Hello Paul P Komkoff Jr!
Хм. Могу поделится опытом.
Я в свое время с нуля нарисовал более-менее вменяемую систему
сбора и анализа netflow.
> И самая главная проблема вообще всех коллекторов - неэффективное
> расходование памяти. К сожалению, ни коммерческий cisco collector, ни
> бесплатные netrametы её не решают.
А кого это волнует - hdd сейчас дешевые.
Мне кажется что наиболее правильной стратегией будет хранение
raw flow за какой-то определенный срок - например 3-4 дня.
Это даст возможность произвольного анализа, а все остальное -
по определенным критериям складывать в SQL или RRD как статисти -
ческую информацию.
> Как проверяются погрешности.
> Берём ehnt в raw mode + script на шелле или awk
> считаем сравниваем со счётчиками SNMP
> если разница БОЛЬШАЯ - значит cisco СОЗНАТЕЛЬНО вносит погрешность в
> выдаваемую по netflow accounting информацию, причём в их коммерческий
> коллектор встроен нейтрализатор этой погрешности.
Ну, батенька, вы загнули.
Тут смотря что с чем сравнивать.
С MRTG/RRD - так у них полно своих приколов с усреднением.
С правильной snmp считалкой - тоже криво, ибо в любом случае
данные netflow пришедшие за допустим 5 минут не всегда соот-
ветствуют тому трафику, который реально прошел через интерфейс,
а идут с запаздыванием.
Тут же и проблемы L3/L2 коррекции.
Однако все вышеперечисленное не является какой-либо сложной
вычислительной проблемой и вполне поддается в плане решения.
--
The Emperor wants to control the outer space, Yoda wants to explore the inner
space.That's the fundamental difference between the good and the bad sides of
the Force.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
