Netflow

Матеріал з NoDeny
Версія від 06:39, 20 вересня 2019, створена Sv (обговорення | внесок) (Новая страница: «<pre> pkg install flow-tools </pre> Несмотря на то, что в /usr/local/etc/rc.d/ будет установлен скрипт для запуска…»)
(різн.) ← Попередня версія | Поточна версія (різн.) | Новіша версія → (різн.)
Перейти до навігації Перейти до пошуку
pkg install flow-tools

Несмотря на то, что в /usr/local/etc/rc.d/ будет установлен скрипт для запуска flow-capture, запустим с командной строки:

/usr/local/bin/flow-capture -R /var/db/flows/netflow_8888.pl \
     -p /var/run/flow-capture/flow-capture.pid -w /var/db/flows \
     -n1 -N0 0.0.0.0/0.0.0.0/8888

Здесь:

  • 0.0.0.0/0.0.0.0/8888 - принимаем поток netflow на порт 8888.
  • -R /var/db/flows/netflow_8888.pl - поток будет обрабатываться скриптом netflow_8888.pl.
  • -n1 - ротация раз в день, т.е. фактически отключаем автоматическую ротацию файлов, поскольку статистику будем получать по требованию.
  • -N0 - не создавать подпапки с годом/месяцем и т.д.
  • /var/run/flow-capture/flow-capture.pid - pid файл, важно. Проверьте, что после запуска появится файл: /var/run/flow-capture/flow-capture.pid.8888.
  • /var/db/flows - куда flow-capture будет записывать свои файлы.
  • flow-capture принимает netflow поток на udp порт 8888. Чтобы сбросить дамп потока на диск, нужно послать сигнал HUP. Дамп будет записан в /var/db/flows c именем из текущей даты и дополнительной информацией. После этого автоматически будет запущен скрипт netflow_8888.pl, которому будет передано имя дампа. Задача этого скрипта простая: переименовать файл с потоком в 8888.txt.