flow-tools с пакетов: | ||
| # yum install -y flow-tools | # yum install -y flow-tools | ||
| Создаем папку для логов: | Создаем папку для логов: | ||
| - | # mkdir /usr/abills/var/log/ipn/ | + | # mkdir -p /usr/abills/var/log/ipn/ |
| + | # chown -R flow-tools /usr/abills/var/log/ipn/ | ||
| Запустить flow-tools командой: | Запустить flow-tools командой: | ||
| - | # flow-capture -S 5 -n 287 -N 0 -d 5 -w /usr/abills/var/log/ipn/ 0/0/9996 | + | # flow-capture -S 5 -n 287 -N 0 -w /usr/abills/var/log/ipn/ 0/0/9996 |
| Где: | Где: | ||
| Строка 108: | Строка 110: | ||
| -N 0 - так называемый nesting_level; определяет структуру директорий которая, будет создаваться при записи файлов с соединениями, 0 - файл с данными netflow в каталоге. | -N 0 - так называемый nesting_level; определяет структуру директорий которая, будет создаваться при записи файлов с соединениями, 0 - файл с данными netflow в каталоге. | ||
| - | -d 5 - Уровень отладки. Используется только для теста или выявления аномалий. Можно не указывать. | + | -d 5 - Уровень отладки. Используется только для теста или выявления аномалий. Можно добавить, если есть проблемы. |
| -w /usr/abills/var/log/ipn/ - Каталог, в котором сохраняются файлы с данными netflow. | -w /usr/abills/var/log/ipn/ - Каталог, в котором сохраняются файлы с данными netflow. | ||
| Строка 115: | Строка 117: | ||
| ===Автозапуск=== | ===Автозапуск=== | ||
| - | Создаем файл автозагрузки: | + | Создаем папку для логов и записываем наши настройки: |
| - | # /etc/rc.d/init.d/flow-capture | + | # echo 'OPTIONS="-S 5 -n 287 -N 0 -w /usr/abills/var/log/ipn/ 0/0/9996"' > /etc/sysconfig/flow-capture |
| - | + | ||
| - | И в него заносим следующий скрипт: | + | |
| - | #!/bin/sh | + | |
| - | # | + | |
| - | # flow-tools Tool set for working with NetFlow data | + | |
| - | # | + | |
| - | # chkconfig: - 44 44 | + | |
| - | # description: flow-tools. | + | |
| - | # | + | |
| - | # processname: flow-capture | + | |
| - | # pidfile: /var/run/flow-capture.pid | + | |
| - | + | ||
| - | # Source function library | + | |
| - | . /etc/rc.d/init.d/functions | + | |
| - | + | ||
| - | # Get network config | + | |
| - | . /etc/sysconfig/network | + | |
| - | RETVAL=0 | + | |
| - | start() { | + | |
| - | echo -n $"Starting Flow-capture daemon: " | + | |
| - | daemon /usr/bin/flow-capture -S 5 -n 287 -N 0 -d 5 -w /usr/abills/var/log/ipn/ 0/0/9996 | + | |
| - | RETVAL=$? | + | |
| - | echo | + | |
| - | [ $RETVAL -eq 0 ] && touch /var/lock/subsys/flow-capture | + | |
| - | return $RETVAL | + | |
| - | } | + | |
| - | stop() { | + | |
| - | echo -n $"Stopping Flow-Capture daemon: " | + | |
| - | killproc flow-capture | + | |
| - | RETVAL=$? | + | |
| - | echo | + | |
| - | [ $RETVAL -eq 0 ] && rm -f /var/run/flow-capture.pid /var/lock/subsys/flow-capture | + | |
| - | return $RETVAL | + | |
| - | } | + | |
| - | restart() { | + | |
| - | stop | + | |
| - | start | + | |
| - | } | + | |
| - | reload() { | + | |
| - | return $RETVAL | + | |
| - | } | + | |
| - | case "$1" in | + | |
| - | start) | + | |
| - | start | + | |
| - | ;; | + | |
| - | stop) | + | |
| - | stop | + | |
| - | ;; | + | |
| - | status) | + | |
| - | status flow-capture | + | |
| - | ;; | + | |
| - | restart) | + | |
| - | restart | + | |
| - | ;; | + | |
| - | condrestart) | + | |
| - | [ -f /var/lock/subsys/flow-capture ] && restart || : | + | |
| - | ;; | + | |
| - | reload) | + | |
| - | reload | + | |
| - | ;; | + | |
| - | *) | + | |
| - | echo $"Usage: $0 {start|stop|status|restart|condrestart|reload}" | + | |
| - | exit 1 | + | |
| - | esac | + | |
| - | exit $? | + | |
| Добавляем flow-capture в автозагрузку: | Добавляем flow-capture в автозагрузку: | ||
| chkconfig --add flow-capture | chkconfig --add flow-capture | ||
| chkconfig --level 345 flow-capture on | chkconfig --level 345 flow-capture on | ||