Sárga levél - cikkek - figyelembe hálózati forgalom fprobe és flow-tools
Nagyon gyakran van egy probléma a rendszergazdák a hálózati forgalom számlázása. Az alábbiakban megmutatjuk, hogyan lehet megoldani ezt a problémát egy áramlás-érzékelő fprobe és segédprogramok az áramlás-tools csomagot.
Szinkronizált a kezdeti feltételek:
Először telepítse fprobe a szerverre:
Arra a kérdésre, hogy mi interface hogy távolítsa el a forgalmat meg kell válaszolni „eth1”, és a kérdés az, hogy hova küldje a naplók - „192.168.2.10:9999”. A port lehet választani önkényesen - a legfontosabb dolog, hogy az ellenőrző szerver, szabad volt. Valójában ezt a beállítást Internet gateway befejezi, menj a felügyeleti szerverre.
A következő /etc/flow-tools/flow-capture.conf fájl formájában:
Hozzon létre egy könyvtárat a naplóban:
És indítsa újra a flow-gyűjtő:
Minden esetben győződjön meg róla, hogy a kollektor hallgatja a megfelelő portot:
Ha minden jól - a kimenet a következőképpen néz ki:
Ha a kollektor nem indul - alaposan ellenőrizze a beállításokat.
Egy idő után ez a könyvtár kell gyűjteni naplók. Továbbra is csak a levelet szkripteket alapuló jelentéseket ezeket a naplókat. Hozzon létre egy könyvtárat a / root / flow, minden további intézkedéseket fogunk termelni, hogy:
Flow.acl hozzon létre egy fájlt, amelyben leírják a szükséges hozzáférés-vezérlési listák, akkor ezt a fájlt fogja használni flow-szűrő eszköz:
Ne feledd, hogy ez szükségtelen, ha a hálózat ebben a fájlban kell megfordítani a maszkot. Ha nem szabad, hogy működjön együtt az ilyen maszkok - az IP-kalkulátor.
A következő lépés, hogy hozzon létre report.conf fájlt fogja használni a közüzemi flow-jelentés:
Mikor ezt írom a konfigurációs fájlok befejeződött, és elkezdhetjük írni szkripteket. Először hozzon létre egy script a generáció napi jelentések, és mentse el stat_daily.sh. Itt van a lista:
Így a script futtatható, és add, hogy fut a cron:
Ezt követően, minden nap a / var / www / flow-jelentések / napi jelentéseket fogja befolyásolni a forgalom az előző nap. A jelentés a következőképpen néz ki:
Feladtam, ahogy lök.
Ismétlem ..
Tehát mivel a
1. áramlási írtunk a / var / log / áramlásának /
2. A szűrők vannak /home/log/filter.acl
3. Base izom típusú
CREATE TABLE IF NEM létezik `raw` (
`Unix_secs` int (11) unsigned NOT NULL default '0',
`Unix_nsecs` int (11) unsigned NOT NULL default '0',
`Sysuptime` int (11) unsigned NOT NULL default '0',
`Exaddr` varchar (45) összegyűjti utf8_unicode_ci NOT NULL default '0'
`Dflows` int (11) unsigned NOT NULL default '0',
`Dpkts` int (11) unsigned NOT NULL default '0',
`Doctets` int (11) unsigned NOT NULL default '0',
`First` int (11) unsigned NOT NULL default '0',
`Last` int (11) unsigned NOT NULL default '0',
`Engine_type` tinyint (3) unsigned NOT NULL default '0',
`Engine_id` tinyint (3) unsigned NOT NULL default '0',
`Srcaddr` varchar (45) összegyűjti utf8_unicode_ci NOT NULL default '0'
`Dstaddr` varchar (45) összegyűjti utf8_unicode_ci NOT NULL default '0'
`Nexthop` varchar (45) összegyűjti utf8_unicode_ci NOT NULL default '0'
`Input` smallint (5) unsigned NOT NULL default '0',
`Output` smallint (5) unsigned NOT NULL default '0',
`Srcport` smallint (5) unsigned NOT NULL default '0',
`Dstport` smallint (5) unsigned NOT NULL default '0',
`Prot` tinyint (3) unsigned NOT NULL default '0',
`TSz-ek tinyint (3) unsigned NOT NULL default '0',
`Tcp_flags` tinyint (3) unsigned NOT NULL default '0',
`Src_mask` tinyint (3) unsigned NOT NULL default '0',
`Dst_mask` tinyint (3) unsigned NOT NULL default '0',
`Flag` tinyint (1) unsigned NOT NULL default '0',
PRIMARY KEY ( `unix_secs`,` srcaddr`, `dstaddr`,` srcport`, `dstport`)
) MOTOR = MyISAM DEFAULT CHARSET = utf8 LEVÁLOGAT = utf8_unicode_ci;
További levelet shelovsky fájlt, és dugjon be egy koronát, fájlban jelzik tetszőleges számú fájlt (a jelenlegi mínusz 30 perc példámnál) idején választunk.
Ez meglöki az adatbázisba / usr / bin / flow-export
for i in $ (/ usr / bin / találja a / var / log / áramlásának / -name ft * -mmin -30); do / usr / bin / flow-kat $ i | / Usr / bin / flow-nfilter -Foutputtraff -f /home/log/filter.acl | / Usr / bin / flow-export -f3 -mUNIX_SECS, DOCTETS, első, utolsó, SRCADDR, DSTADDR, SRCPORT, DSTPORT Prot -u "felhasználó: jelszó: host: port: bázis: table"; csinált
mi folyik, akkor is fut CZK 1 percenként, páros nem tartoznak, mert Minden rekordot kapott egyedi.
Oldom interfészek
egy kulcs beviteli mező ()
ahol 1 és 2 interfész. Úgy gondolom, hogy meg lehet keresni empirikusan milyen felületen. )
Igen, ha dobott a fájl nem shelovskom át a hurkon, majd mászni a bázis értékét a bal (időbélyeg 00000000) Nem tudom, hogy miért, az elején az építkezés volt egy ilyen lelet. flow-kat <> /;
akkor vettem észre, és a másolt át egy ciklust, amíg minden normális!
Egyértelmű :) én tudom :)
A válasz itt ebben a sorban:
Ez hol van a naplók jön le? Ítélve a szöveg a hibanaplók nem, ahol a script arra vár, hogy látni őket
Adtam példát a katalógusokban, illetve ha tesz a naplókat egy másik könyvtárba, azt ki kell javítani. )
> Webszerver emelhető hozzáférési jelentések
Prompt web szerver a legjobb kell beállítani, hogy működjön együtt naplók áramlását?
Prompt web szerver a legjobb kell beállítani, hogy működjön együtt naplók áramlását?
Úgy gondolom, hogy itt nem lesz elég.
Most már csak 1 voprosets: úgy tűnik, hogy a statisztikák számít csak a bejövő forgalmat. Lehetséges, hogy úgy érzi, ugyanúgy, és jön, nem sok tánc tambourines?
a hozzászólásomat még mindig ott van. csak nem vizsgálja meg alaposan! )))
Itt tolja be a bázis
for i in $ (/ usr / bin / találja a / var / log / áramlásának / -name ft * -mmin -30); do / usr / bin / flow-kat $ i | / Usr / bin / flow-nfilter -Foutputtraff -f /home/log/filter.acl | / Usr / bin / flow-export -f3 -mUNIX_SECS, DOCTETS, első, utolsó, SRCADDR, DSTADDR, SRCPORT, DSTPORT Prot -u "felhasználó: jelszó: host: port: bázis: table"; csinált
egy egyszerű webes szájkosár nincs értelme. IMHO. vagy meg kell írni minden típusú samopisny számlázási vagy nafig szükség. Az ötlet természetesen megvan. de az idő alaposan hiányzik)
Heh. Tehát van minden ügyfél, hogy ugyanazt a linket a végén csatlakozik? Akkor csak írjuk, az ACL a flow-szűrőt. Az ötlet segít
Őszintén szólva nem tudom. Szeretném megnézni, hogy mi történt a jelentésben. Nem biztos, hogy ez a mocsári azonos SARG webalizer vagy valami érthető generál egy fájlt. Általában meg kell nézni :)
3 Régóta olvasni, olyan vagyok, mint hogy yandeks.money dobta régen volt. Sok köszönet, hogy válaszol.
Köszönöm :) És igyekszem válaszolni mindenkinek, aki érdekes és megfelelő kérdéseket kérdezi. ebből magamnak én részesülő formájában új ismeretek eredő viták.
Nagyon kényelmes véleményem, azt mutatja, hogy minden irányban.
Tól fprobe kell tennie a script paraméterek, mint az idő / térfogat / ip kliens / ip forrás.
Van skype.
Átgondolt olvasás ember oldalas flow-jelentés segít. Csak be kell állítani a megfelelő jelentés formátumát.