❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
NetFlow + nějaký frontend
Re: NetFlow + nějaký frontend
myslel jsem dopsat to ve scriptu na hledání ip adres.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
lukas píše:Skriptik dost dobrej, mam neco podobnyho, ale todle je lepcejsi, dikyMa to ale stejnej bug - pri vyhledavani ip napr. 212.158.155.1 to vyhleda vsechny vyrazi obsahujici "212.158.155.1", tedy i napr. 212.158.155.147, 148, atp.
Marne prochazim dokumentaci, abych nasel ten spravny argument pro grep, kde ma hledat pouze to, co definguju... Bud jsem slepej, nebo to tam fakt neni... Poradi nekdo?
Jinak doporucuji mit na to druhej disk vyhrazeny pouze pro logy, ja to neresil neresil a disk byl za par mesicu plnej logu, coz zpusobilo pad ostatnich aplikaci serveru... dost neprijemny...
grep -w $ip
chybicka se vloudila
Mira
0 x
miract píše:lukas píše:Skriptik dost dobrej, mam neco podobnyho, ale todle je lepcejsi, diky
Marne prochazim dokumentaci, abych nasel ten spravny argument pro grep, kde ma hledat pouze to, co definguju... Bud jsem slepej, nebo to tam fakt neni... Poradi nekdo?
Jinak doporucuji mit na to druhej disk vyhrazeny pouze pro logy, ja to neresil neresil a disk byl za par mesicu plnej logu, coz zpusobilo pad ostatnich aplikaci serveru... dost neprijemny...
grep -w $ip
chybicka se vloudila
Mira
... jen jednu otazku, jak zjistis z techto logu treba .... dne toho a toho z vasi verejne ip adresy nekdo ( ip za natem) pristoupil k emailu xxx@xxx.cz .... a musite ho lokalizovat ...????
dikes za radu kaktus_x
0 x
no tak port 110(pop3) nebo 80(webmail), IP pritistrany asi znas no a cas ti reknou taky. Jinak pro domacnosti doporucuju zablokovat vsechny smtp servery krov vaseho a z nej si ukladat logy, a firmama davat vlastni verejnou IP.
Mira
Mira
0 x
miract píše:no tak port 110(pop3) nebo 80(webmail), IP pritistrany asi znas no a cas ti reknou taky. Jinak pro domacnosti doporucuju zablokovat vsechny smtp servery krov vaseho a z nej si ukladat logy, a firmama davat vlastni verejnou IP.
Mira
dikes za radu .... kazde slovo se hodi
a jeste dotaz ohledne mk....nastavil jsem na test RB433
[admin@MikroTik] > ip traffic-flow print
enabled: yes
interfaces: all
cache-entries: 4k
active-flow-timeout: 30m
inactive-flow-timeout: 15s
[admin@MikroTik] > ip traffic-flow target print
Flags: X - disabled
# ADDRESS VERSION
0 10.2.200.11:3000 5 #ip adresa linux ubuntu s flow-tools
eth1 (input-LAN) eth2 (output-GW-NAT) tyto porty do bridge aby byl MK jako prutok .....
...ubuntu .... -w /log -N 3 -n 60 -S 60 -V 5 -z 9 0/0/3000 v /etc/flow-tools/flow-capture.conf
...logy z mk prichazeji a zapisuji se, ale jen komunikace MK-LINUX a ostatni provoz (tj. je dalsi pro test 2 pc), ktery pres bridge tece MK nezaznamena .... je to tim bridgem???? (na mk jsem nastavil traffic-flow interfaces:all)
....jeste radsi jednou struktura zapojeni pro test .... GW(uplink > nat > lan) >> switch(unmanagment) 1)linux..flow-tools 2) mk ... trafic-flow ..(port uplink GW a port LAN v bridge) >> switch(unmanagment) >> 2krat pc
dikes za radu
0 x
hapi píše:nechci se chvástat ale včera jsem to zkoušel mezi páteřnim mikrotikem a serverem na debianu a MKčko to v pohodě posílalo na debiana a flow-tools to v pohodě po 15 minutovym studování dokumantace zachytává a ukládá na disk. Za dalších pár minut funguje i export do mysql takže kdo chce, může za to zaplatit 4000,-
nemohol by si sem pastnut ten skript?
0 x
te script je v dokumentaci
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
dik, a kde najdem dokumentaciu , naoyaj som hladal vsade ale som to neansiel
, naoyaj som hladal vsade ale som to neansiel
0 x
a google ti daco hovori? co keby si skusil hladat pod pojmom nfdump? ...hned prvy odkaz 
nastavenie miktoriku mas vyssie a napr. na debiane ti staci zadat toto:
...a uz ti to zbiera. 2 riadky ....
tie parametre si mozes kuknut ked zadas man nfcapd...bud v linuxe ale funguje aj google
a naco ti je frontend? aj tak ho nebudes vediet nainstalovat
btw. staci 1 prikaz s parametremi a hodi ti tie data co pozadujes, takze gui netreba.
nastavenie miktoriku mas vyssie a napr. na debiane ti staci zadat toto:
Kód: Vybrat vše
#apt-get install nfdump
#nfcapd -tuto zadas zopar spravnych parametrov
...a uz ti to zbiera. 2 riadky ....
tie parametre si mozes kuknut ked zadas man nfcapd...bud v linuxe ale funguje aj google
a naco ti je frontend? aj tak ho nebudes vediet nainstalovat
btw. staci 1 prikaz s parametremi a hodi ti tie data co pozadujes, takze gui netreba.
0 x
ty ho zase blbeš, na nějakej nfdump se vykašly. On chtěl netflow-tools
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
sorry nebol som dost presny, potrebujem skrip na vhadzanie dat do db, net-flow som uz nainstalloval, aj funguje, nie je problem logy prehodit do .txt, ale radsej by som to chcel robit s DB. dik.
0 x
Ahoj,
snažím se rozjet to zachytávání na Mikrotiku+ Ubntu 10.04 LTS a zatím se mi nedaří
.
Postupoval jsem na straně Mikrotiku takto:
[admin@MikroTik] ip traffic-flow> set enabled=yes
[admin@MikroTik] ip traffic-flow> print
enabled: yes
interfaces: all
cache-entries: 4k
active-flow-timeout: 30m
inactive-flow-timeout: 15s
Potom
[admin@MikroTik] ip traffic-flow> add address=10.129.16.2:3002 version=9
Kde IP 10.129.16.2:3002 je PC s Ubuntu.
Vypisuje mi to tedy asi správně:
finished-flows: 888237
active-flows: 3072
unmanaged-packets: 0
unmanaged-bytes: 0
Postupoval jsem podle tohoto
http://wh.cs.vsb.cz/sps/images/4/42/Str ... krotik.pdf
A na Ubuntu jsem nainstaloval to co psal miract :
Instalace flow tools na debianu:
apt-get install flow-tools fprobe
/etc/flow-tools/flow-capture.conf
--------------------------------------------------
-w /log -N 3 -n 275 -S 60 -V 5 -z 9 0/0/555
--------------------------------------------------
mkdir /log
mkdir /log/exporty
data se ukladaji do slozky /log
napr. /log/2009/2009-07/2009-07-29/ft-v05.2009-07-29.XXXXXX+0200
/etc/default/fprobe
------------------------------------------
INTERFACE="eth2"
FLOW_COLLECTOR="localhost:555"
OTHER_ARGS="-fip"
------------------------------------------
eth2 port je port, na ktery tecou data z monitor portu switche. Lze tam zvolit i interface, prez ktery data tecou.
/etc/init.d/flow-capture restart
/etc/init.d/fprobe restart
*************
Stím že jsme změnil eth2 na eth1(u PC přívod do sítě) ale to mi nepomohlo možná mám špatně to stím portem 3002 nebo je někde v linuxu firewall prostě tady jsem se bohužel skončil ještě jsem zkusil dát FLOW_COLLECTOR="localhost:3002" ale ani to nic.
Ještě jsem změnil ten port 3002 na Mikrotiku na 555 a nic.
Pomůžete prosím někdo?
snažím se rozjet to zachytávání na Mikrotiku+ Ubntu 10.04 LTS a zatím se mi nedaří
.Postupoval jsem na straně Mikrotiku takto:
[admin@MikroTik] ip traffic-flow> set enabled=yes
[admin@MikroTik] ip traffic-flow> print
enabled: yes
interfaces: all
cache-entries: 4k
active-flow-timeout: 30m
inactive-flow-timeout: 15s
Potom
[admin@MikroTik] ip traffic-flow> add address=10.129.16.2:3002 version=9
Kde IP 10.129.16.2:3002 je PC s Ubuntu.
Vypisuje mi to tedy asi správně:
finished-flows: 888237
active-flows: 3072
unmanaged-packets: 0
unmanaged-bytes: 0
Postupoval jsem podle tohoto
http://wh.cs.vsb.cz/sps/images/4/42/Str ... krotik.pdf
A na Ubuntu jsem nainstaloval to co psal miract :
Instalace flow tools na debianu:
apt-get install flow-tools fprobe
/etc/flow-tools/flow-capture.conf
--------------------------------------------------
-w /log -N 3 -n 275 -S 60 -V 5 -z 9 0/0/555
--------------------------------------------------
mkdir /log
mkdir /log/exporty
data se ukladaji do slozky /log
napr. /log/2009/2009-07/2009-07-29/ft-v05.2009-07-29.XXXXXX+0200
/etc/default/fprobe
------------------------------------------
INTERFACE="eth2"
FLOW_COLLECTOR="localhost:555"
OTHER_ARGS="-fip"
------------------------------------------
eth2 port je port, na ktery tecou data z monitor portu switche. Lze tam zvolit i interface, prez ktery data tecou.
/etc/init.d/flow-capture restart
/etc/init.d/fprobe restart
*************
Stím že jsme změnil eth2 na eth1(u PC přívod do sítě) ale to mi nepomohlo možná mám špatně to stím portem 3002 nebo je někde v linuxu firewall prostě tady jsem se bohužel skončil ještě jsem zkusil dát FLOW_COLLECTOR="localhost:3002" ale ani to nic.
Ještě jsem změnil ten port 3002 na Mikrotiku na 555 a nic.
Pomůžete prosím někdo?
0 x
Tak jsem zjistil že to sice ukládá soubory po cca 5minutách ale jsou o velikosti 100B každý,tedy evidentně mi to nefunguje jak má protože trafik byl cca 10-40Mbs na Mikrotiku.
0 x