ng_netflow flow-tools странные таймауты

[umike]

эксперименты...

 

6.2-REL

ng_netflow с целью считать трафик идущий в обе стороны через два split'а прицеплен к интерфейсу sk0 по схеме http://tmp.barev.net/htmlart/unix/ng_img/ng_img03.png

export сказано делать на 127.0.0.1:4444, для таймаутов сказано settimeouts { inactive = 5 active = 300 }

На этой-же машине запущено flow-capture -w /var/log/netflow -n 288 -S 1 0/0/4444 (flow-tools-0.68_5 собран из портов)

 

Тут-же запущен vsftpd, sk0 соединен патчкордом с другой машиной во избежание лишнего трафика.

 

Скачиваем с фтп любой файл. Разрываем сессию. В flowctl node show - пусто. Ждем окончания 5-минутного периода. flow-capture генерит очередной файл. В файле пусто. Ждал полчаса, файлы исправно генерятся, но по прежнему пусто.

Скачиваю с фтп еще один любой файл. По окончании 5-минутного интервала в очередном файле нахожу либо обе сессии, либо только первую. Вторая снова где-то кэширована неясно на сколько. Причем если глянуть flow-print -f 1, то из него видно что время сессий верное, тем не менее в лог-файлы данные попадают с неочевидной задержкой после разрыва сессии, а хотелось бы как можно ближе к реальному.

 

 

Куда копать? Кандидаты на замену flow-tools ?

Edited April 27, 2008 by umike

[umike]

собственно сам ng_netflow сбрасывает данные коллектору только когда через интерфейс идёт трафик. Когда трафика нет - сессии могут не сбрасываться сенсором хоть 6 часов.

[Сильвер]

<glebius> ng_netflow придуман для роутеров которые работают, а не которые стоят

 

[umike]

угу, еще вчера прочитал.

 

Выходит что несмотря на кажущуюся универсальность, ng_netflow на самом деле универсальным не является. Например для малых сетей (где применимость pc-роутеров весьма оправдана, а трафик может быть "пульсирующим" в зависимости от времени суток) адекватность данных в каждый конкретный момент времени из-за подобной "фичи" может на гигабайты отличаться от реальности.

Edited April 29, 2008 by umike

[Сильвер]

угу, еще вчера прочитал.

Это в каком месте можно почитать мою личку? )

Выходит что несмотря на кажущуюся универсальность, ng_netflow на самом деле универсальным не является. Например для малых сетей (где применимость pc-роутеров весьма оправдана, а трафик может быть "пульсирующим" в зависимости от времени суток) адекватность данных в каждый конкретный момент времени из-за подобной "фичи" может на гигабайты отличаться от реальности.

Ну я бы не был так критичен. Трафик всё равно придёт, раньше или позже. Можно попробовать покрутить active timeout.

 

[umike]

http://www.fido7.spb.su/fido7.ru.unix.bsd/msg21527.html и по треду :) Не личка, но смысел тотже :)

* From: Gleb Smirnoff

 

GS>> Да, пока не сформируется полный пакет - 30 записей.

 

AF> а можно как нибудь раз в N секунд скидывать, если есть что скидывать конечно

AF> же...

 

Наверное если на роутере долгое время не образуется 30 потоков, то ему

netflow и не нужен?

раньше или позже может означать задержку актуальности например часов на 14. Возьмем например небольшой офис. Один из 30-ти последних потоков на 3 гига. Висит в кэше и не сбрасывается, потребитель имеет возможность качнуть еще 10 раз по столько-же пока "биллинг" поймет что лимит исчерпан и заблокирует доступ.

 

active timeout не поможет. Рыл сорцы - пока 30 потоков не накопятся и не заполнится "пакет", не сбрасываются даже expired.

[user_anonymous]

Вот уж не представлял, что тут есть такая засада. ИМХО это большая недоработка, но ее можно попытаться обойти - можно время от времени посылать ICMP пакеты во внешний мир, чтобы генерировались сессии.