Lexa Software: Inet-Admins@info.east.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: Inet-Admins

Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[inet-admins] netflow

To: inet-admins@info.east.ru
Subject: [inet-admins] netflow
From: Vlad F Kropachew <vlad@ccs.ru>
Date: Wed, 14 Feb 2001 09:23:35 +0300
Delivered-To: inet-admins-outgoing@frog.east.ru
Delivered-To: inet-admins@info.east.ru
Reply-To: inet-admins@info.east.ru
Sender: inet-admins@info.east.ru

Приветствую, я уже не знаю в какую сторону копать, может кто из
здешних обитателей подсобит? итак, имеем циску 3660 с 12.1(3)T, +
коллектор netramet 4.3 на bsd4.1(intel) коллектор собирает чёрт знает что.
на фоне найденных здесь тредов про разные порядки байт в целых числах для
риск и интела, пробовал брать даже уже собранные бинарники с фтп
(вдруг у меня компилятор кривой) там правда были только под линух но на бсд
они вроде нормально взлетели, благо есть совместимость с elf. правила для
нетрамета компилённые srl сказать простые: не сказать ничего.
--------------
   IF SourcePeerType == IP SAVE ;
   ELSE IGNORE;  # Not IP

SAVE SourcePeerAddress;
SAVE DestPeerAddress;
SAVE SourceTransType;
SAVE DestTransType;
SAVE SourceInterface;
SAVE DestInterface;
SAVE SourceTransAddress;
SAVE DestTransAddress;
SAVE SourceASN;
SAVE DestASN;
COUNT;

FORMAT   SourcePeerAddress DestPeerAddress "  " 
   ToOctets FromOctets SourceTransType
 DestTransType SourceTransAddress DestTransAddress SourceASN DestASN SourceInterface Dest
Interface ToPDUs FromPDUs;
STATISTICS ;
SET 5;
----------------
то биш без всякого разбора, сохраняем всю нужную информацию которая
затем обсасывается парсером ( парсер написан на перле, я уже и
арифметику его несколько раз проверял, разные парсеры писал - вобщем
именно такие данные выдаёт коллектор ). инфа собираемая по ip
accounting - отличается от нетфлоу в меньшую сторону от 30% до 300%,
т.е. реальные данные за 11ое число, по accounting на адрес выходит 6
гиг, по нетфлоу 18gb. причём разница фактически растёт в
геометрической прогрессии. если погонять icmp туда/сюда - полный
ништяк, всё совпадает. взять адрес с низким потреблением - разница
процентов в 30, потребление 6гб - результат указан выше. причём очень
интересный эффект, количество ip пакетов тоже разное, близко - но
разное. на интерфейсах везде где есть ip accounting выставлен и акк по
netflow. спрашивал в ру.сиско - глухо как в танке. может здесь кто
такое видел ?
  

-- 
Best regards,
 Vlad                          mailto:vlad@ccs.ru



=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html

Prev by Date: [inet-admins] Digi Datafire SYNC/570i-ISA
Next by Date: Re: [inet-admins] ATM aal5 VC SNMP statistics
Previous by thread: [inet-admins] NetFlow
Next by thread: [inet-admins] Netflow
Index(es):
- Date
- Thread