Tydyt:nfdump: Porovnání verzí
Z Poznámkový blok
(→Úvod) |
(→Úvod) |
||
(Nejsou zobrazeny 3 mezilehlé verze od stejného uživatele.) | |||
Řádka 2: | Řádka 2: | ||
Původní baliček flow-tools pro podporu NetFlow je bohužel již ukončen. Jeho funkci ale nahrazuje nový, nfdump který zároveň obsahuje i pomocný nfcapd. | Původní baliček flow-tools pro podporu NetFlow je bohužel již ukončen. Jeho funkci ale nahrazuje nový, nfdump který zároveň obsahuje i pomocný nfcapd. | ||
− | == nfcapd == | + | == Nástroje == |
+ | Přehled nástrojů NFDUMP | ||
+ | |||
+ | Všechny nástroje podporují netflow v5, v7 a v9. | ||
+ | |||
+ | |||
+ | '''nfcapd''' - netflow capture démon. | ||
+ | * Čte data netflow ze sítě a ukládá data do souborů. Automaticky střídat soubory každých n minut. (obvykle vždy 5 minut) nfcapd čte toky netflow v5, v7 a v9 transparentně. Pro každý proud netflow potřebujete jeden proces nfcapd. | ||
+ | |||
+ | |||
+ | '''nfdump''' - výpis netflow. | ||
+ | * Čte data netflow ze souborů uložených v nfcapd. Jeho syntaxe je podobná tcpdump. Pokud máte rádi tcpdump, bude se vám líbit nfdump. Zobrazuje data netflow a může vytvořit spoustu top N statistik toků IP adres, portů atd. seřazených v libovolném pořadí. | ||
+ | |||
+ | |||
+ | '''nfprofile''' - netflow profiler. | ||
+ | * Čte data netflow ze souborů uložených v nfcapd. Filtruje data netflow podle zadaných sad filtrů ( profilů ) a ukládá filtrovaná data do souborů pro pozdější použití. | ||
+ | |||
+ | |||
+ | '''nfreplay''' - netflow replay | ||
+ | *Načte data netflow ze souborů uložených nfcapd a odešle je přes síť na jiného hostitele. | ||
+ | |||
+ | |||
+ | '''nfclean.pl''' - vyčištění starých dat | ||
+ | * Ukázkový skript pro vyčištění starých dat. Tento skript můžete spouštět přibližně každou hodinu. | ||
+ | |||
+ | |||
+ | '''ft2nfdump''' – Čtení a převod dat flow-tools. | ||
+ | * Čte data flow-tools ze souborů nebo ze stdin v řetězci příkazů flow-tools a převádí data do formátu nfdump, aby je nfdump zpracoval. | ||
+ | |||
+ | == Instalace == | ||
+ | sudo apt install nfdump | ||
+ | |||
+ | == NFcapd == | ||
Tato aplikace poslouchá na nastaveném portě a ukládá data do souborů dle nastavení. Konfiguraci najdeme v adresáři /etc/nfdump. Pokud chceme spustit nfcapd vícekrát stačí vytvořit příslušný počet konfigurací. | Tato aplikace poslouchá na nastaveném portě a ukládá data do souborů dle nastavení. Konfiguraci najdeme v adresáři /etc/nfdump. Pokud chceme spustit nfcapd vícekrát stačí vytvořit příslušný počet konfigurací. | ||
Aktuální verze z 21. 7. 2024, 21:31
Úvod
Původní baliček flow-tools pro podporu NetFlow je bohužel již ukončen. Jeho funkci ale nahrazuje nový, nfdump který zároveň obsahuje i pomocný nfcapd.
Nástroje
Přehled nástrojů NFDUMP
Všechny nástroje podporují netflow v5, v7 a v9.
nfcapd - netflow capture démon.
- Čte data netflow ze sítě a ukládá data do souborů. Automaticky střídat soubory každých n minut. (obvykle vždy 5 minut) nfcapd čte toky netflow v5, v7 a v9 transparentně. Pro každý proud netflow potřebujete jeden proces nfcapd.
nfdump - výpis netflow.
- Čte data netflow ze souborů uložených v nfcapd. Jeho syntaxe je podobná tcpdump. Pokud máte rádi tcpdump, bude se vám líbit nfdump. Zobrazuje data netflow a může vytvořit spoustu top N statistik toků IP adres, portů atd. seřazených v libovolném pořadí.
nfprofile - netflow profiler.
- Čte data netflow ze souborů uložených v nfcapd. Filtruje data netflow podle zadaných sad filtrů ( profilů ) a ukládá filtrovaná data do souborů pro pozdější použití.
nfreplay - netflow replay
- Načte data netflow ze souborů uložených nfcapd a odešle je přes síť na jiného hostitele.
nfclean.pl - vyčištění starých dat
- Ukázkový skript pro vyčištění starých dat. Tento skript můžete spouštět přibližně každou hodinu.
ft2nfdump – Čtení a převod dat flow-tools.
- Čte data flow-tools ze souborů nebo ze stdin v řetězci příkazů flow-tools a převádí data do formátu nfdump, aby je nfdump zpracoval.
Instalace
sudo apt install nfdump
NFcapd
Tato aplikace poslouchá na nastaveném portě a ukládá data do souborů dle nastavení. Konfiguraci najdeme v adresáři /etc/nfdump. Pokud chceme spustit nfcapd vícekrát stačí vytvořit příslušný počet konfigurací.
options='-l /var/cache/nfdump -S 5 -t 600 -T all -p 2055'