Обрыв линии связи с коллектором
Обрыв линии связи с коллектором
Кто как выпутывается из проблемы когда рвётся связь с удалённым NDSAD и трафику некуда сливаться?
IMHO самый лучший выход в случае ненадежной связи - ставить не NetFlow коллектор а накопительный типа ipcad или Cisco Accounting который опрашивался бы с сервера утилитой get_xyz. Тогда при пропадании связи коллектор будет спокойно считать (если лимит памяти ему достаточный поставить) а после восстановления связи сольёт одной пачкой. Потеряется только разбивка по времени внутри времени без связи.
Да, это выход реальный.Потеряется не только разбивка по времени, так же потеряется другая вкусная информация о траффике. К примеру, если используется классификация трафика по порту назначения/источника, то наступает великолепный облом. А равно как он же наступает, когда нужно разобраться с клиентом, откуда же у него нагенерился траффик - зверь спаморассыльный у него поселился, или чудо поставило себе что-то типа e-Mule, и теперь только удивляется, кто ж ему постоянно бабки палит недеццки.SergKz писал(а):IMHO самый лучший выход в случае ненадежной связи - ставить не NetFlow коллектор а накопительный типа ipcad или Cisco Accounting который опрашивался бы с сервера утилитой get_xyz.
...
Потеряется только разбивка по времени внутри времени без связи.
>отеряется не только разбивка по времени, так же потеряется другая >вкусная информация о траффике. К примеру, если используется >классификация трафика по порту назначения/источника,
исходники get_xyz в руках - что мешает заполнять структуру не нулями, а портами, протоколами и пр... даже временем сбора
изучайте struct __nf5_stat в nf5.h отлично комментирован по русски
исходники get_xyz в руках - что мешает заполнять структуру не нулями, а портами, протоколами и пр... даже временем сбора
изучайте struct __nf5_stat в nf5.h отлично комментирован по русски
Я, конечно, в оные поля могу нафигачть все что душа пожелает, вот только прежде чем давать такие вселенские рекомендации, стоит, для начала, посмотреть, что же отдается по ip accounting.YuryD писал(а):>отеряется не только разбивка по времени, так же потеряется другая >вкусная информация о траффике. К примеру, если используется >классификация трафика по порту назначения/источника,
исходники get_xyz в руках - что мешает заполнять структуру не нулями, а портами, протоколами и пр... даже временем сбора
изучайте struct __nf5_stat в nf5.h отлично комментирован по русски
Cisco - да, портов нет
а вот ipcad может в том же текстовом формате отдавать и порты
я в порядке мониторинга пишу так базу трафика на шлюзе
вот ссылка http://sergkz.sayan.ru/traf_mysql.html
а вот ipcad может в том же текстовом формате отдавать и порты
я в порядке мониторинга пишу так базу трафика на шлюзе
вот ссылка http://sergkz.sayan.ru/traf_mysql.html