nfsen

Skip to end of metadata
Go to start of metadata

Включение nfsen

Для настройки nfsen и bstatd в базовом меню откройте пункт "Система сбора статистики" и настройте следующие опции:

  • Основные настройки -> Сохранять сырую статистику в формате nfcapd для анализа nfsen: включите
  • Основные настройки -> Включить bstatd для детальной статистики: выключите
  • Настройка сохранения сырой статистики -> Сохранять статистику для bstatd: выключите
  • После изменения настроек, nfcapd будет собираться в каталоге /app/collector/var/nfcapd_dump/
  • Можно оставить обе службы в работе, - nfsen для точности и предоставления правоохранительным органам, bstatd для отображения статистики в ЛК, - но это потребует довольно много дискового пространства. Рекомендуется в таком случае установить диск объёмом не менее 4Тб

Использование nfsen

  1. После включения nfsen, на странице управления сервером появится новый элемент "Детальная статистика Netflow"



  2. В интерфейсе детальной статистики перейдите на вкладку "Details"



  3. Выберите требуемый период, за который необходимо посмотреть статистику



  4. Выберите "List Flows" чтобы отобразить зарегистрированные потоки трафика, либо "Stat TopN" чтобы отобразить топ трафика по хостам. Нажмите "process"
    Настроить фильтры Вы можете используя документацию "NfSen. Filter Syntax"

Получение данных в командной строке

Примеры использования и полное описание формата данных и работы с ними Вы можете получить в документации проекта nfdump http://nfdump.sourceforge.net
nfsen является веб-интерфейсом для удобства получение данных. При просмотре детальной статистики он делает вызовы к командному интерфейсу nfdump.
Данные nfdump хранятся в папке /app/collector/var/nfcapd_dump/live/router и разбиты по принципу "год/месяц/день". В папке по каждому дню потоки разбиты на файлы по пятиминутным временным промежуткам, например: "nfcapd.201811191500" и имеют следующий формат:

  • nfcapd.YYYYmmddHHMMSS, где:
    • nfcapd - неизмено и включается в название всех файлов
    • YYYY - год полностью, четыре символа
    • mm - месяц, два символа (например, январь - 01, февраль - 02 и т.д.)
    • dd - число месяца, два символа (например, первое - 01, второе - 02 и т.д.)
    • HH - часы, два символа (например, час ночи - 01, час дня - 13 и т.д.)
    • MM - минуты, два символа (например, первая минута часа - 01, вторая минута часа - 02 и т.д.)
    • SS - секунды, два символа, как правило всегда "00"

Несколько примеров вызова nfdump с пояснениями приведены ниже.

Команда nfdump находится в контейнере collector, перед её использованием выполните команду:
chroot /app/collector
  • Трафик за 07 июля 2019 года в период с 00:00 до 11:00 по хосту с адресом 10.10.1.18
    nfdump -R /var/nfcapd_dump/live/router/2019/07/ -t 2019/07/08.00:00:00-2019/07/08.11:00:00 'host 10.10.1.18'
  • Трафик за 24 января 2019 года в период с 10:55 до 11:25 по хосту с адресом 10.10.1.18
    nfdump -R /var/nfcapd_dump/live/router/2019/01/24/nfcapd.201901241055:nfcapd.201901241125 'host 10.10.1.18'
  • Трафик за 15 марта 2019 года в период с 16:05 до 17:30, топ 10 потоков сгруппированных по IP и потокам.
    nfdump -M /var/nfcapd_dump//live/router -T -R 2019/03/15/nfcapd.201903151605:2019/03/15/nfcapd.201903151730 -n 10 -s ip/flows
  • Трафик за 23 октября 2018 года в период с 17:00 до 17:30, топ 10 потоков сгруппированных по IP и потокам только по хосту с адресом 10.46.159.66
    nfdump  -M /var/nfcapd_dump/live/router -T -R 2018/10/23/nfcapd.201810231700:2018/10/23/nfcapd.201810231730 'host 10.46.159.66' -s ip/bytes
  • Трафик за 19 ноябяря 2018 года в период с 15:00 до 16:10, по хосту 10.46.159.66 исключая трафик с локальных сетей 10.0.0.0/8 и 192.168.0.0/16 и Link-Local адреса
    nfdump  -M /var/nfcapd_dump/live/router -T -R 2018/11/19/nfcapd.201811191500:2018/11/19/nfcapd.201811191610 'host 10.46.159.66 and not src net 10.0.0.0/8 and not src net 192.168.0.0/16 and not net 169.254.0.0/16' -B
Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.