❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
ako na netflow
Re: ako na netflow
čas tam je, je nutný to nějak zpočítat protože tam je timestamp a pak timestamp v mikrosekundách začátku spojení a pak ještě čas ukončení spojení k kterej je z toho odvozenej. Budeš muset pohledat na netu.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
to miract, to uz je ine kafe
Kolko mi to trvalo kym som sa k tomu dopracoval
este by ma zaujmalo co je Sif, P, Fl a Octets
btw mam siet s 10PC a 5 minutovy subor komprimovany ma 72KB a po exporte to ma 687KB a to je na 10PC a 5 minut celkom dost
dik hapi aj miract
Kód: Vybrat vše
Start End Sif SrcIPaddress SrcP DIf DstIPaddress DstP P Fl Pkts Octets
0805.17:59:43.470 0805.17:59:44.080 6 xx.111.216.xxx 80 2 192.168.1.12 3943 6 2 5 630
0805.17:59:44.150 0805.17:59:44.150 6 xx.214.165.xx 18978 2 192.168.1.5 2228 6 1 1 40
0805.17:59:43.640 0805.17:59:44.170 6 xx.111.216.xxx 80 2 192.168.1.12 3945 6 2 5 630
Kolko mi to trvalo kym som sa k tomu dopracoval
este by ma zaujmalo co je Sif, P, Fl a Octetsbtw mam siet s 10PC a 5 minutovy subor komprimovany ma 72KB a po exporte to ma 687KB a to je na 10PC a 5 minut celkom dost
dik hapi aj miract
0 x
skuste sa pozriet do /var/log/syslog (etc.) ci vam v5 dava error ohladom poradia paketov ak ano ako ste to riesili ...
0 x
Ano pozeral som, zahadzuje to niektore pakety
Kód: Vybrat vše
Aug 16 06:50:22 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357721 received=357723 lost=2
Aug 16 06:50:36 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357724 received=357723 lost=4294967294
Aug 16 06:50:38 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357724 received=357723 lost=4294967294
Aug 16 06:50:58 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357724 received=357726 lost=2
Aug 16 06:51:10 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357727 received=357726 lost=4294967294
Aug 16 06:51:18 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357728 received=357726 lost=4294967293
Aug 16 06:51:46 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357727 received=357728 lost=1
Aug 16 06:52:30 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357729 received=357731 lost=2
Aug 16 06:52:36 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357733 received=357731 lost=4294967293
0 x
Neporadil by mi nekdo nejaky zpusob na inteligentni vypisovani tech udaju a mozne vyhledavani? Neexistuje treba nejaky webserver ktery by ty soubory dokazal inteligentne zpracovat? Kazdy den mi pribyde 700MB dat, tak bych se na ne chtel obcas i podivat. Diky
0 x
co máš za průtoky že máš 700MB za den? Nemáš tam ěnco špatně? Doufám že si neděláš exporty každou chvilku protože to je na nic, beztak nechápu co chceš v tý kvantě dat hledat.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
dneska jsem is vsimnul, ze mi flow-capture na serveru nebezi asi tak 6mesicu ,
po rekonfiguraci a startu mi to do syslogu pise
x.x.x.x = MKv3.28
nesetkali jste se s tim nekdo ?
po rekonfiguraci a startu mi to do syslogu pise
Kód: Vybrat vše
Jan 13 02:10:12 ruah flow-capture[2086]: Unexpected PDU: src_ip=x.x.x.x not configuredx.x.x.x = MKv3.28
nesetkali jste se s tim nekdo ?
0 x
ERnet tady, ERnet tam, ERnet vsude kam se podivam
700MB je moc? mám to standardně nastavený v mikrotiku na 5minut. Denně mi sítí projde 1TB download.
0 x
Chrysler píše:Neporadil by mi nekdo nejaky zpusob na inteligentni vypisovani tech udaju a mozne vyhledavani? Neexistuje treba nejaky webserver ktery by ty soubory dokazal inteligentne zpracovat? Kazdy den mi pribyde 700MB dat, tak bych se na ne chtel obcas i podivat. Diky
asi by bolo vhodne potrebne data ukladat do db, a nepotredne vymazat. da sa s prikazom flow-export. staci ci ukladat start, end, srcip, srcport, dstip, dstport. rikaz je nasledovny:
flow-export -f3 -mUNIX_SECS,UNIX_NSECS,SRCADDR,SRCPORT,DSTADDR,DSTPORT -u "user:password:host:port:name:table" < flows
na vyber mas aj dalsie:
UNIX_SECS 0x0000000000000001LL
UNIX_NSECS 0x0000000000000002LL
SYSUPTIME 0x0000000000000004LL
EXADDR 0x0000000000000008LL
DFLOWS 0x0000000000000010LL
DPKTS 0x0000000000000020LL
DOCTETS 0x0000000000000040LL
FIRST 0x0000000000000080LL
LAST 0x0000000000000100LL
ENGINE_TYPE 0x0000000000000200LL
ENGINE_ID 0x0000000000000400LL
SRCADDR 0x0000000000001000LL
DSTADDR 0x0000000000002000LL
SRC_PREFIX 0x0000000000004000LL
DST_PREFIX 0x0000000000008000LL
NEXTHOP 0x0000000000010000LL
INPUT 0x0000000000020000LL
OUTPUT 0x0000000000040000LL
SRCPORT 0x0000000000080000LL
DSTPORT 0x0000000000100000LL
PROT 0x0000000000200000LL
TOS 0x0000000000400000LL
TCP_FLAGS 0x0000000000800000LL
SRC_MASK 0x0000000001000000LL
DST_MASK 0x0000000002000000LL
SRC_AS 0x0000000004000000LL
DST_AS 0x0000000008000000LL
IN_ENCAPS 0x0000000010000000LL
OUT_ENCAPS 0x0000000020000000LL
PEER_NEXTHOP 0x0000000040000000LL
ROUTER_SC 0x0000000080000000LL
EXTRA_PKTS 0x0000000100000000LL
MARKED_TOS 0x0000000200000000LL
a nasledne vymazat nepotrebne data. zatial mi to nefunguje, stale pise chybu bash flow not found
0 x
Ahoj měl bych otázku jakej interface nastavujete na MK ze kterýho se mají data sbírat ?
Ether1 mám přivod konektivity a pak vše ostatní jsou již odroutovaný veřejky nebo NATy apod. Domnívám se, že stačí nastavit jen ether1.
Díky za radu.
Ether1 mám přivod konektivity a pak vše ostatní jsou již odroutovaný veřejky nebo NATy apod. Domnívám se, že stačí nastavit jen ether1.
Díky za radu.
0 x
tak si pust torch na tom portu a koukni jestli tam jsou i dest. adresy klientu co jsou za NATem nebo jenom ta verejna
0 x
Chrysler píše:700MB je moc? mám to standardně nastavený v mikrotiku na 5minut. Denně mi sítí projde 1TB download.
Me se to moc nezda, me to dela pri stejnem nastaveni 5 minut cca 350MB za den pri zhruba 0,5TB down/ 200GBup denne
0 x
TO qidoRV :
jj i v Logu pak jsou viděl lokální IP, když dám all interface, tak vidím třeba nějaké spojení Internet - Lokalní a o řádek níž třeba Lokalní - Internet na stejných portech jen otočený DST a SRC IP. Takže si myslím, že mi na all bere jak z ETH1 tak pak z ETH2 jen jsou samozřejmě otočený směry.
Ale zase když vypnu ALL a nastavím jen sběr z ETH1 , tak mi přijde že některý spojení tam chybí a nebo vidím spojení třeba s IP serveru na portu 6881 (Bitcomet) s venkem a není tam vidět ta lokální IP, pokud to tedy není spojení které vlastně na bráně vyprší protože se nedostane na lokální IP.
jj i v Logu pak jsou viděl lokální IP, když dám all interface, tak vidím třeba nějaké spojení Internet - Lokalní a o řádek níž třeba Lokalní - Internet na stejných portech jen otočený DST a SRC IP. Takže si myslím, že mi na all bere jak z ETH1 tak pak z ETH2 jen jsou samozřejmě otočený směry.
Ale zase když vypnu ALL a nastavím jen sběr z ETH1 , tak mi přijde že některý spojení tam chybí a nebo vidím spojení třeba s IP serveru na portu 6881 (Bitcomet) s venkem a není tam vidět ta lokální IP, pokud to tedy není spojení které vlastně na bráně vyprší protože se nedostane na lokální IP.
0 x
to Polk: jasne all bere ze vsech rozhrani ale kdyz je na rozhrani maskarada tak v torchu toho rozhrani nevidim vnitrni adresy, takze na ETH2 uvidis vsechny spojeni spravne
oprava: pokud mas dst-nat na ETH1 tak pri logovani z ETH2 budou sice IP adresy spravne ale porty ne
oprava: pokud mas dst-nat na ETH1 tak pri logovani z ETH2 budou sice IP adresy spravne ale porty ne
0 x