NetFlow + nějaký frontend

[Polk]

Líbí se mi ten soft, co uvedl Golismen, jen bych měl dotaz jak mít správně nastaveny timeouty přímo v MK v položce traffic flow.
A další věc, tendle soft když dělá report, tak do něj nezapisuje přesný časy ( dá se vybrat interval ze kdy se má udělat) - chápu to tak, že to je tedy nepoužitelné, nebo se to dá někde nastavit ?

Díky.

[golismen]

Líbí se mi ten soft, co uvedl Golismen, jen bych měl dotaz jak mít správně nastaveny timeouty přímo v MK v položce traffic flow.
A další věc, tendle soft když dělá report, tak do něj nezapisuje přesný časy ( dá se vybrat interval ze kdy se má udělat) - chápu to tak, že to je tedy nepoužitelné, nebo se to dá někde nastavit ?

Díky.

Ano dá se nastavit report treba aji pro port ci pro IP treba na kazdy mesic nebo na urcitou hodinu s opakovanim . Jinak na mikrotiku se nastavi netflow ip a port na ktery to ma odesilat a netflowanalyzer to sam rozpozna a nabidne device . Doporucuji nainstalnout a zkusit to bude asi nejlepsi

[Polk]

Mám to nainstalované, ale nikde jsem nenašel to, že když udělám třeba export do PDF, tak aby u každého spojení byl zapsaný čas. Takhle si určím třeba ten a ten čas, ale u těch spojení už nejsou bližsí časy. Jde to někde nastavit ?

[golismen]

Mám to nainstalované, ale nikde jsem nenašel to, že když udělám třeba export do PDF, tak aby u každého spojení byl zapsaný čas. Takhle si určím třeba ten a ten čas, ale u těch spojení už nejsou bližsí časy. Jde to někde nastavit ?

To se obávám že nelze , teda alespon nevim jak .

[reset]

na debianu to umi vyexportovat do citelneho textaku.
Ja to ale osobne nepouzivam. Nemam potrebu, data sypu pouze do logu. Vic me nezajima. Je tam stejne tuna dat, a analem bych akorat zabijel cas.

[golismen]

na debianu to umi vyexportovat do citelneho textaku.
Ja to ale osobne nepouzivam. Nemam potrebu, data sypu pouze do logu. Vic me nezajima. Je tam stejne tuna dat, a analem bych akorat zabijel cas.

Muzes me rict jak se to v tom linuxu da vytahnout do textaku , díky moc

[LadaP]

je otazka jak to delas.

ja pouzivam debian / flow tools

a kdyz neco potrebuju tak to taham pres flow-eport, nedavam to do DB dopredu, az podle potreb

a mas z toho :

Kód: Vybrat vše

Start             End               Sif   SrcIPaddress    SrcP  DIf   DstIPaddress    DstP    P Fl Pkts       Octets
0324.10:10:09.712 0324.10:10:09.712 105   88.xx.xx.xx     22768 104   161.142.2.17    53    17  0  1          80
0324.10:10:09.712 0324.10:10:09.712 105   10.30.12.13     57455 104   94.112.222.80   60301 6   0  1          58
0324.10:10:09.712 0324.10:10:09.712 105   10.30.12.13     57455 104   213.191.119.1   57837 6   0  1          58

[miract]

Instalace flow tools na debianu:

apt-get install flow-tools fprobe

/etc/flow-tools/flow-capture.conf
--------------------------------------------------
-w /log -N 3 -n 275 -S 60 -V 5 -z 9 0/0/555
--------------------------------------------------
mkdir /log
mkdir /log/exporty
data se ukladaji do slozky /log
napr. /log/2009/2009-07/2009-07-29/ft-v05.2009-07-29.XXXXXX+0200

/etc/default/fprobe
------------------------------------------
INTERFACE="eth2"
FLOW_COLLECTOR="localhost:555"
OTHER_ARGS="-fip"
------------------------------------------
eth2 port je port, na ktery tecou data z monitor portu switche. Lze tam zvolit i interface, prez ktery data tecou.

/etc/init.d/flow-capture restart
/etc/init.d/fprobe restart

A uz by to melo logovat.

Pokud chce prevest skomprimovany log do citelne txt podoby, da se pouzit prikaz
flow-print -f 5 < /log/2009/2009-07/2009-07-29/ft-v05.2009-07-29.XXXXXX+0200 >> /log/exporty/export-xxxxxx.txt

Ja jsem si napsal bashovej skriptik, ktery mi to exportovani trosku ulehci:
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
#! /bin/bash

clear
echo ""
echo ""
echo " Exportovani dat z logu:"
echo ""

echo -n " rok: "
read rok
if [ -z "$rok" ]; then
echo " rok: `date +%Y`"
rok=`date +%Y`
fi

echo -n " mesic: "
read mesic
if [ -z "$mesic" ]; then
echo " mesic: `date +%m`"
mesic=`date +%m`
else
if [ "$mesic" -lt 10 ]; then
mesic="0$mesic"
fi
fi

echo -n " den: "
read den
if [ -z "$den" ]; then
echo " den: `date +%d`"
den=`date +%d`
else
if [ "$den" -lt 10 ]; then
den="0$den"
fi
fi

echo -n " hodina: "
read hodina

echo -n " minuta: "
read minuta

echo -n " ip: "
read ip

echo -n " port: "
read port

datum=`date +%F-%T`

if [ -n "$hodina" ]; then
if [ "$hodina" -lt 10 ]; then
hodina="0$hodina"
fi
fi

if [ -n "$minuta" ]; then
if [ "$minuta" -lt 10 ]; then
minuta="0$minuta"
fi
fi
soubory=`ls /log/$rok/$rok-$mesic/$rok-$mesic-$den|grep $rok-$mesic-$den.$hodina`

echo "" > /log/exporty/export-$datum.txt
echo " *** Export logu z $den.$mesic.$rok, hodina: $hodina, minuta: $minuta, ip: $ip, port: $port. *** " >> /log/exporty/export-$datum.txt
echo "" >> /log/exporty/export-$datum.txt

for soubor in $soubory;
do
if [ -n "$minuta" ]; then
if [ -n "$ip" ]; then
if [ -n "$port" ]; then
flow-print -f 5 < /log/$rok/$rok-$mesic/$rok-$mesic-$den/$soubor|grep .$hodina:$minuta:|grep $ip|grep -w $port >> /log/exporty/export-$datum.txt
else
flow-print -f 5 < /log/$rok/$rok-$mesic/$rok-$mesic-$den/$soubor|grep .$hodina:$minuta:|grep $ip >> /log/exporty/export-$datum.txt
fi
else
if [ -n "$port" ]; then
flow-print -f 5 < /log/$rok/$rok-$mesic/$rok-$mesic-$den/$soubor|grep .$hodina:$minuta:|grep -w $port >> /log/exporty/export-$datum.txt
else
flow-print -f 5 < /log/$rok/$rok-$mesic/$rok-$mesic-$den/$soubor|grep .$hodina:$minuta: >> /log/exporty/export-$datum.txt
fi
fi
else
if [ -n "$ip" ]; then
if [ -n "$port" ]; then
flow-print -f 5 < /log/$rok/$rok-$mesic/$rok-$mesic-$den/$soubor|grep $ip|grep -w $port >> /log/exporty/export-$datum.txt
else
flow-print -f 5 < /log/$rok/$rok-$mesic/$rok-$mesic-$den/$soubor|grep $ip >> /log/exporty/export-$datum.txt
fi
else
if [ -n "$port" ]; then
flow-print -f 5 < /log/$rok/$rok-$mesic/$rok-$mesic-$den/$soubor|grep -w $port >> /log/exporty/export-$datum.txt
else
flow-print -f 5 < /log/$rok/$rok-$mesic/$rok-$mesic-$den/$soubor >> /log/exporty/export-$datum.txt
fi
fi
fi
done
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Tak doufam, ze to nekomu pomuze!

Mira

[Star_Gate]

Zdravím,

tak ono třeba CactiEZ má v sobě flow-tools a přez cacti jetam udělaná přehledná správa zařízení + frontend kde se to dá nechat vypsat do tabulky. Jen to exportování do TXT souboru je pro mě trochu tabu. nevěděl by někdo jak na to s nástrojem flow-tools?

Díky za info

[hapi]

tak jistě že věděl, akorát nevim na co ti to bude když je tam toho mraky. V pohodě se to dá dostat do csv kde to je přehlednější

[Star_Gate]

No měl sem to namysli do *.txt kvůli legislativě. jestli se nepletu tak to chcou v TXT formátu....

[miract]

soucasti flow-tools je i flow-print, tak nevim co resis, precti si poradne, co jsem napsal vyse, je tam i skript, kde si muzes vybrat IP, port, cas toho, co chces exportovat!!!

Mira

[lukas]

Skriptik dost dobrej, mam neco podobnyho, ale todle je lepcejsi, diky Ma to ale stejnej bug - pri vyhledavani ip napr. 212.158.155.1 to vyhleda vsechny vyrazi obsahujici "212.158.155.1", tedy i napr. 212.158.155.147, 148, atp.
Marne prochazim dokumentaci, abych nasel ten spravny argument pro grep, kde ma hledat pouze to, co definguju... Bud jsem slepej, nebo to tam fakt neni... Poradi nekdo?

Jinak doporucuji mit na to druhej disk vyhrazeny pouze pro logy, ja to neresil neresil a disk byl za par mesicu plnej logu, coz zpusobilo pad ostatnich aplikaci serveru... dost neprijemny...

[hapi]

co zkusit hledat ip a na konci dopsat mezeru a tim pádem je jasný že tam už neni číslo

[lukas]

Ee, to nee... Tam ten argument musi byt...