Включение nfsen
Для настройки nfsen и bstatd в базовом меню откройте пункт "Система сбора статистики" и настройте следующие опции:
- Основные настройки -> Сохранять сырую статистику в формате nfcapd для анализа nfsen: включите
- Основные настройки -> Включить bstatd для детальной статистики: выключите
- Настройка сохранения сырой статистики -> Сохранять статистику для bstatd: выключите
|
Использование nfsen
- После включения nfsen, на странице управления сервером появится новый элемент "Детальная статистика Netflow"
- В интерфейсе детальной статистики перейдите на вкладку "Details"
- Выберите требуемый период, за который необходимо посмотреть статистику
- Выберите "List Flows" чтобы отобразить зарегистрированные потоки трафика, либо "Stat TopN" чтобы отобразить топ трафика по хостам. Нажмите "process"
Настроить фильтры Вы можете используя документацию "NfSen. Filter Syntax"
Примеры использования
Задача: получить данные за период 13.03.2020 08:00 по 13.03.2020 12:00
Выбираем временное окно.
Получение данных в командной строке
Примеры использования и полное описание формата данных и работы с ними Вы можете получить в документации проекта nfdump http://nfdump.sourceforge.net
nfsen является веб-интерфейсом для удобства получение данных. При просмотре детальной статистики он делает вызовы к командному интерфейсу nfdump.
Данные nfdump хранятся в папке /app/collector/var/nfcapd_dump/live/router и разбиты по принципу "год/месяц/день". В папке по каждому дню потоки разбиты на файлы по пятиминутным временным промежуткам, например: "nfcapd.201811191500" и имеют следующий формат:
- nfcapd.YYYYmmddHHMMSS, где:
- nfcapd - неизмено и включается в название всех файлов
- YYYY - год полностью, четыре символа
- mm - месяц, два символа (например, январь - 01, февраль - 02 и т.д.)
- dd - число месяца, два символа (например, первое - 01, второе - 02 и т.д.)
- HH - часы, два символа (например, час ночи - 01, час дня - 13 и т.д.)
- MM - минуты, два символа (например, первая минута часа - 01, вторая минута часа - 02 и т.д.)
- SS - секунды, два символа, как правило всегда "00"
Несколько примеров вызова nfdump с пояснениями приведены ниже.
Команда nfdump находится в контейнере collector, перед её использованием выполните команду:
chroot /app/collector |
- Трафик за 07 июля 2019 года в период с 00:00 до 11:00 по хосту с адресом 10.10.1.18
nfdump -R /var/nfcapd_dump/live/router/2019/07/ -t 2019/07/08.00:00:00-2019/07/08.11:00:00 'host 10.10.1.18'
- Трафик за 24 января 2019 года в период с 10:55 до 11:25 по хосту с адресом 10.10.1.18
nfdump -R /var/nfcapd_dump/live/router/2019/01/24/nfcapd.201901241055:nfcapd.201901241125 'host 10.10.1.18'
- Трафик за 15 марта 2019 года в период с 16:05 до 17:30, топ 10 потоков сгруппированных по IP и потокам.
nfdump -M /var/nfcapd_dump//live/router -T -R 2019/03/15/nfcapd.201903151605:2019/03/15/nfcapd.201903151730 -n 10 -s ip/flows
- Трафик за 23 октября 2018 года в период с 17:00 до 17:30, топ 10 потоков сгруппированных по IP и потокам только по хосту с адресом 10.46.159.66
nfdump -M /var/nfcapd_dump/live/router -T -R 2018/10/23/nfcapd.201810231700:2018/10/23/nfcapd.201810231730 'host 10.46.159.66' -s ip/bytes
- Трафик за 19 ноябяря 2018 года в период с 15:00 до 16:10, по хосту 10.46.159.66 исключая трафик с локальных сетей 10.0.0.0/8 и 192.168.0.0/16 и Link-Local адреса
nfdump -M /var/nfcapd_dump/live/router -T -R 2018/11/19/nfcapd.201811191500:2018/11/19/nfcapd.201811191610 'host 10.46.159.66 and not src net 10.0.0.0/8 and not src net 192.168.0.0/16 and not net 169.254.0.0/16' -B