Lexa Software: Inet-Admins@info.east.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: Inet-Admins

Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] netflow various collectors

To: Inet-Admins List <inet-admins@info.east.ru>
Subject: Re: [inet-admins] netflow various collectors
From: Paul P Komkoff Jr <i@stingr.net>
Date: Mon, 8 Apr 2002 23:53:04 +0400
In-reply-to: <Pine.LNX.4.44.0204081916070.10237-100000@localhost>
Mail-followup-to: Inet-Admins List <inet-admins@info.east.ru>
Organization: Bedleham International
References: <Pine.BSF.3.95q.1020408200141.12950A-100000@xkis.kis.ru> <Pine.LNX.4.44.0204081916070.10237-100000@localhost>

Replying to Vladimir Litovka:
>  это одно из направлений в наших рассуждениях. Оно вроде не фиг делов-то -
>  написать, но как показывает опыт - кажется всегда намного меньше, чем
>  реально оказывается. И потом - почему у разных программ разные результаты?
>  Наверное, глюки? Так где гарантия, что в заново написанной программе их не
>  будет? :) Так что я склоняюсь к тому, чтобы найти готовое решение, и уж
>  если не получится - тогда применить крайнюю меру.

Цисковский коллектор наверняка писАли индийские программисты. И если они
налажали в иосе, то тут они налажают тем более.

Ориентируясь на доки с cisco.com без оглядки ничего хорошего написАть не
получится - там AFAIK одно поле перепутано в каком-то из typedefов, только
вот сходу не вспомню в каком.

И самая главная проблема вообще всех коллекторов - неэффективное
расходование памяти. К сожалению, ни коммерческий cisco collector, ни
бесплатные netrametы её не решают.

Поясню. Нужно считать что-то, "не знаю что" - нету зарание никакой расфасов
ки по блокам и портам. Задним числом может потребоваться вычленить какой
угодно трафик, за какое угодно время. Ну это-то как раз решить просто -
compressed flows, + до компрессии их слегка плющить зная что внутри нашей AS
например не более сети B ... а не просто параллельно со сбором тем же
коллектором вести статистику, да не простую - а полезную, типа network top и
suspicious activity ...

Хотя конечно - это всё мои проблемы, у вас могут и потребности быть другие :)

Как проверяются погрешности.
Берём ehnt в raw mode + script на шелле или awk
считаем
сравниваем со счётчиками SNMP
если разница БОЛЬШАЯ - значит cisco СОЗНАТЕЛЬНО вносит погрешность в
выдаваемую по netflow accounting информацию, причём в их коммерческий
коллектор встроен нейтрализатор этой погрешности. Идея украдена у
американского военного ведомства (GPS).

-- 
Paul P 'Stingray' Komkoff 'Greatest' Jr // (icq)23200764 // (irc)Spacebar
  PPKJ1-RIPE // (smtp)i@stingr.net // (http)stingr.net // (pgp)0xA4B4ECA4

=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html

Follow-Ups:
- Re: [inet-admins] netflow various collectors
  - From: Sergey Smitienko

References:
- Re: [inet-admins] netflow various collectors
  - From: Dmitry Valdov
- Re: [inet-admins] netflow various collectors
  - From: Vladimir Litovka

Prev by Date: Re: [inet-admins] netflow various collectors
Next by Date: Re: [inet-admins] netflow various collectors
Previous by thread: Re: [inet-admins] netflow various collectors
Next by thread: Re: [inet-admins] netflow various collectors
Index(es):
- Date
- Thread