статья: darkstat

[Morty]

http://www.lissyara.su/?id=2081

вотс

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Stalker (AKA Zver)]

Траффик для статистикаи только с одного внтерфейса можно захватывать или несколько можно указать?

[WiseLord]

Как-то странно по ppp0 считает - приблизительно в два раза меньше, чем ifconfig показывает. Не все пакеты захватывает.
По eth1 (через который ppp0 идёт, к adsl-модему) вообще отчего-то по нулям
По eth0 (включенй в локалку) что-то считало, не смотрел, правильно или нет.

[Morty]

Траффик для статистикаи только с одного внтерфейса можно захватывать или несколько можно указать?

не пробовал
я вешал на внутренний интерфейс , по нему же ходит трафик других сетей
который в тунелях гуляет(гифы) в скриншотах видно 3 сети.

PS: попробуй ,у меня необходимости такой не было

[Drui_]

при старте дарка пишет такое сообщение: 1238: error: pcap_open_live():
подскажите пожалуйста что нетак
uname -a
FreeBSD pkozak.local 8.0-RELEASE FreeBSD 8.0-RELEASE #0: Sat Nov 21 15:48:17 UTC 2009 root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386

[Boomberbun]

Подскажите, а имеет место ставить если стоит самс+сквид(транспорент)+pf ? Глюков не будет ли?

[Drui_]

при старте дарка пишет такое сообщение: 1238: error: pcap_open_live():
подскажите пожалуйста что нетак
uname -a
FreeBSD pkozak.local 8.0-RELEASE FreeBSD 8.0-RELEASE #0: Sat Nov 21 15:48:17 UTC 2009 root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386

Разобрался сам спасибо.

[Boomberbun]

при старте дарка пишет такое сообщение: 1238: error: pcap_open_live():
подскажите пожалуйста что нетак
uname -a
FreeBSD pkozak.local 8.0-RELEASE FreeBSD 8.0-RELEASE #0: Sat Nov 21 15:48:17 UTC 2009 root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386

Разобрался сам спасибо.

Ну герой ну молодец не поленился об этом написать так чтоб все это видели! И наверно ждёшь когда тебя спросят а что же было да?

[Boomberbun]

Поставил! Вижу как считаются пакеты, но графиков нет! Что то не стоит?

[exey]

при старте дарка пишет такое сообщение: 1238: error: pcap_open_live():
подскажите пожалуйста что нетак
uname -a
FreeBSD pkozak.local 8.0-RELEASE FreeBSD 8.0-RELEASE #0: Sat Nov 21 15:48:17 UTC 2009 root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386

Разобрался сам спасибо.

Ну герой ну молодец не поленился об этом написать так чтоб все это видели! И наверно ждёшь когда тебя спросят а что же было да?

аналогичная ошибка, ошибся в указании интерфейса в rc.conf

[dreamond]

пара уточняющих вопросов и по самой статье

инфу о потреблении трафика он держит где? я так понял до слития инфы о потреблении он держит в ОЗУ и по выполнение нижележащего скрипта сливает ее в БД? интервал слития мы сами в кроне задам так?

Код: Выделить всё

#!/bin/sh
DB="/var/run/darkstat/darkstat.db"
pid() {
PIDFILE="/var/run/darkstat/darkstat.pid"
if [ -f $PIDFILE ]; then
  pid=`cat $PIDFILE`
fi
kill -SIGUSR1 $pid
}
pid
mv $DB /var/run/darkstat/"darkstat-`date +%Y-%m`"
touch $DB && chmod 666 $DB 
pid

PS не увидел я что то о возможости просмотреть статистку за предыдущий период
PPS к автору претензий нет, он описал свой вариант исполнения и ознакомил нас с ним, за что спасибо

[break]

Возможно в статистике сделать отображение в Мегабайтах?

[alab]

народ подскажите у кого не отображаются графики, нашли в чем дело?

[tulup]

А у меня наоборот: графики есть, а подписей внизу нема, хотя если мышкой наведешь, то видно (правда цифры левые какие-то):

Вложение 122.JPG больше недоступно

Хмп!!!

[alanzh]

Как-то странно по ppp0 считает - приблизительно в два раза меньше, чем ifconfig показывает. Не все пакеты захватывает.
По eth1 (через который ppp0 идёт, к adsl-модему) вообще отчего-то по нулям
По eth0 (включенй в локалку) что-то считало, не смотрел, правильно или нет.

У меня такая же ситуация, причём с eth0... Кто-нибудь проверял _достоверность_ счётчиков darkstat? Как-то сомнительно, что после столь долгих лет разработки он считает не то, что надо. Или он использует какую-то свою собственную единицу измерения..

[Boomberbun]

Траффик для статистикаи только с одного внтерфейса можно захватывать или несколько можно указать?

Тоже интересно, можно ли? PS Перегружать работающий ради теста как то не хочеться, статистика пропадёт.

[Happy_demon]

при старте дарка пишет такое сообщение: 1238: error: pcap_open_live():
подскажите пожалуйста что нетак
uname -a
FreeBSD pkozak.local 8.0-RELEASE FreeBSD 8.0-RELEASE #0: Sat Nov 21 15:48:17 UTC 2009 root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386

Разобрался сам спасибо.

у меня только что так было

Код: Выделить всё

darkstat_user="nobody"

не нравится ему nobody хотя права вроде верные на рабочей папке
закаментил эту строчку и всё чудно запустилось.
А вот почему он по отчётам на внутреннем интерфейсе рисует внешние хосты - вот это очень неприятно. Можно это как-то побороть?

[antidevil]

Подскажите, а как потом просматривать файлы darkstat-%Y-%m.db ? В mc пытаюсь открыть, так каракули.

[Kotjara]

Интересно, а почему не показывается статистика по портам?

[folax]

Кто нибудь разобрался как вывод сделать в мегабайтах ?

[priest.romeo]

Добрый всем вечер уважаемые форумчане. FreeBSD 8.2 64-бит. Darkstat настроен по статье http://www.lissyara.su/articles/freebsd ... /darkstat/. Всё отрабатывает, проверки проходит, но доступ при помощи браузера к нему получить не удаётся, припонов в виде фаера нету.

[priest.romeo]

Спасибо, вопрос исчерпан.

[Alex Keda]

чё было?

[Dark Smoke]

Не могу понять, он считает весь трафик или только веб трафик?

[boaboa]

darkstat , являющийся очень удобной и минималистичной оболочкой и Веб-интерфейсом
для очень широких возможностей tcpdump
практически очень мало используется из за отсутствия толковых статей описывающих его способности,
статья, которая обсуждается в этой теме форума,
тоже полна неопределённости или вообще написана не для FreeBSD ,
но зато в точности повторяет неработоспособные во FreeBSD идеи автора darkstat ,
к тому же статья немного устарела.


Первый важный и очевидный косяк darkstat, что
изначально darkstat и в повторении автор статьи
указывают размещение архива данных в директории /var/run,
которая во FreeBSD предназначена для временного хранения файлов .pid от запущенных процессов,
и в момент перезагрузки системы все файлы во всех её директориях уничтожаются,
что собственно происходит и с файлами darkstat.db
которые по ключу --export filename сохраняются программой туда перед перезагрузкой системы,
и система потом их оттуда удаляет,
поэтому при старте программы после перезапуска ключ --import filename выдаёт ошибку.
Этот косяк вероятно заметил автор программы и теперь рабочая директория /var/db ,
но теперь файл .pid размещается там же и при сбое питания сервера не уничтожается,
что при старте системы приводит к выводу сообщения о том что darkstat уже запущен,
необходимо вручную удалить файл .pid чтобы снова запустить darkstat .
Решение состоит в указании соответствующих политике FreeBSD мест расположения файлов.
Хотя некоторым неудобством является указание размещения файлов относительно darkstat_dir ,
но это и можно использовать как решение:

Код: Выделить всё

mkdir /var/run/darkstat
mkdir /var/db/darkstat

ee /etc/rc.conf

Код: Выделить всё

darkstat_enable="YES"
darkstat_interface="rl0" 		# rl0 - интерфейс захвата, обязательный параметр, укажите Ваш

darkstat_dir="/" 	# относительную точку всех остальных расположений приравняли к корневой "/"
darkstat_pidname="/var/run/darkstat/darkstat.pid" 	# место     .pid процесса, обязательно если darkstat_dir="/"
darkstat_flags="--import /var/db/darkstat/darkstat.db --export /var/db/darkstat/darkstat.db -f 'not port 22'  --local-only " 	# место     .db архива, обязательно если darkstat_dir="/" , и добавить ваши желания, согласно ОФ инструкции

у автора статьи в darkstat_flags ещё указан
-b 192.168.0.3 # адрес веб-интерфейса на котором смотреть, http://192.168.0.3:667/
-l 192.168.0.0/255.255.0.0 # эту сеть контролировать и отображать в веб-интерфейсе
Подробная информация о ключах настройки в Man darkstat(8)

перезапускаем

Код: Выделить всё

/usr/local/etc/rc.d/darkstat restart
darkstat not running? (check ///var/run/darkstat/darkstat.pid).
Starting darkstat.

ещё раз перезапускаем

Код: Выделить всё

/usr/local/etc/rc.d/darkstat restart
Stopping darkstat.
Starting darkstat.

получится аналогично команде

Код: Выделить всё

/usr/local/sbin/darkstat -i rl0 --chroot / --pidfile /var/run/darkstat/darkstat.pid --user nobody --import /var/db/darkstat/darkstat.db --export /var/db/darkstat/darkstat.db -f 'not port 22' --local-only

вид не очень симпатичный, зато работоспособность нормальная, согласно политике FreeBSD .
Работает, проверено.




Второй не менее важный момент это
практически полное отсутствие описания ключа -f filter
использующего широкие возможности tcpdump
и даже в имеющихся в Интернет описаниях присутствует одна очень существенная ошибка,
на самом деле аргументы ключа должны перечисляться не -f "not port 22" а -f 'not port 22'
т.е. не в двойных а в одинарных кавычках.
И тогда открываются очень широкие возможности darkstat и удобное использование tcpdump .


Третье, это скрипт сохранения статистики в файл, который потом неизвестно чем нормально прочитать.
Если подскажете чем нормально прочитать, выложу нормальный скрипт.
Но очень желательно не потерять текущую статистику,
поэтому при правильном указании места хранения darkstat.db
и использовании ключей --export и --import
поставить в Cron выполнение хоть раз в час
/usr/local/etc/rc.d/darkstat restart

ee /etc/crontab

Код: Выделить всё

0	*	*	*	*	root	/usr/local/etc/rc.d/darkstat restart

и после сбоя сервера статистика останется неповреждённой.



Конструктивные предложения, советы, пожелания, замечания приветствуются.