Здравствуйте всем!Есть роутер под FreeBSD. Есть локальная сетка, которая к нему подключена. Есть вот такая проблема: иногда некоторые машины (пользователи) создают большой исходящий трафик. Хочется иметь логи того, что они делали, чтобы принять меры или просто быть в курсе. Например, пользователь может сделать большой аттачмент к письму и несколько раз его отправить. Может юзать веб-камеру и т.д.
Вопрос: каким образом выцепить из tcpflow именно то, что мне надо, чтобы не разбирать колоссальные дампы?
Поверхностный анализ для http дал следующее - необходимол выкусывать из дампа методы POST, чтобы потом смотреть, что ушло от клиента.
А как быть со всеми остальными протоколами и способами создать исходящий траф?
Заранее спасибо.
>А как быть со всеми остальными протоколами и способами создать исходящий траф?
в iptables есть средства для логирования и ограничения трафика, при превышении пороговой интенсивности движения пакетов
>>А как быть со всеми остальными протоколами и способами создать исходящий траф?
>в iptables есть средства для логирования и ограничения трафика, при превышении пороговой
>интенсивности движения пакетовВот этого как раз делать не надо :)) Надо просто быть в курсе, что за ботва происходила.
Насколько я понимаю, вопрос был сформулирован мною несколько расплывчато... найти то, не знаю что.....
Можно, просто вести подробную статистику по трафику (протокол, порт, трафик), а потом соображать какое приложение могло нагнать на данный конкретный порт столько трафика....
Вообщем, может кто уже с этим работал и может изложить идеологию какую-нибудь или что-то подсказать, чтобы я не изобретал велосипед.
>>>А как быть со всеми остальными протоколами и способами создать исходящий траф?
>>в iptables есть средства для логирования и ограничения трафика, при превышении пороговой
>>интенсивности движения пакетов
>
>Вот этого как раз делать не надо :)) Надо просто быть в
>курсе, что за ботва происходила.
ну так и будь в курсе! ставь действие LOG или ULOG и будут тебе логи!