Главная > Заметки, Работа > mpd5 и настройка экспорта netflow

mpd5 и настройка экспорта netflow

27 Апрель 2009
К комментариям Написать комментарий

Несколько дней назад я написал заметку по установке mpd5 + freeradius2 + mysql. Сегодня я хочу рассказать о настройке экспорта детализированной статистики из mpd5 по средством netflow протокола. Раньше для этого дела надо было самостоятельно через утилиту ngctl самостоятельно создавать сенсоры и управлять ими через [up|down]-script скрипты. Сейчас же это можно сделать средствами самого mpd5. Для этого необходимо внести небольшие изменения в конфигурационный файл mpd5 и воспользоваться набором программ из пакета flow-tools для сброса/просмотра/импорта статистики.
Вот что необходимо добавить в mpd.conf

[root@bender mpd5]# diff mpd.conf.noflow mpd.conf
9a10,14
> #--- куда сбрасывает ip/port
>       set netflow peer 127.0.0.1 9996
> #--- период сброса статистики
>       set netflow peer timeouts 60 120
>
19a25,27
> #--- просим сбросить входящую/исходящую статистику
>       set iface enable netflow-in netflow-out
[root@bender mpd5]#

Не забываем перезапустить mpd5. Продолжим наш процесс установкой flow-tools:
в /etc/make.conf добавляем

.if ${.CURDIR} == ${PORTSDIR}/net-mgmt/flow-tools
    WITH_MYSQL=yes
.endif

Это мы собираем его с поддержкой импорта в mysql, так как статистику потом можно удобно обрабатывать. Дальше ставим сам пакет:

[root@bender mpd5]# make -C /usr/ports/net-mgmt/flow-tools install clean
===>  Extracting for flow-tools-0.68_7
=> MD5 Checksum OK for flow-tools-0.68.tar.gz.
=> SHA256 Checksum OK for flow-tools-0.68.tar.gz.
#--- skip ---#
[root@bender mpd5]#

теперь создадим папку, выставим на нее права и настроим сброс туда статистики:

[root@bender mpd5]# mkdir /var/db/flows
[root@bender mpd5]# chown flowtools:flowtools /var/db/flows
[root@bender mpd5]# echo 'flow_capture_enable="YES"'
[root@bender mpd5]# echo 'flow_capture_localip="127.0.0.1"'
[root@bender mpd5]# echo 'flow_capture_remoteip="127.0.0.1"'
[root@bender mpd5]# echo 'flow_capture_port="9996"'
[root@bender mpd5]# echo 'flow_capture_flags="-N 3"'
[root@bender mpd5]# echo 'flow_capture_datadir="/var/db/flows/"'
[root@bender mpd5]# /usr/local/etc/rc.d/flow_capture start
Starting flow_capture.
[root@bender mpd5]#

Все, теперь у вас в папку /var/db/flows/ должна складываться статистика, при чем так как мы указали -N 3, то автоматически будет создаться следующая иерархия вложенных папок YYYY/YYYY-MM/YYYY-MM-DD/flow-file
Через некоторое время смотрим что у нас появилось в нашей папке со статистикой:

[root@bender mpd5]# ls /var/db/flows/2009/2009-04/2009-04-27/
total 200
drwxr-xr-x  2 root  flowtools     14 27 апр 14:15 .
drwxr-xr-x  3 root  flowtools      3 27 апр 11:36 ..
-rw-r--r--  1 root  flowtools  25751 27 апр 11:45 ft-v05.2009-04-27.113613+0900
-rw-r--r--  1 root  flowtools   6034 27 апр 11:56 ft-v05.2009-04-27.114501+0900
-rw-r--r--  1 root  flowtools   6623 27 апр 12:15 ft-v05.2009-04-27.120320+0900
-rw-r--r--  1 root  flowtools   4174 27 апр 12:30 ft-v05.2009-04-27.121501+0900
-rw-r--r--  1 root  flowtools   1231 27 апр 12:45 ft-v05.2009-04-27.123001+0900
-rw-r--r--  1 root  flowtools   4128 27 апр 13:00 ft-v05.2009-04-27.124501+0900
-rw-r--r--  1 root  flowtools   1911 27 апр 13:15 ft-v05.2009-04-27.130001+0900
-rw-r--r--  1 root  flowtools  14357 27 апр 13:30 ft-v05.2009-04-27.131501+0900
-rw-r--r--  1 root  flowtools   4393 27 апр 13:45 ft-v05.2009-04-27.133001+0900
-rw-r--r--  1 root  flowtools  17954 27 апр 14:00 ft-v05.2009-04-27.134501+0900
-rw-r--r--  1 root  flowtools   2761 27 апр 14:15 ft-v05.2009-04-27.140001+0900
-rw-r--r--  1 root  flowtools     92 27 апр 14:15 tmp-v05.2009-04-27.141501+0900
[root@bender mpd5]#

Все здорово, файлы хранятся в бинарном виде, чтоб посмотреть, что мы сбросили можно воспользоваться flow-cat и flow-print.

[root@bender mpd5]# flow-cat -p  /var/db/flows/1/2009/2009-04/2009-04-27/ |flow-print
srcIP            dstIP            prot  srcPort  dstPort  octets      packets
192.168.1.60     224.0.0.22       2     0        0        80          2
192.168.1.60     255.255.255.255  17    68       67       656         2
192.168.1.60     239.255.255.250  17    1840     1900     483         3
93.90.241.124    192.168.1.60     6     57944    61650    92          2
192.168.1.60     93.90.241.124    6     61650    57944    280         5
213.148.14.213   192.168.1.60     6     9090     61658    92          2
192.168.1.60     224.0.0.252      17    59128    5355     102         2
192.168.1.60     93.81.216.231    17    46620    14358    134         1
93.90.241.124    192.168.1.60     6     57944    61650    40          1
192.168.1.60     89.112.64.179    17    46620    14384    134         1
192.168.1.60     239.255.255.250  17    57385    1900     483         3
192.168.1.60     70.78.3.180      17    46620    10438    134         1
192.168.1.60     82.148.5.12      17    46620    11156    134         1
192.168.1.60     121.222.169.78   17    46620    30020    134         1
192.168.1.60     91.203.60.217    17    46620    34748    134         1
192.168.1.60     87.255.80.188    17    46620    63757    134         1
192.168.1.60     93.100.251.43    17    46620    33537    134         1
192.168.1.60     213.148.14.213   6     61658    9090     308         4
#--- skip ---#
Author: Categories: Заметки, Работа Tags: , ,
  1. Пока что нет комментариев.
  1. Пока что нет уведомлений.
Необходимо войти на сайт, чтобы написать комментарий.