среда, 12 октября 2011 г.

Экспорт данных NetFlow с помощью ipcad

Netflow является де факто стандартном для сбора и передачи данных о трафике, изначально протокол был разработан в Cisco для использования в маршрутизаторах и коммутаторах, позднее появились софтовые реализации, такие, как ipcad.

Установка из портов не вызывает затруднений:
make install clean -C /usr/ports/net-mgmt/ipcad
Для запуска при загрузке:
echo 'ipcad_enable="YES"' >> /etc/rc.conf
Конфиг:
interface em0; # имя интерфейса для сбора статистики. Можно указывать несколько раз и использовать маску: tun*
# параметры NefFlow
netflow export destination 127.0.0.1 9991; # хост и порт, на котором запущен коллектор
netflow export version 5;       # NetFlow export format version {1|5}
netflow timeout active 30;      # Таймаут в секундах сброса данных для активных потоков, чем меньше, тем точнее. Но и объем данных будет больше.
netflow timeout inactive 15;    # Таймаут сброса для неактивных потоков
netflow engine-type 73;         # v5 engine_type; 73='I' for "IPCAD"
netflow engine-id 1;            # Useful to differentiate multiple ipcads.

dumpfile = ipcad.dump; # имя файла для сохранения собранных, но не сброшенных в коллектор данных между рестартами демона

chroot = /usr/local/ipcad; # директория для chroot. Необходимо создать ее вручную


uid = 65534;
gid = 65534;

memory_limit = 1m; # лимит памяти для хранения данных о трафике
Важно отметить, что ipcad работает через libpcap, подобно tcpdump, поэтому для его работы ядро должно быть собрано с опцией:
device bpf

Комментариев нет:

Отправить комментарий