From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <usischev@gmail.com>
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=beta; d=gmail.com;
	h=received:message-id:date:from:user-agent:x-accept-language:mime-version:to:cc:subject:references:in-reply-to:content-type:content-transfer-encoding;
	b=NESX82Iu5AQI55zBEKvrYEzkg5Ye+vpjkKIQHMIb/MECkYW7Wpa0BjFkhzY1Oorqe9Wu60ctng+t+1ymedDihqOzGFEtsG9rDJuynTFt7MV+X+kljFg12ZFuXr5zpsORQZ5zj7hdp3GwjYQq8rIu2luKzbCkJ4/loQyYkpqXQOE=
Message-ID: <4329CA38.6030000@gmail.com>
Date: Thu, 15 Sep 2005 23:23:36 +0400
From: Pavel Usischev <usischev@gmail.com>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.7.9) Gecko/20050713
X-Accept-Language: ru-ru, ru
MIME-Version: 1.0
To: ALT Linux Community <community@altlinux.ru>
Subject: Re: [Comm] logs iptables
References: <200509102201.32316.Odergimiy@mail.ru>	<1331054.20050911085758@kuznetsov.org.ua>
	<200509152031.41192.Odergimiy@mail.ru>
In-Reply-To: <200509152031.41192.Odergimiy@mail.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Cc: isp-list@altlinux.org.ua
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Community <community@altlinux.ru>
List-Id: ALT Linux Community <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Thu, 15 Sep 2005 19:23:41 -0000
Archived-At: <http://lore.altlinux.org/community/4329CA38.6030000@gmail.com/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Odergimiy пишет:
>> обычный анализатор логов
> А имя есть у обычного анализатора логов ?
> Мне желательно такой шоб в виде html  выдавал с статистикой на каждый IP :)

Наверное, не стоит для этого использовать iptables -j LOG. Там же запись 
в лог делается для каждого отдельного пакета, подпадающего под правило. 
При существенном количестве проходящих пакетов зрелище скорее всего 
будет душераздирающее.

Есть другой target, называется ULOG. Он передает пакеты на обработку в 
userspace, где их может подхватывать и считать какая-нибудь программа -- 
ulogd, ulog-acctd, ipcad, может и ещё какие есть. При этом используется 
буфер, и можно передавать для анализа только начало пакета. Это снижает 
нагрузку на машину, но говорят, всё равно возможен пропуск пакетов под 
нагрузкой.

Другие варианты -- учет на основе прослушки через libpcap (тот же ipcad, 
ipfm, netacct-mysql) -- по крайней мере раньше под нагрузкой тоже не 
очень здорово себя вело; снятие счетчиков с правил iptables (можно 
своими скриптами, а можно чем-нибудь вроде ipac-ng); использование 
чего-нибудь многофункционального вроде netams.

А вообще тема вроде для http://lists.osdn.org.ua/wws/info/isp-list (так 
что если продолжать, то лучше там).

-- 
С уважением,
Павел Усищев