Frequently Asked Questions
Question
Запись трафика на FreeBSD, аналогично NetFlow
Answer
Так получается, что flow-capture на слабых машинах не работает. В манах про это написано. При перегрузке, слишком длинных задержках и т.п. коллектор просто перестает принимать данные, причем может даже не вылетать, а тихо висеть в памяти. При современных мощностях это не так важно, но вот в случае использования старой железяки и малых ресурсах может оказаться большой проблемой. Но вопрос решается простым способам, 2-мя пакетами, находящимися в портах FreeBSD. Это /usr/ports/net-mgmt/softflowd - аналог netgraph сборщика данных с интерфейсов, и /usr/ports/net-mgmt/flowd - аналог коллектора flow-capture (включая возможность работы с cisco и т.п.), который не падает и не теряется при практически любой нагрузке сервера. Приводить особенности настройки не буду, т.к. конфиги их совершенно понятны и просты. Отмечу, только, что для того чтобы собранные данные flowd можно было перекладывать с места на место, следует послать ему kill -USR1 *** где *** - номер процесса. Тогда flowd переоткрывает файл данных и его можно ротейтить. Просмотр и перевод в текстовый вид собранной информации осуществляется идущей в комплекте утилиткой flowd-reader. Вот таким образом можно запустить полноценный интернет сервер с проверкой вирусов на лету и мониторингом трафика всего-лишь на PIII 733.
Details
Info Sunday 13 July 2014 - 18:10:29 by vampyr
Vampyr`s House!
Question
Запись трафика на FreeBSD, аналогично NetFlow
Answer
Так получается, что flow-capture на слабых машинах не работает. В манах про это написано. При перегрузке, слишком длинных задержках и т.п. коллектор просто перестает принимать данные, причем может даже не вылетать, а тихо висеть в памяти. При современных мощностях это не так важно, но вот в случае использования старой железяки и малых ресурсах может оказаться большой проблемой. Но вопрос решается простым способам, 2-мя пакетами, находящимися в портах FreeBSD. Это /usr/ports/net-mgmt/softflowd - аналог netgraph сборщика данных с интерфейсов, и /usr/ports/net-mgmt/flowd - аналог коллектора flow-capture (включая возможность работы с cisco и т.п.), который не падает и не теряется при практически любой нагрузке сервера. Приводить особенности настройки не буду, т.к. конфиги их совершенно понятны и просты. Отмечу, только, что для того чтобы собранные данные flowd можно было перекладывать с места на место, следует послать ему kill -USR1 *** где *** - номер процесса. Тогда flowd переоткрывает файл данных и его можно ротейтить. Просмотр и перевод в текстовый вид собранной информации осуществляется идущей в комплекте утилиткой flowd-reader. Вот таким образом можно запустить полноценный интернет сервер с проверкой вирусов на лету и мониторингом трафика всего-лишь на PIII 733.
Details
Info Sunday 13 July 2014 - 18:10:29 by vampyr
Vampyr`s House!
