softflowd 9996

[as992]

Решил использовать flow-tools вместо ndsad для сбора трафика, проходящего через сервер, на котором стоит utm5.2.1-003. В качестве сенсора стоит softflowd:
/usr/local/sbin/softflowd -i em0 -n 83.221.21.21:9996
utm5.cfg
nfbuffer_host=83.221.21.21
nfbuffer_port=9996
Но в отчетах пусто. Softflowd данные отправляет исправно. Но видимо, коллектор utm их не принимает.
Если воспользоваться flow-send, то все получается, правда почему-то в utm отображается дата, не когда был получен(отправлен) трафик, а дата отправки трафика flow-send в utm. Это не устраивает, т.к. пользователи смотрят свою статистику через web.
Подскажите, как правильно отправлять данные коллектору utm?

[thorn]

какую версию netflow отправляет softflowd?
если не нравится ndsad, то можно пользоваться ipcad, который довольно исправно работает

[Mihail Z.]

Логика работы utm такая, что время возникновения трафика берётся равным времени прихода информации о нём в utm. Как, например, Вы представляете себе работу программы, если вдруг приходит информация о трафике недельной давности, а все расчётные периоды уже закрыты, деньги списаны, счета выставлены? И почему не устраивает ndsad, если не секрет?

[as992]

если не нравится ndsad, то можно пользоваться ipcad

ipcad пробовал. Но ipcad не дает информации по портам и протоколам в детальной статискике. К сожалению, это не устраивает руководство.

И почему не устраивает ndsad, если не секрет?

ndsad устраивал в версии 5.2.0-004, все работало исправно. Но вот с переходом на 5.2.1 просто не работает и все.
Если кто-нибудь подскажет, как приручить ndsad на ветке 5.2.1-003, буду очень благодарен.

[Mihail Z.]

Странно, что не работает. По идее, ndsad (если ничего в его настройках не менялось) не виноват. Может изменились правила фаервола? И что в логах по этому поводу? А может ndsad переустанавливался? У меня он не сразу заработал (на gentoo), сначала я его собрал из исходников, но в итоге пришлось использовать готовые бинарники. Трафик если ndsad собирает и отправляет ядру, не может просто так пропадать.

[thorn]

если не нравится ndsad, то можно пользоваться ipcad

ipcad пробовал. Но ipcad не дает информации по портам и протоколам в детальной статискике. К сожалению, это не устраивает руководство.

отдает все как надо.

[XoRe]

В ipcad.conf:

Код: Выделить всё

capture-ports enable;

И закомментировать всякие "aggregate".

[dmitry-s]

Могу порекомендовать fprobe как альтернативу ndsad. Мне пришлось заменить сенсор в связи с тем, что ndsad регулярно "затыкался" без видимых причин и переставал слать поток. Fprobe без лишних телодвижений отдаёт инфу о портах, так что с этим проблем не возникнет.

[XoRe]

ipcad тоже отдает инфу о портах.
Но если конфиг неверно настроен... )

[as992]

Код: Выделить всё

Могу порекомендовать fprobe как альтернативу ndsad

А в случае использования fprobe просто дать команду
/usr/local/sbin/fprobe-ulog 127.0.0.1:9996 ?