Netflow: відмінності між версіями

Матеріал з NoDeny
Перейти до навігації Перейти до пошуку
Немає опису редагування
Немає опису редагування
Рядок 1: Рядок 1:
<pre>
<pre>
mkdir /var/db/flows
mkdir /var/run/flow-capture/  
mkdir /var/run/flow-capture/  
pkg install flow-tools
pkg install flow-tools

Версія за 06:47, 20 вересня 2019

mkdir /var/db/flows
mkdir /var/run/flow-capture/ 
pkg install flow-tools

Несмотря на то, что в /usr/local/etc/rc.d/ будет установлен скрипт для запуска flow-capture, запустим с командной строки:

/usr/local/bin/flow-capture -R /var/db/flows/netflow_8888.pl \
     -p /var/run/flow-capture/flow-capture.pid -w /var/db/flows \
     -n1 -N0 0.0.0.0/0.0.0.0/8888

Здесь:

  • 0.0.0.0/0.0.0.0/8888 - принимаем поток netflow на порт 8888.
  • -R /var/db/flows/netflow_8888.pl - поток будет обрабатываться скриптом netflow_8888.pl.
  • -n1 - ротация раз в день, т.е. фактически отключаем автоматическую ротацию файлов, поскольку статистику будем получать по требованию.
  • -N0 - не создавать подпапки с годом/месяцем и т.д.
  • /var/run/flow-capture/flow-capture.pid - pid файл, важно. Проверьте, что после запуска появится файл: /var/run/flow-capture/flow-capture.pid.8888.
  • /var/db/flows - куда flow-capture будет записывать свои файлы.
  • flow-capture принимает netflow поток на udp порт 8888. Чтобы сбросить дамп потока на диск, нужно послать сигнал HUP. Дамп будет записан в /var/db/flows c именем из текущей даты и дополнительной информацией. После этого автоматически будет запущен скрипт netflow_8888.pl, которому будет передано имя дампа. Задача этого скрипта простая: переименовать файл с потоком в 8888.txt.