The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Logging - помогите правильно сделать"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 11:53  (MSK)
имею 2610 роутер, и сервер syslog заним...
написанно...
logging history debugging
logging facility local6
logging source-interface Serial0/0
logging 10.10.221.250
----------
логи пишутся... а ЧТО НУЖНО НАПИСАТЬ ЧТОБ писались ВСЕ, что проходит через рутер...по ПРОТАКОЛАМ!!
Тоесть детализация всего траффика по праотаколам (www, smtp, icmp...и т.д)

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 08-Авг-05, 12:06  (MSK)
>имею 2610 роутер, и сервер syslog заним...
>написанно...
>logging history debugging
>logging facility local6
>logging source-interface Serial0/0
>logging 10.10.221.250
>----------
>логи пишутся... а ЧТО НУЖНО НАПИСАТЬ ЧТОБ писались ВСЕ, что проходит через
Что бы писались ВСЕ - надо сделать debug all, чего не советую!
>рутер..по ПРОТАКОЛАМ!!


>Тоесть детализация всего траффика по праотаколам (www, smtp, icmp...и т.д)

А что ты хочешь получить в итоге? - Биллинг! Тогда кури netflow!
А если просто что бы в логах отражалось ну влючи те дебаги которые нужны!
Учти что после перезагрузки дебаг надо будет включать заново!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 12:10  (MSK)
преследую я цель такую, чтоб в лог собиралось количество траффика - IP -
время - и тип (smtp, www и т.д)

но вот как это на рутере написать? он же должен такую статистику предоставлять?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 08-Авг-05, 12:18  (MSK)
>преследую я цель такую, чтоб в лог собиралось количество траффика - IP
>-
>время - и тип (smtp, www и т.д)
>
>но вот как это на рутере написать? он же должен такую статистику
>предоставлять?

тогда не извращаяся с дебагом, логгингом и сислогом, а почитай про netflow на cisco.com!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 12:21  (MSK)
хороше,  попробую, спасибо...


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 12:32  (MSK)
посмотрел, у меня на инт.Tunnel прописано ip route-cache flow
..и sh ip cac flow
но это данные на текущий момент, а мне нужно чтобы это выводилось в файл и постоянно..
как  быть в моей ситуации

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 08-Авг-05, 12:35  (MSK)
>посмотрел, у меня на инт.Tunnel прописано ip route-cache flow
>..и sh ip cac flow
>но это данные на текущий момент, а мне нужно чтобы это выводилось
>в файл и постоянно..
>как  быть в моей ситуации

прочитай еще про
ip flow-export source
ip flow-export version
ip flow-export destination

и про netflow коллекторы!
наример http://www.splintered.net/sw/flow-tools/

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 13:34  (MSK)
да, возможно это и есть полное решение моей проблемы, но пока неудается
поставить пакет на сервер.. при установке он требует python, он у меня стоит, но видимо как то не так или не тот...незнаю..
ставлю под ASPlinux

а принцип работы тот же как и у syslog ?, на сервере которая ловит пакеты с рутера

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 08-Авг-05, 14:07  (MSK)
>да, возможно это и есть полное решение моей проблемы, но пока неудается
>
>поставить пакет на сервер.. при установке он требует python, он у меня
>стоит, но видимо как то не так или не тот...незнаю..
>ставлю под ASPlinux
Ну поставь этот питон, нотя я не помню чтобы он там был нужен - т.к. я ставил под практически голый solaris, куда питон точно не входит!

>а принцип работы тот же как и у syslog ?, на сервере
>которая ловит пакеты с рутера
если рассматривать с точки зрения UDP пакетов то - да, такой же принцип.
Но вот наполнение этих пакетов совсем разное - я думаю с помощью простого логгинга ты не сможешь получить такуюже объемную и гибкую статистику, которую предоставляет netflow.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 14:35  (MSK)
незнаю, говорит об неудавлетворении зависимостей и просит питон , хотя тот стаит... посмотрю еще.
спасибо
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 08-Авг-05, 14:41  (MSK)
Какую версию flow-tools пытаешься утсановить? 0.66?

Это тебе configure выдает ошибку?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 14:47  (MSK)
ставлю flow-tools-0.68-1.i386.rpm , и пишет о неудовлетворении зависимости
к Python
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 08-Авг-05, 14:48  (MSK)
>ставлю flow-tools-0.68-1.i386.rpm , и пишет о неудовлетворении зависимости
>к Python

попробуй поставь из сорцов http://www.splintered.net/sw/flow-tools/!

Latest Stable Version (0.66) -- Working flow-nfilter and flow-report.
ftp://ftp.eng.oar.net/pub/flow-tools/flow-tools-0.66.tar.gz

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 15:56  (MSK)
все получилось, поставил , но не разобрался доконца, подскаджите плиз куда поставился ее конфиг и где находится ее запуск.
в readme исключит. все по настройке рутера..
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 08-Авг-05, 16:02  (MSK)
Ну там вообщето не README а INSTALL!
Посмотри в нем - там есть несколько примеров про flow-capture(как раз то что тебе надо). Начинай читать прям с описания про tcpdump!
Также посмтори flow-receive flow-print и т.д.

почитай на сайте - там много инфы
http://www.splintered.net/sw/flow-tools/


Overview
http://www.splintered.net/sw/flow-tools/docs/flow-tools.html

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 17:20  (MSK)
все получилось, спасибо ошибки были при компиляции но все решил..

... но при выводе

% ./flow-receive 0/0/9990 | ./flow-print
Sif SrcIPaddress     Dif DstIPaddress    Pr SrcP DstP Pkts       Octets
60  206.204.84.9     00  10.0.135.63     06 15   5f0  2          88
00  10.0.135.63      60  206.204.84.9    06 5f0  15   16         787
60  206.204.84.9     00  10.0.135.63     06 15   5f0  13         1742
00  10.0.155.25      60  204.62.245.167  06 50   bae5 15         948
60  204.62.245.167   00  10.0.155.25     06 bae5 50   13         681
60  206.204.84.20    00  10.0.135.63     06 50   5ed  7          3494
60  206.204.84.20    00  10.0.135.63     06 50   5ef  6          401
60  206.204.84.20    00  10.0.135.63     06 50   5eb  11         9413
00  10.0.135.63      60  206.204.84.20   06 5ed  50   9          637

а мне бы очень хотелось... ТАК

IP Flow Switching Cache, 4456704 bytes
  4139 active, 61397 inactive, 712344771 added
  871670181 ager polls, 0 flow alloc failures
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet     1572735      0.3        58   127     21.4      27.0      14.8
TCP-FTP        6193502      1.4        24   746     35.3       3.6       9.0
TCP-FTPD       1458042      0.3      1534   833    520.9      42.4       4.2
TCP-WWW       93403998     21.7        19   633    432.9       4.9       6.3
TCP-SMTP      16123540      3.7        15   431     59.1       3.4       6.4
TCP-X           687228      0.1       238   276     38.1      20.8      14.3
TCP-BGP        1116819      0.2         3    45      0.7       5.3      16.0
TCP-NNTP       1455156      0.3      1102   176    373.4     106.1      11.9
TCP-Frag          3244      0.0         4   636      0.0       2.8      16.3
TCP-other    188162587     43.8       118   733   5204.5      11.1       6.9
UDP-DNS       38042100      8.8         3    84     27.3       3.8      16.4
UDP-NTP       18760129      4.3         1    76      5.3       1.3      16.3
UDP-TFTP           665      0.0         4    76      0.0       7.9      16.4
UDP-Frag         13111      0.0      2121  1108      6.4     366.8      13.5
UDP-other    195556237     45.5        35   343   1632.5       5.8      16.3
ICMP         149285440     34.7         2    64     72.9       0.9      16.5
IGMP             15315      0.0       167    32      0.5    1660.6       3.9
IPINIP           15112      0.0        35    52      0.1     275.3      14.2
GRE             127489      0.0         3   109      0.1      16.9      16.1
IP-other        348604      0.0        56   447      4.5      21.5      16.2
Total:       712341053    165.8        50   620   8436.8       6.2      12.2

можно ли такого добиться, или я что то не так делаю?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 17:21  (MSK)
все получилось, спасибо ошибки были при компиляции но все решил..

... но при выводе

% ./flow-receive 0/0/9990 | ./flow-print
Sif SrcIPaddress     Dif DstIPaddress    Pr SrcP DstP Pkts       Octets
60  206.204.84.9     00  10.0.135.63     06 15   5f0  2          88
00  10.0.135.63      60  206.204.84.9    06 5f0  15   16         787
60  206.204.84.9     00  10.0.135.63     06 15   5f0  13         1742
00  10.0.155.25      60  204.62.245.167  06 50   bae5 15         948
60  204.62.245.167   00  10.0.155.25     06 bae5 50   13         681
60  206.204.84.20    00  10.0.135.63     06 50   5ed  7          3494
60  206.204.84.20    00  10.0.135.63     06 50   5ef  6          401
60  206.204.84.20    00  10.0.135.63     06 50   5eb  11         9413
00  10.0.135.63      60  206.204.84.20   06 5ed  50   9          637

а мне бы очень хотелось... ТАК

IP Flow Switching Cache, 4456704 bytes
  4139 active, 61397 inactive, 712344771 added
  871670181 ager polls, 0 flow alloc failures
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet     1572735      0.3        58   127     21.4      27.0      14.8
TCP-FTP        6193502      1.4        24   746     35.3       3.6       9.0
TCP-FTPD       1458042      0.3      1534   833    520.9      42.4       4.2
TCP-WWW       93403998     21.7        19   633    432.9       4.9       6.3
Total:       712341053    165.8        50   620   8436.8       6.2      12.2
и т.д.....
можно ли такого добиться, или я что то не так делаю?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 08-Авг-05, 17:29  (MSK)
Нет нельзя, или ну разве только самому сделать такую агрегацию!
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 08-Авг-05, 17:36  (MSK)
можно тогда последний вопрос

srcPort и dstPort, это соответственно порты источника и получателя, а количесто и размер пакетов, тоесть собственно сам траффик... это последняя калонка?

srcIP            dstIP            prot  srcPort  dstPort  octets      packets
150.162.20.20    217.69.202.227   6     1491     4899     96          2
212.44.130.13    217.69.220.221   6     25       55090    3094        49
10.10.221.55     10.10.221.251    17    123      123      76          1
217.69.220.221   212.44.130.13    6     55090    25       60095       51

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 08-Авг-05, 17:41  (MSK)
>можно тогда последний вопрос

Можно!

octets == bytes == 8 bits
packets - кол-во пакетов!

Посмотри еще параметры flow-print - там есть много разных ключиков в каом формате выдавать! есть даже что то подобное sh ip accounting!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 10-Авг-05, 16:02  (MSK)
сообщение для "Сайко".
простите, можно вас еще побеспокоить...у меня прежняя проблема с flow-tools.
чтоб увидить тип траффика пробую flow-capture.
flow-capture -w /flows/test  -E5G 0/10.10.221.251/9990
ничего не появляется,файл пустой.... я совсем запутался..

при flow-receive 0/0/9990 | ./flow-print > /test валит в файл
Sif SrcIPaddress     Dif DstIPaddress    Pr SrcP DstP Pkts       Octets
60  206.204.84.9     00  10.0.135.63     06 15   5f0  2          88
00  10.0.135.63      60  206.204.84.9    06 5f0  15   16         787
60  206.204.84.9     00  10.0.135.63     06 15   5f0  13         1742

а нужно....
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet     1572735      0.3        58   127     21.4      27.0      14.8
TCP-FTP        6193502      1.4        24   746     35.3       3.6       9.0
TCP-FTPD       1458042      0.3      1534   833    520.9      42.4       4.2
TCP-WWW       93403998     21.7        19   633    432.9       4.9       6.3

тоесть похоже что с роутером все ок?... видимо я неправильно снимаю статистику? не могу понять как нужно...

Параллельно смотрю http://netacad.kiev.ua/flowc/index.php?id=2
но проблемы с компиляцией

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 10-Авг-05, 16:18  (MSK)
Я думаю что у Вас просто проблема с доступом к файлу или к директории, или нет прав на создание файлов в этой директории!
Вы от root'а запускаете этот скрипт?
Попробуй не в  /flows/test а в /tmp/XXX
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "Logging - помогите правильно сделать" 
Сообщение от flatciz emailИскать по авторуВ закладки on 10-Авг-05, 16:24  (MSK)
к сожалению нет, работаю под рутом и на файлы доступ для "всех"
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "Logging - помогите правильно сделать" 
Сообщение от Сайко Искать по авторуВ закладки on 10-Авг-05, 17:27  (MSK)
>к сожалению нет, работаю под рутом и на файлы доступ для "всех"
>

Стоп! Погоди у тебя файл примерно такого формата создается:
/tmp/flows/2005/2005-08/2005-08-10/tmp-v05.2005-08-10.172241+0400
Подожди 15 миннут(кажется по дефолту) он станет с другим именем не tmp-xxx - вот его и посмотри!

У меня правда и такой файл tmp все нормально показывает:
ls -al /tmp/flows/2005/2005-08/2005-08-10/tmp-v05.2005-08-10.172241+0400
-rw-r--r--   1 root     root        98392 Aug 10 17:25 /tmp/flows/2005/2005-08/2005-08-10/tmp-v05.2005-08-10.172241+0400
==========================================================================
/usr/local/netflow/bin/flow-cat /tmp/flows/2005/2005-08/2005-08-10/tmp-v05.2005-08-10.172241+0400 | /usr/local/netflow/bin/flow-print | head -2
srcIP            dstIP            prot  srcPort  dstPort  octets      packets
XXX.YYY.240.50   172.31.22.4      1     0        0        84          1  

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру