Владимир320 Опубликовано 26 августа, 2021 · Жалоба 25 минут назад, mixtery сказал: Очевидно что никакой, если есть желание получать от всего. Сенсон шлёт НА коллектор. С ipt_netflow (там где у вас .140) слать на flow-capture В аргументах flow-capture ну хоть бы --help прочитали: "89.255.93.140/89.255.93.140/2055" = "localip/remoteip/port" то есть я могу сказать сенсору 10.1.1.1:2055 ? и он будет сразу все слать на коллектор? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Владимир320 Опубликовано 26 августа, 2021 · Жалоба сделал net.netflow.destination = 89.255.93.140:2055,10.100.0.70:2055 и вижу: cat /proc/net/stat/ipt_netflow sock0: 89.255.93.140:2055, sndbuf 212992, filled 1, peak 1; err: sndbuf reached 0, connect 0, cberr 0, other 0 sock1: 10.100.0.70:2055, sndbuf 212992, filled 1, peak 6913; err: sndbuf reached 0, connect 0, cberr 424, other 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 29 августа, 2021 · Жалоба В 25.08.2021 в 23:26, Владимир320 сказал: На коллекторе, видимо, ключ какой-то нужен, чтобы цепляться к сенсору на другой машине. Коллектор никуда не цепляется, он биндит порт и слушает всё что прилетело, срёт сенсор. В 26.08.2021 в 14:44, Владимир320 сказал: то есть я могу сказать сенсору 10.1.1.1:2055 ? и он будет сразу все слать на коллектор? да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Владимир320 Опубликовано 6 октября, 2023 · Жалоба НЕ стал создавать новую тему, продолжение к старому). В общем сливаю трафик с фортигейтов и ловлю его на сервере с помощью nfdump. Трафик ловится, складурется, но если я просто сделаю просмотр файла командой "nfdump -r nfcapd.202310060700" то вижу: 1970-01-01 03:00:00.000 INVALID Ignore TCP 10.154.14.130:60150 -> 10.40.1.9:445 0.0.0.0:0 -> 0.0.0.0:0 5123 5123 1970-01-01 03:00:00.000 INVALID Ignore UDP 10.154.14.130:52540 -> 10.154.16.32:389 0.0.0.0:0 -> 0.0.0.0:0 202 202 1970-01-01 03:00:00.000 INVALID Ignore TCP 10.154.14.130:60152 -> 92.118.67.2:443 212.164.74.147:60152 -> 0.0.0.0:0 2280 2280 вопрос к времени, время не меняется в дефолте стоит, как я понимаю. но если сделать просмотр трафика более умный, к примеру "nfdump -r nfcapd.202310060700 -s srcip 'host 10.154.14.130'", то со временем все норм: Date first seen Duration Proto Src IP Addr Flows(%) Packets(%) Bytes(%) pps bps bpp 2023-10-06 06:35:23.770 01:24:22.740 any 10.154.14.130 1450(50.0) 65652(25.2) 13.8 M(20.5) 12 21794 210 2023-10-06 06:57:04.450 00:59:53.570 any 10.154.17.37 418(14.4) 418( 0.2) 55256( 0.1) 0 123 132 2023-10-06 07:15:31.760 00:44:06.110 any 10.40.1.106 77( 2.7) 2052( 0.8) 1.2 M( 1.8) 0 3595 579 втф? так как мне чаще нужно использовать обычный вывод, как в первом случае настройка nfcupd: options='-z -T all -S 7 -l /srv/netflow/nfcap -t 3600 -p 2055' Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DDR Опубликовано 6 октября, 2023 · Жалоба Quote втф? так как мне чаще нужно использовать обычный вывод, как в первом случае попробуй указывать формат вывода "nfdump -r nfcapd.202310060700 -o line" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Владимир320 Опубликовано 9 октября, 2023 · Жалоба да, все норм, спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...