Netflow: відмінності між версіями
Перейти до навігації
Перейти до пошуку
Sv (обговорення | внесок) Немає опису редагування |
Sv (обговорення | внесок) Немає опису редагування |
||
Рядок 1: | Рядок 1: | ||
<pre> | <pre> | ||
mkdir /var/db/flows | |||
mkdir /var/run/flow-capture/ | mkdir /var/run/flow-capture/ | ||
pkg install flow-tools | pkg install flow-tools |
Версія за 06:47, 20 вересня 2019
mkdir /var/db/flows mkdir /var/run/flow-capture/ pkg install flow-tools
Несмотря на то, что в /usr/local/etc/rc.d/ будет установлен скрипт для запуска flow-capture, запустим с командной строки:
/usr/local/bin/flow-capture -R /var/db/flows/netflow_8888.pl \ -p /var/run/flow-capture/flow-capture.pid -w /var/db/flows \ -n1 -N0 0.0.0.0/0.0.0.0/8888
Здесь:
- 0.0.0.0/0.0.0.0/8888 - принимаем поток netflow на порт 8888.
- -R /var/db/flows/netflow_8888.pl - поток будет обрабатываться скриптом netflow_8888.pl.
- -n1 - ротация раз в день, т.е. фактически отключаем автоматическую ротацию файлов, поскольку статистику будем получать по требованию.
- -N0 - не создавать подпапки с годом/месяцем и т.д.
- /var/run/flow-capture/flow-capture.pid - pid файл, важно. Проверьте, что после запуска появится файл: /var/run/flow-capture/flow-capture.pid.8888.
- /var/db/flows - куда flow-capture будет записывать свои файлы.
- flow-capture принимает netflow поток на udp порт 8888. Чтобы сбросить дамп потока на диск, нужно послать сигнал HUP. Дамп будет записан в /var/db/flows c именем из текущей даты и дополнительной информацией. После этого автоматически будет запущен скрипт netflow_8888.pl, которому будет передано имя дампа. Задача этого скрипта простая: переименовать файл с потоком в 8888.txt.