[rlug] Identificare surse/destinații pentru traficul unui server

Adi Pircalabu apircalabu at gmail.com
Thu Mar 1 14:36:32 EET 2018 

Daca nu te apuca vomitatul din prima si te simti cat de cat
confortabil cu python iti sugerez din toata inima netflow+python, vezi
pe github, sunt niste proiecte cu care sigur poti incropi ceva. Din
propria experienta pentru ce ai tu nevoie, din ce am inteles, o
solutie bazata pe softflowd care trimite informatie la un collector
care scuipa intr-un sql/redis e ideala. Depinde si cat timp ai la
dispozitie pentru asa ceva.
O alta optiune ar fi iptables+ulogd+mysql. Dar nu mai mult de o
saptamana si nu pe SATA, daca ai trafic mare o sa pui masina pe butuci
:)
Ar mai fi ntop, dar e cam greoi, crapacios si e bun mai degraba sa
studiezi trenduri decat sa vezi ce trafic se face pe ce interfata in
secunda X.
Depinde mult si ce trafic ai, daca e aglomerat solutia cu netflows
exportate probabil se scaleaza cel mai bine.
Sunt curios ce-o sa iasa, indiferent ce solutie.

Adi

2018-03-01 23:10 GMT+11:00 Adrian Popa <adrian.popa.gh at gmail.com>:
> Nu aș vrea să fac captură de pachete, pentru că vreau să fac o analiză pe o
> săptămână de trafic, ca să fiu relativ sigur că prind tot ce mișcă de
> obicei pe acolo.
>
> 2018-03-01 13:46 GMT+02:00 Mihai Badici <mihai at badici.ro>:
>
>>
>>
>> On 03/01/2018 01:36 PM, Adrian Popa wrote:
>> > Salutare.
>> > Am în ogradă câteva servere mai vechi care trebuiesc migrate pe VM.
>> > Problema e că serverele au relativ multe subinterfețe vlan (30+),
>> > majoritatea care nu au corespondent în platforma VM.
>> >
>> > Vreau să pot analiza traficul inițial/terminat în aceste servere pe toate
>> > interfețele VLAN pentru a putea avea o idee mai bună despre ce mai e
>> > relevant pe acolo pentru a putea face un redesign.
>> >
>> > Mă gândeam la chestii gen:
>> > 1. iptables -j LOG pus înainte de regulile de acces, dar după accept
>> > RELATED,ESTABLISHED, doar că trebuie să perii dmesg-ul (sau parcă îl pot
>> > loga și într-un fișier) pentru raportare...
>> > 2. sflow (sau un prieten de-al lui) care să îmi exporte netflow către un
>> > collector (am nfsen disponibil). Aici avantajul e că pot face ce
>> query-uri
>> > vreau eu să înțeleg mai bine ce e relevant. Ceva recomandări de tool
>> pentru
>> > export metadate?
>> >
>> > Alte recomandări?
>> > Mulțumesc
>> Păi și tcpdump sau wireshark nu te ajută? Iptables poate loga și în
>> fișier, parcă cu -j LOG --log-file=..... dacă țin minte sintaxa bine.
>> Până la urmă poate ar fi mai utile log-urile serviciilor pe care le
>> rulezi ca să vezi cine le folosește.
>>
>>
>> _______________________________________________
>> RLUG mailing list
>> RLUG at lists.lug.ro
>> http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
>>
> _______________________________________________
> RLUG mailing list
> RLUG at lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro



-- 
Adi Pircalabu

More information about the RLUG mailing list