forum.lissyara.su

У русских простые принципы в жизни: голодного - накормить, замерзшего - согреть, утопающего - спасти, охуевшего - отпиздить
https://forum.lissyara.su/

netflow + flowscan

https://forum.lissyara.su/viewtopic.php?f=3&t=16872

Страница 1 из 1

netflow + flowscan

Добавлено: 2009-04-03 12:44:39
CrazyPilot
Доброго времени суток!

У меня есть проблема, решение которой мне, может быть, кто-нибудь подскажет.

Настроил экспорт netflow с центрального шлюза, просто от нечего делать :)
На внутреннем хосте настроил коллектор и пытаюсь настроить flowscan. Пока безуспешно.

Код: Выделить всё

[root@flanker ~]# uname -a
FreeBSD flanker.pskk.ru 7.0-RELEASE-p5 FreeBSD 7.0-RELEASE-p5 #0: Tue Dec 23 18:58:54 MSK 2008     root@flanker.pskk.ru:/usr/obj/usr/src/sys/FLANKER-MAIN-2008-12-23  i386
[root@flanker ~]# pkg_info | grep flow
bsdpan-Cflow-1.051  Cflow::find - find "interesting" flows in raw IP flow files
cflowd-2.1.b1_10,1  Flow analysis tool used for analyzing Cisco's NetFlow switc
flow-tools-0.68_7   Suite of tools and library to work with netflow data
flowscan-1.006_9    Processes IP flows recorded in cflowd-format raw flow files
Коллектор настроен, поток netflow принимает и честно складывает в /var/log/netflows.

Flowscan я тоже настроил, он мониторит папку /var/log/netflows на наличие файлов по заданной маске. Всё на этом этапе работает.
В логах flowscan следующая картина:

Код: Выделить всё

2009/04/03 12:47:58 flowscan-1.020 CUFlow: Cflow::find took  4 wallclock secs ( 3.95 usr +  0.00 sys =  3.95 CPU) for 363679 flow file bytes, flow hit ratio: 41538/41539
2009/04/03 12:47:58 flowscan-1.020 CUFlow: report took  0 wallclock secs ( 0.00 usr  0.00 sys +  0.18 cusr  0.12 csys =  0.30 CPU)
sleep 300...
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Use of uninitialized value in numeric gt (>) at /usr/local/lib/perl5/site_perl/5.8.8/HTML/Table.pm line 2685.
Когда первый раз запустил flowscan - тот создал rrd базы, занёс туда значения и на этом наступил капец. Новые файлы коллектора он парсит, но никаких изменений в rrd'шках нет - соответственно на графиках тоже ничего нет, кроме самого первого значения. Вот например total.rrd для моего шлюза (ее часть):

Код: Выделить всё

<!-- 2009-04-03 11:15:00 MSD / 1238742900 --> <row><v> 4.0236994333e+05 </v><v> 3.7403212333e+05 </v><v> 9.1890000000e+02 </v><v> 9.2
582666667e+02 </v><v> 7.7853333333e+01 </v><v> 7.0256666667e+01 </v></row>
<!-- 2009-04-03 11:20:00 MSD / 1238743200 --> <row><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v></row>
<!-- 2009-04-03 11:25:00 MSD / 1238743500 --> <row><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v></row>
<!-- 2009-04-03 11:30:00 MSD / 1238743800 --> <row><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v></row>
<!-- 2009-04-03 11:35:00 MSD / 1238744100 --> <row><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v><v> NaN </v></row>
Понять почему flowscan не обвноляет rrd не могу, работает он от рута, прав ему должно хватать. В чём может быть загвоздка - не подскажете? Я использую CUFlow для визуализации трафика. Собственно связку настраивал, руководствуясь http://www.opennet.ru/base/cisco/netflow_visio.txt.html

Re: netflow + flowscan

Добавлено: 2009-07-20 0:40:15
Alex Keda
а нафига вам это?

Re: netflow + flowscan

Добавлено: 2009-07-20 7:42:45
CrazyPilot
некропостинг? :-D

Уважаемый lissyara, топик уже неактуален :)

Re: netflow + flowscan

Добавлено: 2009-07-20 8:06:45
f_andrey
CrazyPilot писал(а):некропостинг? :-D

Уважаемый lissyara, топик уже неактуален :)
Поздняк метаться, опубликовал вопрос получи ответ, политика ресурса, это тебе не этот собачий :evil: ;-) :ROFL: :ROFL: :ROFL:

Re: netflow + flowscan

Добавлено: 2009-07-20 8:09:12
CrazyPilot
:-D :ROFL: :ROFL: :ROFL:

Re: netflow + flowscan

Добавлено: 2009-07-20 13:49:22
paradox
тоесть получаеться половина вопросов через некоторое время становиться неактульными
тоесть если задавать в каждом вопросе пользователю - а нафига вам это? - он сразу поймет что ему то это и ненадо
тоесть получаеться такая тенденция - люди спешат реализовывать то что в ближайшем будушем им нафиг не нужно
резюме
там может прежде чем задавать ворос и куда то спешить - взглянуть в будущее и понять что именно надо
этим самым сэкономиться куча времени/ресурсов/бабла


:-D
предлагаю это в красную рамочку и в шапку вместо

Код: Выделить всё

Re: netflow + flowscan

Добавлено: 2009-07-20 14:05:50
CrazyPilot
Хм, не совсем так. Конечно, я бы не против разобраться с этим грешным flowscan.
Вопросы конечно становятся неактуальными, некоторые сами решают, другие находят альтернативы...естественно что вопросы теряют актуальность.

По поводу моего вопроса:
  • 1. Это действительно не очень то и нужно. Прикручивал когда мне совсем делать было нефиг и спросил на шару...так, вдруг кто знает.
  • 2. Я решил насущный вопрос, установив альтернативное ПО.
  • 3. Снес с сервака то откружение, в котором работал flowscan (коллекторы и прочее). Если бы тред развивался, думаю совместными усилиями решили бы вопрос. А так уже и обсуждать смысла нет...
  • 4. flowscan по-моему отправляется на свалку истории
Да и в общем, когда есть некая проблема, решить которую очень хочется, то можно и через полгода принять помощь с благодарностью. А так..забил и переделал по другому. Везде вопрос времени...

Re: netflow + flowscan

Добавлено: 2010-05-26 17:31:40
gabell
Port: net-mgmt/flowscan
Moved:
Date: 2010-01-18
Reason: Has expired: has been broken for 5 month
Есть достойная альтернатива?

Re: netflow + flowscan

Добавлено: 2010-05-26 18:07:01
hizel
мозги+время+любимыйязыкпрограммирования

Re: netflow + flowscan

Добавлено: 2010-05-27 9:56:13
CrazyPilot
nfsen?

Re: netflow + flowscan

Добавлено: 2010-05-29 9:49:48
gabell
hizel писал(а):мозги+время+любимыйязыкпрограммирования
Со вторым проблемы. А учитывая мои навыки программирования, его нужно будет много :smile:
CrazyPilot писал(а):nfsen?
Спасибо. Посмотрю. А вы сами пробовали? Он только с nfdump работает?

Re: netflow + flowscan

Добавлено: 2010-05-31 5:58:03
CrazyPilot
nfsen пробовал, довольно приятная штука. Но иногда тормозная, т.к. хранит данные в файлах. Мне понравилось то, что заработало из коробки, без всяких бубнов. А насчет nfdump - судя по всему да, т.к. это все же один проект, но точно не знаю
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/