вобщем при получении HUP не переинициализируется поток netflow, что приводит к игнорированию анонсируемого трафика.
Использовал fprobe и utm-5.13.
C ndsad проходимый трафик анонсировался 5 кратно, более того некоторые инструкции работают не так как описано в документации ignore all в частности, а некоторые воовсе не работают .
Отсутсвует грамотная документация.
исходники не компиляться Fedora core 2.
Выход - перезапускать fprobe, что приводит к незначительным потерям трафика.
-HUP и netflow
1.
В 12 версии реализовали плавное пересчитывание баз данных посредством посылания -HUP сигнала ядру билинга.
Так вот при использовании сторонних нетфлов генераторов, таких как fprobe, после получения такого сигнала, ядро считывает базы и продолжает работать, но при этом нетфлов поток игнорируется.
Что означает что пройденый трафик просто не считается.
Эта проблемма лечиться перезапуском генератора.
2.
демон сбора статистики ndsad,
а) не собирается из исходников выложеных на соурсфорге.
б) отсутсвует грамотная документация по инструкциям конфигурационного фаила.
в) инструкция ignore all неработает вообще, хотя в документации есть даже пример с ее использованием.
г) Инструкция filter. Даже если выражение сложено абсолютно правильно согласно синтаксису tcpdump, как это указано в документации, ее использование приводит к тому что весь прошедший трафик игнорируется ядром системы и даже не попадает в детальную статистику.
д) При использовании демона пройденый трафик регистрируется ядром системы пятикратно, что отражается как в детальной статистке так и в любой другой.
Все опыты проводились на utm-13 OS:Fedora core 2.
В 12 версии реализовали плавное пересчитывание баз данных посредством посылания -HUP сигнала ядру билинга.
Так вот при использовании сторонних нетфлов генераторов, таких как fprobe, после получения такого сигнала, ядро считывает базы и продолжает работать, но при этом нетфлов поток игнорируется.
Что означает что пройденый трафик просто не считается.
Эта проблемма лечиться перезапуском генератора.
2.
демон сбора статистики ndsad,
а) не собирается из исходников выложеных на соурсфорге.
б) отсутсвует грамотная документация по инструкциям конфигурационного фаила.
в) инструкция ignore all неработает вообще, хотя в документации есть даже пример с ее использованием.
г) Инструкция filter. Даже если выражение сложено абсолютно правильно согласно синтаксису tcpdump, как это указано в документации, ее использование приводит к тому что весь прошедший трафик игнорируется ядром системы и даже не попадает в детальную статистику.
д) При использовании демона пройденый трафик регистрируется ядром системы пятикратно, что отражается как в детальной статистке так и в любой другой.
Все опыты проводились на utm-13 OS:Fedora core 2.
Обратно же, нет ни логов, ни примеров ... 
1. Для посылки нетфлоу используется UDP, для которого перезапускать что-то или переустанавливать сессию нет необходимости - всё будет работать нормально без перезапуска, тем более коллектора. Как выясняли, что нетфлоу не приходит ?
2. а) - приведите последовательность действий и то, что при этом появляется на экране.
б) описание инструкций есть как в самом примерном конфиге таки в общей документации на биллинг - http://www.netup.ru/download/Russian_1_10.pdf Какие моменты вызывают вопросы - напишите, мы их осветим подробнее.
в) В данном случае рекомендуется использовать dummy all.
г) просьба привести примеры - иначе никак нельзя не подтвердить ни опровергнуть ваше утверждение.
д) есть возможность показать скриншот детального отчета с дублированием, настройки ндсада, настройки сетевых и нтерфейсов ?
1. Для посылки нетфлоу используется UDP, для которого перезапускать что-то или переустанавливать сессию нет необходимости - всё будет работать нормально без перезапуска, тем более коллектора. Как выясняли, что нетфлоу не приходит ?
2. а) - приведите последовательность действий и то, что при этом появляется на экране.
б) описание инструкций есть как в самом примерном конфиге таки в общей документации на биллинг - http://www.netup.ru/download/Russian_1_10.pdf Какие моменты вызывают вопросы - напишите, мы их осветим подробнее.
в) В данном случае рекомендуется использовать dummy all.
г) просьба привести примеры - иначе никак нельзя не подтвердить ни опровергнуть ваше утверждение.
д) есть возможность показать скриншот детального отчета с дублированием, настройки ндсада, настройки сетевых и нтерфейсов ?