forum.opennet.ru - "Сбор трафика flow-capture с нескольких маршрутизаторов." (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Сбор трафика flow-capture с нескольких маршрутизаторов."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Сбор трафика flow-capture с нескольких маршрутизаторов."
Сообщение от vkorneev (ok) on 03-Апр-07, 17:11
Доброго дня ! Имеется 2 маршрутизатора Cisco генерирующие логи netflow 5 версии. При этом ip-трафик пользователя, проходит через оба маршрутизатора. Если собирать трафик командой /usr/local/netflow/bin/flow-capture -w /usr/local/netflow/logs -n 95 -N 3 -S 60 -V 5 -z 9 0/0/9992 то трафик этого пользователя запишется в логи 2 раза ? Каким образом можно, в этом случае, вычленить трафик пользователя из этих логов, прошедший только через один маршрутизатор ? Если лог направить на flow-print с опцией -f7 (1 line, 132 column +router_id), то выдается сообщение об ошибке : /flow-cat ./ft-v05.2006-10-01.000000+0400 \| /flow-print -f9 flow-print: Flow record missing required field for format. а в случае с "/flow-cat ./ft-v05.2006-10-01.000000+0400 \| /flow-print -f5" нет идентификатора маршрутизатора. Можно ли решить проблему не прибегая к использованию 2-х коллекторов flow-capture ?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Сбор трафика flow-capture с нескольких маршрутизаторов., pal, 21:19 , 03-Апр-07, (1)

Сбор трафика flow-capture с нескольких маршрутизаторов., vkorneev, 14:24 , 04-Апр-07, (2)

Сбор трафика flow-capture с нескольких маршрутизаторов., pal, 14:28 , 04-Апр-07, (3)
Сбор трафика flow-capture с нескольких маршрутизаторов., Kwach, 03:29 , 25-Май-08, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Сбор трафика flow-capture с нескольких маршрутизаторов."

Сообщение от pal (??) on 03-Апр-07, 21:19

>Доброго дня !
>
>Имеется 2 маршрутизатора Cisco генерирующие логи netflow 5 версии.
>При этом ip-трафик пользователя, проходит через оба маршрутизатора.
>Если собирать трафик командой
>/usr/local/netflow/bin/flow-capture -w /usr/local/netflow/logs -n 95 -N 3 -S 60 -V 5 -z
>9 0/0/9992
>то трафик этого пользователя запишется в логи 2 раза ?
>Каким образом можно, в этом случае, вычленить трафик пользователя из этих логов,
>прошедший только через один маршрутизатор ?
>
>Если лог направить на flow-print с опцией -f7 (1 line, 132 column
>+router_id), то выдается сообщение об ошибке :
>/flow-cat ./ft-v05.2006-10-01.000000+0400 | /flow-print -f9
>flow-print: Flow record missing required field for format.
>
>а в случае с "/flow-cat ./ft-v05.2006-10-01.000000+0400 | /flow-print -f5"
>нет идентификатора маршрутизатора.
>
>Можно ли решить проблему не прибегая к использованию 2-х коллекторов flow-capture ?
>
В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе
можешь выложить где-нибудь один файл для примера, покопаться?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Сбор трафика flow-capture с нескольких маршрутизаторов."

Сообщение от vkorneev (ok) on 04-Апр-07, 14:24

>В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе
>можешь выложить где-нибудь один файл для примера, покопаться?
У меня скрипты на flow-print настроены.
Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные о маршрутизаторе, с которого пришел этот флоу ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Сбор трафика flow-capture с нескольких маршрутизаторов."

Сообщение от pal (??) on 04-Апр-07, 14:28

>
>>В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе
>>можешь выложить где-нибудь один файл для примера, покопаться?
>
>У меня скрипты на flow-print настроены.
>Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные
>о маршрутизаторе, с которого пришел этот флоу ?

Попробуй flow-export, выбери нужные поля...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Сбор трафика flow-capture с нескольких маршрутизаторов."

Сообщение от Kwach on 25-Май-08, 03:29

>
>>В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе
>>можешь выложить где-нибудь один файл для примера, покопаться?
>
>У меня скрипты на flow-print настроены.
>Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные
>о маршрутизаторе, с которого пришел этот флоу ?
К примеру экспорт в MySQL:
/usr/local/bin/flow-cat work/* | flow-export -f3 -mUNIX_SECS,DOCTETS,SRCADDR,DSTADDR,SRCPORT,DSTPORT -u "root::127.0.0.1::netflow:raw"
flow-export: Exported 15360 records
Только нужно добавить поле с данными о источнике.
Удачи! )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Сбор трафика flow-capture с нескольких маршрутизаторов."
Сообщение от pal (??) on 03-Апр-07, 21:19
>Доброго дня ! > >Имеется 2 маршрутизатора Cisco генерирующие логи netflow 5 версии. >При этом ip-трафик пользователя, проходит через оба маршрутизатора. >Если собирать трафик командой >/usr/local/netflow/bin/flow-capture -w /usr/local/netflow/logs -n 95 -N 3 -S 60 -V 5 -z >9 0/0/9992 >то трафик этого пользователя запишется в логи 2 раза ? >Каким образом можно, в этом случае, вычленить трафик пользователя из этих логов, >прошедший только через один маршрутизатор ? > >Если лог направить на flow-print с опцией -f7 (1 line, 132 column >+router_id), то выдается сообщение об ошибке : >/flow-cat ./ft-v05.2006-10-01.000000+0400 \| /flow-print -f9 >flow-print: Flow record missing required field for format. > >а в случае с "/flow-cat ./ft-v05.2006-10-01.000000+0400 \| /flow-print -f5" >нет идентификатора маршрутизатора. > >Можно ли решить проблему не прибегая к использованию 2-х коллекторов flow-capture ? > В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе можешь выложить где-нибудь один файл для примера, покопаться?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Сбор трафика flow-capture с нескольких маршрутизаторов."
	Сообщение от vkorneev (ok) on 04-Апр-07, 14:24
	>В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе >можешь выложить где-нибудь один файл для примера, покопаться? У меня скрипты на flow-print настроены. Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные о маршрутизаторе, с которого пришел этот флоу ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Сбор трафика flow-capture с нескольких маршрутизаторов."
	Сообщение от pal (??) on 04-Апр-07, 14:28
	> >>В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе >>можешь выложить где-нибудь один файл для примера, покопаться? > >У меня скрипты на flow-print настроены. >Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные >о маршрутизаторе, с которого пришел этот флоу ? Попробуй flow-export, выбери нужные поля...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Сбор трафика flow-capture с нескольких маршрутизаторов."
	Сообщение от Kwach on 25-Май-08, 03:29
	> >>В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе >>можешь выложить где-нибудь один файл для примера, покопаться? > >У меня скрипты на flow-print настроены. >Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные >о маршрутизаторе, с которого пришел этот флоу ? К примеру экспорт в MySQL: /usr/local/bin/flow-cat work/* \| flow-export -f3 -mUNIX_SECS,DOCTETS,SRCADDR,DSTADDR,SRCPORT,DSTPORT -u "root::127.0.0.1::netflow:raw" flow-export: Exported 15360 records Только нужно добавить поле с данными о источнике. Удачи! )
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]