... h1. Включение nfsen Для настройки nfsen и bstatd в базовом меню откройте пункт "[Система сбора статистики|CarbonBilling:Описание работы служб сбора статистики]" и настройте следующие опции: * *Основные настройки \-> Сохранять сырую статистику в формате nfcapd для анализа nfsen*: +включите+ * *Основные настройки \-> Включить bstatd для детальной статистики*: +выключите+ * *Настройка сохранения сырой статистики \-> Сохранять статистику для bstatd*: +выключите+ {info}* После изменения настроек, nfcapd будет собираться в каталоге /app/collector/var/nfcapd_dump/ * Можно оставить обе службы в работе, - nfsen для точности и предоставления правоохранительным органам, bstatd для отображения статистики в ЛК, - но это потребует довольно много дискового пространства. Рекомендуется в таком случае установить диск объёмом не менее 4Тб{info} h2. Использование nfsen # После включения *nfsen*, на странице управления сервером появится новый элемент "*Детальная статистика Netflow*" \\ \\ !nfsen_base.png|border=1!\\ \\ # В интерфейсе детальной статистики перейдите на вкладку "*Details*" \\ \\ !nfsen_interface.png|border=1!\\ \\ # Выберите требуемый период, за который необходимо посмотреть статистику \\ \\ !nfsen_selectperiod.png|border=1!\\ \\ # Выберите "*List Flows*" чтобы отобразить зарегистрированные потоки трафика, либо "*Stat TopN*" чтобы отобразить топ трафика по хостам. Нажмите "*process*" Настроить фильтры Вы можете используя документацию "[NfSen. Filter Syntax|http://nfsen.sourceforge.net/#mozTocId652064]" \\ \\ !nfsen_netflow_processing.png|border=1! h1. Получение данных в командной строке Примеры использования и полное описание формата данных и работы с ними Вы можете получить в документации проекта *nfdump* [http://nfdump.sourceforge.net] *nfsen* является веб-интерфейсом для удобства получение данных. При просмотре детальной статистики он делает вызовы к командному интерфейсу *nfdump*. Данные nfdump хранятся в папке */app/collector/var/nfcapd_dump/live/router* и разбиты по принципу "год/месяц/день". В папке по каждому дню потоки разбиты на файлы по пятиминутным временным промежуткам, например: "nfcapd.201811191500" и имеют следующий формат: * nfcapd.YYYYmmddHHMMSS, где: ** *nfcapd* \- неизмено и включается в название всех файлов ** *YYYY* \- год полностью, четыре символа ** *mm* \- месяц, два символа (например, январь - 01, февраль - 02 и т.д.) ** *dd* \- число месяца, два символа (например, первое - 01, второе - 02 и т.д.) ** *HH* \- часы, два символа (например, час ночи - 01, час дня - 13 и т.д.) ** *MM* \- минуты, два символа (например, первая минута часа - 01, вторая минута часа - 02 и т.д.) ** *SS* \- секунды, два символа, как правило всегда "00"
|
... * Трафик за 24 января 2019 года в период с 10:55 до 11:25 по хосту с адресом 10.10.1.18 {code}nfdump -R /var/nfcapd_dump/live/router/2019/01/24/nfcapd.201901241055:nfcapd.201901241125 'host 10.10.1.18'{code} * Трафик за 15 марта 2019 года в период с 16:05 до 17:30, топ 10 потоков сгруппированных по IP и потокам. {code}nfdump -M /var/nfcapd_dump//live/router -T -R 2019/03/15/nfcapd.201903151605:2019/03/15/nfcapd.201903151730 -n 10 -s ip/flows{code} * Трафик за 23 октября 2018 года в период с 17:00 до 17:30, топ 10 потоков сгруппированных по IP и потокам только по хосту с адресом 10.46.159.66 {code}nfdump -M /var/nfcapd_dump/live/router -T -R 2018/10/23/nfcapd.201810231700:2018/10/23/nfcapd.201810231730 'host 10.46.159.66' -s ip/bytes{code} * Трафик за 19 ноябяря 2018 года в период с 15:00 до 16:10, по хосту 10.46.159.66 исключая трафик с локальных сетей 10.0.0.0/8 и 192.168.0.0/16 и Link-Local адреса {code}nfdump -M /var/nfcapd_dump/live/router -T -R 2018/11/19/nfcapd.201811191500:2018/11/19/nfcapd.201811191610 'host 10.46.159.66 and not src net 10.0.0.0/8 and not src net 192.168.0.0/16 and not net 169.254.0.0/16' -B{code}
|