Netflow(FreeBSD)

        Netflow(FreeBSD)
Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录，但是当汇集起来是，它更加易于管理和易读。Netflow由Cisco创造。
这篇文章主要参考
http://www.onlamp.com/lpt/a/6137
和
http://www.onlamp.com/lpt/a/6177
这两篇文章，由于自行加入了ng_netflow和修改了部分程序，勉强算做原创吧
Netflow
Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录，但是当汇集起来是，它更加易于管理和易读。Netflow由Cisco创造。
Netflow结构
一个Netflow系统包括三个主要部分：探测器，采集器，报告系统。探测器是用来监听网络数据的。采集器是用来收集探测器传来的数据的。报告系统是用来从采集器收集到的数据产生易读的报告的。
探测器设置
探测器有很多种，常用的如softflowd，freebsd自带的ng_netflow。
（1）softflowd
a.安装
#/usr/ports/net-mgmt/softflowd/make install clean
b.运行
#softflowd -i 监听网卡 -n 采集器IP:端口
c。监控程序
#softflowctl statistics 查看状态，还有很多参数，自己看man
（2）ng_netflow
a.配置
1./boot/loader.conf
ng_ether_load="YES"
ng_one2many_load="YES"
2.ng配置文件/etc/ng_conf
mkpeer 监听网卡: netflow lower iface0
name 监听网卡:lower netflow
connect 监听网卡: netflow: upper out0
mkpeer netflow: ksocket export inet/dgram/udp
msg netflow:export connect inet/采集器IP:端口
b.运行
#/usr/sbin/ngctl -f /etc/ng_conf
如果需要自动运行，需要在/usr/local/etc/rc.d/目录下加入相应的启动脚本
采集器设置
（1）安装flow-tools
#/usr/ports/net-mgmt/flow-tools/make install clean
（2）运行
#/usr/local/bin/flow-capture -p /var/run/flow-capture.pid -n 287 -N 0 -w /var/log/netflows/ -S 5 本地监听IP/远端IP/监听端口
:D
其中，/var/log/netflows/目录为日志目录，需要手动创建；本地监听IP为0,则在所有IP监听；远端IP为0,接受任意探测器的数据；其它可以不用更改。
一旦启动flow-capture，日志目录下就会出现日志文件。例如tmp-v05.2005-12-12.174000+0800，表示临时的，Netflow版本5的数据，采集开始时间是2005-12-12,17：40：00,距离GMT（标准时间）+8小时。每隔5分钟，flow-capture就会把临时文件移动到永久位置，并开始记录新的临时文件。永久文件就是把tmp替换成ft，文件名的其它部分一样，文件也在同样的日志目录下。
报告系统
（1）Cflow.pm
日志文件是二进制形式，需要特殊的工具阅读。很多工具均利用Cflow.pm。你可以把它当作一个简单的命令行工具。
a.安装
#/usr/ports/net-mgmt/p5-Cflow/make install
注意，这里没有用"clean"这个参数，因为，安装过程可能出错，错误提示包括这样一行
"Note (probably harmless): No library found for -lnsl"
如果是这样你还需要做下面的工作：
# cd /usr/ports/net-mgmt/flow-tools/work/flow-tools-0.68/contrib
# tar -xzvf Cflow-1.051.tar.gz
# cd Cflow-1.051
# perl Makefile.PL

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有