имею 2610 роутер, и сервер syslog заним...
написанно...
logging history debugging
logging facility local6
logging source-interface Serial0/0
logging 10.10.221.250
----------
логи пишутся... а ЧТО НУЖНО НАПИСАТЬ ЧТОБ писались ВСЕ, что проходит через рутер...по ПРОТАКОЛАМ!!
Тоесть детализация всего траффика по праотаколам (www, smtp, icmp...и т.д)
>имею 2610 роутер, и сервер syslog заним...
>написанно...
>logging history debugging
>logging facility local6
>logging source-interface Serial0/0
>logging 10.10.221.250
>----------
>логи пишутся... а ЧТО НУЖНО НАПИСАТЬ ЧТОБ писались ВСЕ, что проходит через
Что бы писались ВСЕ - надо сделать debug all, чего не советую!
>рутер..по ПРОТАКОЛАМ!!
>Тоесть детализация всего траффика по праотаколам (www, smtp, icmp...и т.д)А что ты хочешь получить в итоге? - Биллинг! Тогда кури netflow!
А если просто что бы в логах отражалось ну влючи те дебаги которые нужны!
Учти что после перезагрузки дебаг надо будет включать заново!
преследую я цель такую, чтоб в лог собиралось количество траффика - IP -
время - и тип (smtp, www и т.д)но вот как это на рутере написать? он же должен такую статистику предоставлять?
>преследую я цель такую, чтоб в лог собиралось количество траффика - IP
>-
>время - и тип (smtp, www и т.д)
>
>но вот как это на рутере написать? он же должен такую статистику
>предоставлять?тогда не извращаяся с дебагом, логгингом и сислогом, а почитай про netflow на cisco.com!
хороше, попробую, спасибо...
посмотрел, у меня на инт.Tunnel прописано ip route-cache flow
..и sh ip cac flow
но это данные на текущий момент, а мне нужно чтобы это выводилось в файл и постоянно..
как быть в моей ситуации
>посмотрел, у меня на инт.Tunnel прописано ip route-cache flow
>..и sh ip cac flow
>но это данные на текущий момент, а мне нужно чтобы это выводилось
>в файл и постоянно..
>как быть в моей ситуациипрочитай еще про
ip flow-export source
ip flow-export version
ip flow-export destinationи про netflow коллекторы!
наример http://www.splintered.net/sw/flow-tools/
да, возможно это и есть полное решение моей проблемы, но пока неудается
поставить пакет на сервер.. при установке он требует python, он у меня стоит, но видимо как то не так или не тот...незнаю..
ставлю под ASPlinuxа принцип работы тот же как и у syslog ?, на сервере которая ловит пакеты с рутера
>да, возможно это и есть полное решение моей проблемы, но пока неудается
>
>поставить пакет на сервер.. при установке он требует python, он у меня
>стоит, но видимо как то не так или не тот...незнаю..
>ставлю под ASPlinux
Ну поставь этот питон, нотя я не помню чтобы он там был нужен - т.к. я ставил под практически голый solaris, куда питон точно не входит!>а принцип работы тот же как и у syslog ?, на сервере
>которая ловит пакеты с рутера
если рассматривать с точки зрения UDP пакетов то - да, такой же принцип.
Но вот наполнение этих пакетов совсем разное - я думаю с помощью простого логгинга ты не сможешь получить такуюже объемную и гибкую статистику, которую предоставляет netflow.
незнаю, говорит об неудавлетворении зависимостей и просит питон , хотя тот стаит... посмотрю еще.
спасибо
Какую версию flow-tools пытаешься утсановить? 0.66?Это тебе configure выдает ошибку?
ставлю flow-tools-0.68-1.i386.rpm , и пишет о неудовлетворении зависимости
к Python
>ставлю flow-tools-0.68-1.i386.rpm , и пишет о неудовлетворении зависимости
>к Pythonпопробуй поставь из сорцов http://www.splintered.net/sw/flow-tools/!
Latest Stable Version (0.66) -- Working flow-nfilter and flow-report.
ftp://ftp.eng.oar.net/pub/flow-tools/flow-tools-0.66.tar.gz
все получилось, поставил , но не разобрался доконца, подскаджите плиз куда поставился ее конфиг и где находится ее запуск.
в readme исключит. все по настройке рутера..
Ну там вообщето не README а INSTALL!
Посмотри в нем - там есть несколько примеров про flow-capture(как раз то что тебе надо). Начинай читать прям с описания про tcpdump!
Также посмтори flow-receive flow-print и т.д.почитай на сайте - там много инфы
http://www.splintered.net/sw/flow-tools/
Overview
http://www.splintered.net/sw/flow-tools/docs/flow-tools.html
все получилось, спасибо ошибки были при компиляции но все решил..... но при выводе
% ./flow-receive 0/0/9990 | ./flow-print
Sif SrcIPaddress Dif DstIPaddress Pr SrcP DstP Pkts Octets
60 206.204.84.9 00 10.0.135.63 06 15 5f0 2 88
00 10.0.135.63 60 206.204.84.9 06 5f0 15 16 787
60 206.204.84.9 00 10.0.135.63 06 15 5f0 13 1742
00 10.0.155.25 60 204.62.245.167 06 50 bae5 15 948
60 204.62.245.167 00 10.0.155.25 06 bae5 50 13 681
60 206.204.84.20 00 10.0.135.63 06 50 5ed 7 3494
60 206.204.84.20 00 10.0.135.63 06 50 5ef 6 401
60 206.204.84.20 00 10.0.135.63 06 50 5eb 11 9413
00 10.0.135.63 60 206.204.84.20 06 5ed 50 9 637а мне бы очень хотелось... ТАК
IP Flow Switching Cache, 4456704 bytes
4139 active, 61397 inactive, 712344771 added
871670181 ager polls, 0 flow alloc failures
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 1572735 0.3 58 127 21.4 27.0 14.8
TCP-FTP 6193502 1.4 24 746 35.3 3.6 9.0
TCP-FTPD 1458042 0.3 1534 833 520.9 42.4 4.2
TCP-WWW 93403998 21.7 19 633 432.9 4.9 6.3
TCP-SMTP 16123540 3.7 15 431 59.1 3.4 6.4
TCP-X 687228 0.1 238 276 38.1 20.8 14.3
TCP-BGP 1116819 0.2 3 45 0.7 5.3 16.0
TCP-NNTP 1455156 0.3 1102 176 373.4 106.1 11.9
TCP-Frag 3244 0.0 4 636 0.0 2.8 16.3
TCP-other 188162587 43.8 118 733 5204.5 11.1 6.9
UDP-DNS 38042100 8.8 3 84 27.3 3.8 16.4
UDP-NTP 18760129 4.3 1 76 5.3 1.3 16.3
UDP-TFTP 665 0.0 4 76 0.0 7.9 16.4
UDP-Frag 13111 0.0 2121 1108 6.4 366.8 13.5
UDP-other 195556237 45.5 35 343 1632.5 5.8 16.3
ICMP 149285440 34.7 2 64 72.9 0.9 16.5
IGMP 15315 0.0 167 32 0.5 1660.6 3.9
IPINIP 15112 0.0 35 52 0.1 275.3 14.2
GRE 127489 0.0 3 109 0.1 16.9 16.1
IP-other 348604 0.0 56 447 4.5 21.5 16.2
Total: 712341053 165.8 50 620 8436.8 6.2 12.2можно ли такого добиться, или я что то не так делаю?
все получилось, спасибо ошибки были при компиляции но все решил..... но при выводе
% ./flow-receive 0/0/9990 | ./flow-print
Sif SrcIPaddress Dif DstIPaddress Pr SrcP DstP Pkts Octets
60 206.204.84.9 00 10.0.135.63 06 15 5f0 2 88
00 10.0.135.63 60 206.204.84.9 06 5f0 15 16 787
60 206.204.84.9 00 10.0.135.63 06 15 5f0 13 1742
00 10.0.155.25 60 204.62.245.167 06 50 bae5 15 948
60 204.62.245.167 00 10.0.155.25 06 bae5 50 13 681
60 206.204.84.20 00 10.0.135.63 06 50 5ed 7 3494
60 206.204.84.20 00 10.0.135.63 06 50 5ef 6 401
60 206.204.84.20 00 10.0.135.63 06 50 5eb 11 9413
00 10.0.135.63 60 206.204.84.20 06 5ed 50 9 637а мне бы очень хотелось... ТАК
IP Flow Switching Cache, 4456704 bytes
4139 active, 61397 inactive, 712344771 added
871670181 ager polls, 0 flow alloc failures
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 1572735 0.3 58 127 21.4 27.0 14.8
TCP-FTP 6193502 1.4 24 746 35.3 3.6 9.0
TCP-FTPD 1458042 0.3 1534 833 520.9 42.4 4.2
TCP-WWW 93403998 21.7 19 633 432.9 4.9 6.3
Total: 712341053 165.8 50 620 8436.8 6.2 12.2
и т.д.....
можно ли такого добиться, или я что то не так делаю?
Нет нельзя, или ну разве только самому сделать такую агрегацию!
можно тогда последний вопросsrcPort и dstPort, это соответственно порты источника и получателя, а количесто и размер пакетов, тоесть собственно сам траффик... это последняя калонка?
srcIP dstIP prot srcPort dstPort octets packets
150.162.20.20 217.69.202.227 6 1491 4899 96 2
212.44.130.13 217.69.220.221 6 25 55090 3094 49
10.10.221.55 10.10.221.251 17 123 123 76 1
217.69.220.221 212.44.130.13 6 55090 25 60095 51
>можно тогда последний вопросМожно!
octets == bytes == 8 bits
packets - кол-во пакетов!Посмотри еще параметры flow-print - там есть много разных ключиков в каом формате выдавать! есть даже что то подобное sh ip accounting!
сообщение для "Сайко".
простите, можно вас еще побеспокоить...у меня прежняя проблема с flow-tools.
чтоб увидить тип траффика пробую flow-capture.
flow-capture -w /flows/test -E5G 0/10.10.221.251/9990
ничего не появляется,файл пустой.... я совсем запутался..при flow-receive 0/0/9990 | ./flow-print > /test валит в файл
Sif SrcIPaddress Dif DstIPaddress Pr SrcP DstP Pkts Octets
60 206.204.84.9 00 10.0.135.63 06 15 5f0 2 88
00 10.0.135.63 60 206.204.84.9 06 5f0 15 16 787
60 206.204.84.9 00 10.0.135.63 06 15 5f0 13 1742а нужно....
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 1572735 0.3 58 127 21.4 27.0 14.8
TCP-FTP 6193502 1.4 24 746 35.3 3.6 9.0
TCP-FTPD 1458042 0.3 1534 833 520.9 42.4 4.2
TCP-WWW 93403998 21.7 19 633 432.9 4.9 6.3тоесть похоже что с роутером все ок?... видимо я неправильно снимаю статистику? не могу понять как нужно...
Параллельно смотрю http://netacad.kiev.ua/flowc/index.php?id=2
но проблемы с компиляцией
Я думаю что у Вас просто проблема с доступом к файлу или к директории, или нет прав на создание файлов в этой директории!
Вы от root'а запускаете этот скрипт?
Попробуй не в /flows/test а в /tmp/XXX
к сожалению нет, работаю под рутом и на файлы доступ для "всех"
>к сожалению нет, работаю под рутом и на файлы доступ для "всех"
>Стоп! Погоди у тебя файл примерно такого формата создается:
/tmp/flows/2005/2005-08/2005-08-10/tmp-v05.2005-08-10.172241+0400
Подожди 15 миннут(кажется по дефолту) он станет с другим именем не tmp-xxx - вот его и посмотри!У меня правда и такой файл tmp все нормально показывает:
ls -al /tmp/flows/2005/2005-08/2005-08-10/tmp-v05.2005-08-10.172241+0400
-rw-r--r-- 1 root root 98392 Aug 10 17:25 /tmp/flows/2005/2005-08/2005-08-10/tmp-v05.2005-08-10.172241+0400
==========================================================================
/usr/local/netflow/bin/flow-cat /tmp/flows/2005/2005-08/2005-08-10/tmp-v05.2005-08-10.172241+0400 | /usr/local/netflow/bin/flow-print | head -2
srcIP dstIP prot srcPort dstPort octets packets
XXX.YYY.240.50 172.31.22.4 1 0 0 84 1