[Sysadmins] анализатор netflow

[Sysadmins] анализатор netflow

[Гусев В.Ю.]

[-- Attachment #1: Type: text/plain, Size: 900 bytes --]

День добрый!

Подскажите, пожалуйста, хороший анализатор netflow. 
Нужна замена Netflow Analizer, т.к. его бесплатная версия разрешает только два 
интерфейса, чего никак не хватает...
В списке пакетов нашёл nfacct, но он без веб-интерфейса. Сейчас изучаю netams. 
Насколько он хорош?

Спасибо.

-- 
С уважением,                          mailto: gusev.v.u@pkb.ru
 Влад Гусев                              icq: 153452402
начальник сектора телекоммуникаций и ТО   
отдела автоматизации                     тел: (8442) 562024 (вн.2121)
ФКБ "Петрокоммерц" в г.Волгограде        тел: +7-904-774-0333

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] анализатор netflow

[Гусев В.Ю.]

[-- Attachment #1: Type: Text/Plain, Size: 1109 bytes --]

В сообщении от 25 ноября 2009 10:33:43 автор Rinat Shigapov написал:
> > Подскажите, пожалуйста, хороший анализатор netflow.
> > Нужна замена Netflow Analizer, т.к. его бесплатная версия разрешает
> > только два интерфейса, чего никак не хватает...
> > В списке пакетов нашёл nfacct, но он без веб-интерфейса. Сейчас изучаю
> > netams. Насколько он хорош?
> >
> > Спасибо.
> 
> nmap имеет netflow плагин.
> 
Мне нужен наглядный веб-интерфейс.

-- 
С уважением,                          mailto: gusev.v.u@pkb.ru
 Влад Гусев                              icq: 153452402
начальник сектора телекоммуникаций и ТО   
отдела автоматизации                     тел: (8442) 562024 (вн.2121)
ФКБ "Петрокоммерц" в г.Волгограде        тел: +7-904-774-0333

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] анализатор netflow

[Rinat Shigapov]

25.11.2009 13:11, Гусев В.Ю. пишет:
> В сообщении от 25 ноября 2009 10:33:43 автор Rinat Shigapov написал:
>    
>>> Подскажите, пожалуйста, хороший анализатор netflow.
>>> Нужна замена Netflow Analizer, т.к. его бесплатная версия разрешает
>>> только два интерфейса, чего никак не хватает...
>>> В списке пакетов нашёл nfacct, но он без веб-интерфейса. Сейчас изучаю
>>> netams. Насколько он хорош?
>>>
>>> Спасибо.
>>>        
>> nmap имеет netflow плагин.
>>
>>      
> Мне нужен наглядный веб-интерфейс.
>
>    
nmap имеет встроенный web-интерфейс. Насколько он нагляден, судить Вам.

-- 
С уважением, Шигапов Ринат
     инженер-программист ООО "Невод"
     тел. (342) 2 196 960
     JID: dxist эт ya.ru

Re: [Sysadmins] анализатор netflow

[Patlasov YuriI]

Rinat Shigapov пишет:
> 25.11.2009 13:11, Гусев В.Ю. пишет:
>> В сообщении от 25 ноября 2009 10:33:43 автор Rinat Shigapov написал:
>>   
>>>> Подскажите, пожалуйста, хороший анализатор netflow.
>>>> Нужна замена Netflow Analizer, т.к. его бесплатная версия разрешает
>>>> только два интерфейса, чего никак не хватает...
>>>> В списке пакетов нашёл nfacct, но он без веб-интерфейса. Сейчас изучаю
>>>> netams. Насколько он хорош?
>>>>
>>>> Спасибо.
>>>>        
>>> nmap имеет netflow плагин.
>>>
>>>      
>> Мне нужен наглядный веб-интерфейс.
>>
>>    
> nmap имеет встроенный web-интерфейс. Насколько он нагляден, судить Вам.
>
Использовал Netams больше года. Трафик считает хорошо. Но с блокировкой 
по превышению вечные косяки. Так и не победил.
Скорость тоже умеет резать, но надо пересобирать самому.

Re: [Sysadmins] анализатор netflow

[Denis Klimov]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 25.11.2009 13:11, Гусев В.Ю. wrote:
> В сообщении от 25 ноября 2009 10:33:43 автор Rinat Shigapov написал:
>>> Подскажите, пожалуйста, хороший анализатор netflow.
>>> Нужна замена Netflow Analizer, т.к. его бесплатная версия разрешает
>>> только два интерфейса, чего никак не хватает...
>>> В списке пакетов нашёл nfacct, но он без веб-интерфейса. Сейчас изучаю
>>> netams. Насколько он хорош?
>>>
>>> Спасибо.
>>
>> nmap имеет netflow плагин.
>>
> Мне нужен наглядный веб-интерфейс.
Посмотрите на katrin + katrin-web. В последней версии, недавно залитой в
Сизиф, как раз была улучшено отображение статистики. Правда пока
поддерживается только netflow v5.

- -- 
Климов Денис
zver
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAksNDIMACgkQ/2RPAjBLeBpntQCdGCBm/Lv67AmM1kHxOLzsutdJ
q/sAoI4XyVDzpUYM6jZuyvbPMJQIwWb8
=o0cg
-----END PGP SIGNATURE-----

Re: [Sysadmins] анализатор netflow

[Boris Savelev]

25 ноября 2009 г. 13:46 пользователь Patlasov YuriI
<y.patlasov@gmail.com> написал:
> Rinat Shigapov пишет:
>>
>> 25.11.2009 13:11, Гусев В.Ю. пишет:
>>>
>>> В сообщении от 25 ноября 2009 10:33:43 автор Rinat Shigapov написал:
>>>
>>>>>
>>>>> Подскажите, пожалуйста, хороший анализатор netflow.
>>>>> Нужна замена Netflow Analizer, т.к. его бесплатная версия разрешает
>>>>> только два интерфейса, чего никак не хватает...
>>>>> В списке пакетов нашёл nfacct, но он без веб-интерфейса. Сейчас изучаю
>>>>> netams. Насколько он хорош?
>>>>>
>>>>> Спасибо.
>>>>>
>>>>
>>>> nmap имеет netflow плагин.
>>>>
>>>>
>>>
>>> Мне нужен наглядный веб-интерфейс.
>>>
>>>
>>
>> nmap имеет встроенный web-интерфейс. Насколько он нагляден, судить Вам.
>>
> Использовал Netams больше года. Трафик считает хорошо. Но с блокировкой по
> превышению вечные косяки. Так и не победил.
> Скорость тоже умеет резать, но надо пересобирать самому.

почему не работает в базовой поставке? может я подкручу чего-нить?

-- 
Boris

Re: [Sysadmins] анализатор netflow

[Гусев В.Ю.]

[-- Attachment #1: Type: Text/Plain, Size: 620 bytes --]

В сообщении от 25 ноября 2009 13:46:34 автор Patlasov YuriI написал:
> Использовал Netams больше года. Трафик считает хорошо. Но с блокировкой
> по превышению вечные косяки. Так и не победил.
> Скорость тоже умеет резать, но надо пересобирать самому.

Нужно только смотреть. Ни резать, не блокировать необходимости нет.


-- 
С уважением,                          mailto: gusev.v.u@pkb.ru
 Влад Гусев                              icq: 153452402
начальник сектора телекоммуникаций и ТО   
отдела автоматизации                     тел: (8442) 562024 (вн.2121)
ФКБ "Петрокоммерц" в г.Волгограде        тел: +7-904-774-0333

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] анализатор netflow

[Patlasov YuriI]

Boris Savelev пишет:
>
>> Использовал Netams больше года. Трафик считает хорошо. Но с блокировкой по
>> превышению вечные косяки. Так и не победил.
>> Скорость тоже умеет резать, но надо пересобирать самому.
>>     
>
> почему не работает в базовой поставке? может я подкручу чего-нить?
>
>   

Netams 3.4 автор закончил дальнейшее изыскание. И вроде делает 4 
версию(но платную), но уже пол года там нет движения вообще.
Чтоб скорость резал там в альтовской сборке флажок убран какойто. Сейчас 
не помню, но на оф. сайте написано.
А насчет блокировки по превышению. Там в исходники надо лесть, а я в 
этом не разбираюсь. Глюки очень странные вылазиют.

если кому надо могу написать подробно ошибку и т.д. :-)

Re: [Sysadmins] анализатор netflow

[Boris Savelev]

25 ноября 2009 г. 14:32 пользователь Patlasov YuriI
<y.patlasov@gmail.com> написал:
> Boris Savelev пишет:
>>
>>> Использовал Netams больше года. Трафик считает хорошо. Но с блокировкой
>>> по
>>> превышению вечные косяки. Так и не победил.
>>> Скорость тоже умеет резать, но надо пересобирать самому.
>>>
>>
>> почему не работает в базовой поставке? может я подкручу чего-нить?
>>
>>
>
> Netams 3.4 автор закончил дальнейшее изыскание. И вроде делает 4 версию(но
> платную), но уже пол года там нет движения вообще.
> Чтоб скорость резал там в альтовской сборке флажок убран какойто. Сейчас не
> помню, но на оф. сайте написано.
> А насчет блокировки по превышению. Там в исходники надо лесть, а я в этом не
> разбираюсь. Глюки очень странные вылазиют.
>
> если кому надо могу написать подробно ошибку и т.д. :-)
пишите. я как мантейнер netams, в некотором роде, в этом заинтересован-)


-- 
Boris

Re: [Sysadmins] анализатор netflow

[Гусев В.Ю.]

[-- Attachment #1: Type: Text/Plain, Size: 577 bytes --]

В сообщении от 25 ноября 2009 13:52:52 автор Denis Klimov написал:
> Посмотрите на katrin + katrin-web. В последней версии, недавно залитой в
> Сизиф, как раз была улучшено отображение статистики. Правда пока
> поддерживается только netflow v5.
> 
А скриншоты можно посмотреть?

-- 
С уважением,                          mailto: gusev.v.u@pkb.ru
 Влад Гусев                              icq: 153452402
начальник сектора телекоммуникаций и ТО   
отдела автоматизации                     тел: (8442) 562024 (вн.2121)
ФКБ "Петрокоммерц" в г.Волгограде        тел: +7-904-774-0333

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] анализатор netflow

[Rinat Shigapov]

On 25.11.2009 15:15, Rinat Shigapov wrote:

>>> nmap имеет netflow плагин.
>>>
>> Мне нужен наглядный веб-интерфейс.
>>
> nmap имеет встроенный web-интерфейс. Насколько он нагляден, судить Вам.
>
Конечно же не nmap, а ntop.  Он показывает только последние данные, 
усреднённые за различные промежутки времени.

Для подъёма статистики из прошлого katrin подойдёт лучше. Пока там 
статистика отображается только в табличном виде. Она строится на базе 
заранее заданных хостов.

-- 
С уважением,
         инженер-программист ООО "Невод"
         Ринат Шигапов
         Jabber ID: dxist эт ya.ru

Re: [Sysadmins] анализатор netflow

[Гусев В.Ю.]

[-- Attachment #1: Type: Text/Plain, Size: 2081 bytes --]

В сообщении от 25 ноября 2009 17:41:47 автор Slava Dubrovskiy написал:
> 25.11.2009 09:30, Гусев В.Ю. пишет:
> > Подскажите, пожалуйста, хороший анализатор netflow.
> > Нужна замена Netflow Analizer, т.к. его бесплатная версия разрешает
> > только два интерфейса, чего никак не хватает...
> > В списке пакетов нашёл nfacct, но он без веб-интерфейса.
> 
> Это не его задача. Его задача получать нетфлоу, аггрегировать по
> заданным критериям и складывать в какую либо базу (или хранить в памяти).
> Для получения отчетов существуют сторонние приложения. Вот список с
> www.pmacct.org:
> ...

Видимо, что то из этого и придётся ставить, т.к. netams и katrin - не совсем 
то, что нужно.
Жалко, что из данного списка ничего нет в репозиториях... Неужели в данных 
приложениях настолько малая необходимость?...
Буду ставить с сайта.
Скорее всего выбирать буду между pmGraph и pNRG. Первое будет помощнее, но и 
установка непростая (нужен tomcat). pNRG ставить будет попроще (на первый 
взгляд). Начну, пожалуй, с него.


-- 
С уважением,                          mailto: gusev.v.u@pkb.ru
 Влад Гусев                              icq: 153452402
начальник сектора телекоммуникаций и ТО   
отдела автоматизации                     тел: (8442) 562024 (вн.2121)
ФКБ "Петрокоммерц" в г.Волгограде        тел: +7-904-774-0333

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] анализатор netflow

[Гусев В.Ю.]

[-- Attachment #1: Type: Text/Plain, Size: 1760 bytes --]

В сообщении от 25 ноября 2009 17:41:47 автор Slava Dubrovskiy написал:
> > В списке пакетов нашёл nfacct, но он без веб-интерфейса.
> 
> Это не его задача. Его задача получать нетфлоу, аггрегировать по
> заданным критериям и складывать в какую либо базу (или хранить в памяти).
> Для получения отчетов существуют сторонние приложения. Вот список с
> www.pmacct.org:
> 
Настроил nfacct. В базу данные пишутся. Одно пока не понятно, как разделять 
потоки для разных интерфейсов и для разных цисок? В таблице заполняются поля: 
источник, назначение, порт источника, порт назначения, протокол, количество 
пакетов и количество переданной информации. Это замечательно, но как понять 
через какой интерфейс и какой циски это прошло?...
Может мне кто-нибудь помочь с разъяснениями?

Спасибо.

-- 
С уважением,                          mailto: gusev.v.u@pkb.ru
 Влад Гусев                              icq: 153452402
начальник сектора телекоммуникаций и ТО   
отдела автоматизации                     тел: (8442) 562024 (вн.2121)
ФКБ "Петрокоммерц" в г.Волгограде        тел: +7-904-774-0333

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] анализатор netflow

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 2187 bytes --]

01.12.2009 14:28, Гусев В.Ю. пишет:
> В сообщении от 25 ноября 2009 17:41:47 автор Slava Dubrovskiy написал:
>   
>>> В списке пакетов нашёл nfacct, но он без веб-интерфейса.
>>>       
>> Это не его задача. Его задача получать нетфлоу, аггрегировать по
>> заданным критериям и складывать в какую либо базу (или хранить в памяти).
>> Для получения отчетов существуют сторонние приложения. Вот список с
>> www.pmacct.org:
>>
>>     
> Настроил nfacct. В базу данные пишутся. Одно пока не понятно, как разделять 
> потоки для разных интерфейсов и для разных цисок? В таблице заполняются поля: 
> источник, назначение, порт источника, порт назначения, протокол, количество 
> пакетов и количество переданной информации. Это замечательно, но как понять 
> через какой интерфейс и какой циски это прошло?...
>   
Встречный вопрос: - а зачем? У вас через 2 циски ходят одинаковые пары IP?

Если очень хочется, то это делается через pretag.map. Посмотрите примеры
в pretag.map.example.
!
! A few examples sFlow-related. The format of the rules is the same of
'nfacctd' ones
! but some keys don't apply to it. Note that the format of 'pmacctd'
rules differs.
!
id=30 ip=192.168.1.1
id=31 ip=192.168.1.2

где IP это IP циски которая шлет netflow.

При этом в aggregate нужно добавить tag
Например так: aggregate: tag, src_host, dst_host

чтобы в базу в поле agent_id писалось 30 для циски с ip=192.168.1.1 и 31
для ip=192.168.1.2


-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/pkcs7-signature, Size: 3262 bytes --]

Re: [Sysadmins] анализатор netflow

[Гусев В.Ю.]

[-- Attachment #1: Type: Text/Plain, Size: 1919 bytes --]

1 декабря 2009 17:10:41 Вы написали:
> > Настроил nfacct. В базу данные пишутся. Одно пока не понятно, как
> > разделять потоки для разных интерфейсов и для разных цисок? В таблице
> > заполняются поля: источник, назначение, порт источника, порт назначения,
> > протокол, количество пакетов и количество переданной информации. Это
> > замечательно, но как понять через какой интерфейс и какой циски это
> > прошло?...
> 
> Встречный вопрос: - а зачем? У вас через 2 циски ходят одинаковые пары IP?
Есть такое дело. Например, основной и резервный канал. Они через разных 
провайдеров и заведены в разные циски. Пары ip в таком случае будут идентичны, 
а их надо как-то разделять.

> 
> Если очень хочется, то это делается через pretag.map. Посмотрите примеры
> в pretag.map.example.
> ...

Спасибо за примеры! Буду смотреть. А интерфейсы можно распознавать или я 
слишком многого хочу?

-- 
С уважением,                          mailto: gusev.v.u@pkb.ru
 Влад Гусев                              icq: 153452402
начальник сектора телекоммуникаций и ТО   
отдела автоматизации                     тел: (8442) 562024 (вн.2121)
ФКБ "Петрокоммерц" в г.Волгограде        тел: +7-904-774-0333

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] анализатор netflow

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1847 bytes --]

02.12.2009 10:34, Гусев В.Ю. пишет:
> 1 декабря 2009 17:10:41 Вы написали:
>   
>>> Настроил nfacct. В базу данные пишутся. Одно пока не понятно, как
>>> разделять потоки для разных интерфейсов и для разных цисок? В таблице
>>> заполняются поля: источник, назначение, порт источника, порт назначения,
>>> протокол, количество пакетов и количество переданной информации. Это
>>> замечательно, но как понять через какой интерфейс и какой циски это
>>> прошло?...
>>>       
>> Встречный вопрос: - а зачем? У вас через 2 циски ходят одинаковые пары IP?
>>     
> Есть такое дело. Например, основной и резервный канал. Они через разных 
> провайдеров и заведены в разные циски. Пары ip в таком случае будут идентичны, 
> а их надо как-то разделять.
>
>   
>> Если очень хочется, то это делается через pretag.map. Посмотрите примеры
>> в pretag.map.example.
>> ...
>>     
> Спасибо за примеры! Буду смотреть. А интерфейсы можно распознавать или я 
> слишком многого хочу?
>   
Если вы имеете ввиду интефейсы на циске, то да, там же в pretag.map.example
! 'in'                  Input interface
! 'out'                 Output interface



-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/pkcs7-signature, Size: 3262 bytes --]

Re: [Sysadmins] анализатор netflow

[Гусев В.Ю.]

[-- Attachment #1: Type: Text/Plain, Size: 1280 bytes --]

2 декабря 2009 15:11:01 Вы написали:
> > Спасибо за примеры! Буду смотреть. А интерфейсы можно распознавать или я
> > слишком многого хочу?
> 
> Если вы имеете ввиду интефейсы на циске, то да, там же в pretag.map.example
> ! 'in'                  Input interface
> ! 'out'                 Output interface
> 
Я прочитал про интерфейсы, но в примере значения in и out числовые:
id=1    ip=192.168.2.1  in=4
id=10   ip=192.168.1.1  in=5    out=3
id=11   ip=192.168.1.1  in=3    out=5
...
Если у меня интерфейс fa0/1.10, то что мне писать в pretag.map?

А по цискам разделять уже получилось. Огромное спасибо!

-- 
С уважением,                          mailto: gusev.v.u@pkb.ru
 Влад Гусев                              icq: 153452402
начальник сектора телекоммуникаций и ТО   
отдела автоматизации                     тел: (8442) 562024 (вн.2121)
ФКБ "Петрокоммерц" в г.Волгограде        тел: +7-904-774-0333

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] анализатор netflow

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1059 bytes --]

02.12.2009 15:23, Гусев В.Ю. пишет:
>>> Спасибо за примеры! Буду смотреть. А интерфейсы можно распознавать или я
>>> слишком многого хочу?
>>>       
>> Если вы имеете ввиду интефейсы на циске, то да, там же в pretag.map.example
>> ! 'in'                  Input interface
>> ! 'out'                 Output interface
>>
>>     
> Я прочитал про интерфейсы, но в примере значения in и out числовые:
> id=1    ip=192.168.2.1  in=4
> id=10   ip=192.168.1.1  in=5    out=3
> id=11   ip=192.168.1.1  in=3    out=5
> ...
> Если у меня интерфейс fa0/1.10, то что мне писать в pretag.map?
>   
Не знаю точно. Кажется оно просто по порядку их считает.
Поэкспериментируйте, спросите в рассылке. Автор вполне адекватный.

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/pkcs7-signature, Size: 3262 bytes --]

Re: [Sysadmins] анализатор netflow

[Александр Леутин]

02.12.2009 18:23, Гусев В.Ю. пишет:
> 2 декабря 2009 15:11:01 Вы написали:
>>> Спасибо за примеры! Буду смотреть. А интерфейсы можно распознавать или я
>>> слишком многого хочу?
>>
>> Если вы имеете ввиду интефейсы на циске, то да, там же в pretag.map.example
>> ! 'in'                  Input interface
>> ! 'out'                 Output interface
>>
> Я прочитал про интерфейсы, но в примере значения in и out числовые:
> id=1    ip=192.168.2.1  in=4
> id=10   ip=192.168.1.1  in=5    out=3
> id=11   ip=192.168.1.1  in=3    out=5
> ...
> Если у меня интерфейс fa0/1.10, то что мне писать в pretag.map?
Возможно, ответ сильно опоздал, но интерфейсы в циске нумеруются по 
порядку, узнать номер можно через
snmpwalk -v2c -cpublic cisco.firma.ru ifDescr
чтобы эти номера не менялись при ребуте маршрутизатора, надо сказать 
циске "snmp-server ifindex persist"

-- 
Александр Леутин | Registered Linux user #295797
Жизнь -- смертельно интересная штука!

Re: [Sysadmins] анализатор netflow

[Гусев В.Ю.]

[-- Attachment #1: Type: Text/Plain, Size: 696 bytes --]

В сообщении от 12 января 2010 14:09:19 автор Александр Леутин написал:
> Возможно, ответ сильно опоздал, но интерфейсы в циске нумеруются по
> порядку, узнать номер можно через
> snmpwalk -v2c -cpublic cisco.firma.ru ifDescr
> чтобы эти номера не менялись при ребуте маршрутизатора, надо сказать
> циске "snmp-server ifindex persist"
> 
Большое спасибо. Это пригодится. Очень полезное дополнение.

-- 
С уважением,                          mailto: gusev.v.u@pkb.ru
 Влад Гусев                              icq: 153452402
начальник сектора телекоммуникаций и ТО   
отдела автоматизации                     тел: (8442) 562024 (вн.2121)
ФКБ "Петрокоммерц" в г.Волгограде        тел: +7-904-774-0333

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]