... h3. В данной статье содержится некоторое описание утилиты IPFIX Демон ipfixreceiver слушает на порту *9990* и агрегирует информацию, полученную от СКАТ, в директорию */mnt/var/skat_nat_events/* Информация хранится в виде dump файлов и раз в день архивируется. h6. Формат файла: timestamp, milliseconds, %%Y-%%m-%%d_%%H:%%M:%%S.%% login event protocol source_ipv4, decodeipv4 source_port nat_ipv4, decodeipv4 nat_port destination_ipv4, decodeipv4 destination_port session_id h6. Пример записи {code}2018-04-23_19:46:46.282000 13098 1 17 10.90.7.80 34462 77.77.77.77 33280 46.242.9.79 13710 16979700650470092036{code} Логи хранятся в */var/log/ipfixnat.log* pid файл находится в */tmp/ipfixreceiver.9990.pid* Остановить работу демона невозможно. Только убить командой {code}killall -9 ipfixreceiver {code} при этом обязательно проверить, что pid файла больше нет. Запуск демона осуществляется командой
|
h3. Примеры запросов h6. Вывести время, src-address,nat-address,dst-adress всех запросов с адреса 10.90.16.123 за период 2018-09-10 {code} time zcat /mnt/var/skat_nat_events/20180910.ag.gz | grep -w 10.90.16.123 | grep '2018-09-10' | cut -f 1,5,7,9 | uniq {code}
|