Jump to content
Калькуляторы

[РЕШЕНО] flow-tools - галлюцинации или кривые руки Что я делаю не так?

Здравствуйте коллеги,

 

есть сеть на ~1400 клиентов, 140/50 мбитс траффика down/up.

Собираем нетфлоу с сетевухи на линукс сервере (debian lenny 5.0.6 fully updated, 2.6.26-2-amd64 distribution default, NIC - marvel gbit onboard) с fprobe/flow-capture,

на этот NIC траффик льётся через порт миррор на свитче (hybrid port - нетагованый трафф + несколько vlan ), нагрузка на сервер небольшая - load average: 0.22, 0.13, 0.10.

 

logserv:/usr/src# mpstat -P ALL

Linux 2.6.26-2-amd64 (logserv.domain.tld) 11/11/2010 _x86_64_

 

08:52:22 AM CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s

08:52:22 AM all 0.13 0.01 0.58 0.03 0.30 0.23 0.00 98.71 123.23

08:52:22 AM 0 0.06 0.00 0.06 0.01 0.00 0.00 0.00 99.86 0.44

08:52:22 AM 1 0.35 0.02 2.06 0.01 1.15 0.84 0.00 95.57 113.13

08:52:22 AM 2 0.06 0.01 0.06 0.08 0.00 0.01 0.00 99.77 8.52

08:52:22 AM 3 0.05 0.00 0.06 0.03 0.00 0.01 0.00 99.84 1.14

 

 

flow-stat'ом смотрю статистику - и ничего непонимаю:

 

срез за день - summary:

 

logserv:/data/netflow/net/2010/2010-06/2010-06-16# flow-cat ./ | flow-stat

# --- ---- ---- Report Information --- --- ---

#

# Fields: Total

# Symbols: Disabled

# Sorting: None

# Name: Overall Summary

#

# Args: flow-stat

#

Total Flows : 3337503

Total Octets : 1025757664455

Total Packets : 78712326

Total Time (1/1000 secs) (flows): 20767531025

Duration of data (realtime) : 86395

Duration of data (1/1000 secs) : 51436679

Average flow time (1/1000 secs) : 6222.4756

Average packet size (octets) : 13031.7285

Average flow size (octets) : 307342.8438

Average packets per flow : 23.5842

Average flows / second (flow) : 64.8865

Average flows / second (real) : 38.6307

Average Kbits / second (flow) : 159539.2656

Average Kbits / second (real) : 94983.0625

 

 

IP packet size distribution:

1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480

.390 .000 .000 .000 .000 .007 .000 .000 .000 .000 .000 .000 .000 .000 .000

 

512 544 576 1024 1536 2048 2560 3072 3584 4096 4608

.000 .000 .000 .002 .000 .000 .000 .000 .000 .000 .000

 

Packets per flow distribution:

1 2 4 8 12 16 20 24 28 32 36 40 44 48 52

.373 .183 .137 .160 .041 .021 .013 .009 .006 .005 .004 .003 .003 .002 .002

 

60 100 200 300 400 500 600 700 800 900 >900

.003 .010 .009 .004 .002 .001 .001 .001 .001 .001 .005

 

Octets per flow distribution:

32 64 128 256 512 1280 2048 2816 3584 4352 5120 5888 6656 7424 8192

.390 .000 .000 .006 .000 .002 .000 .000 .000 .000 .000 .000 .000 .000 .000

 

8960 9728 10496 11264 12032 12800 13568 14336 15104 15872 >15872

.006 .000 .000 .000 .000 .000 .000 .000 .000 .000 .596

 

Flow time distribution:

10 50 100 200 500 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000

.457 .029 .031 .040 .069 .042 .037 .041 .030 .016 .020 .015 .009 .015 .015

 

12000 14000 16000 18000 20000 22000 24000 26000 28000 30000 >30000

.024 .011 .011 .008 .008 .007 .005 .005 .005 .005 .044

 

Почему невидно пакеты норм. размеров (1500b) ? Откуда вылез Average packet size (octets) : 13031.7285 байт? Лезет там конечно и QinQ но это макс 1522 байт...

 

А вот это вообще непонимаю:

logserv:/data/netflow/net/2010/2010-06/2010-06-16# flow-cat ./ | flow-stat -f 5

# --- ---- ---- Report Information --- --- ---

#

# Fields: Total

# Symbols: Disabled

# Sorting: None

# Name: UDP/TCP destination port

#

# Args: flow-stat -f 5

#

#

# port flows octets packets

#

64168 2 180224 12

60018 11 901120 55

59507 6 25919488 1582

56222 4 573440 36

52154 2 344064 21

34258 10 8241152 503

32324 33 11436032 707

27753 1 16384 1

19363 2 163840 10

11102 7 20365312 1246

9649 3 49152 4

7504 10 1212416 77

7106 8 1163264 71

3133 3 12222464 747

2445 2 376832 23

432 10 18120704 1198

1 1 0 1

0 7922 3450486784 271912

logserv:/data/netflow/net/2010/2010-06/2010-06-16# flow-cat ./ | flow-stat -f 6

# --- ---- ---- Report Information --- --- ---

#

# Fields: Total

# Symbols: Disabled

# Sorting: None

# Name: UDP/TCP source port

#

# Args: flow-stat -f 6

#

#

# port flows octets packets

#

62884 33 11436032 707

60323 4 573440 36

42943 11 901120 55

42616 3 49152 4

34469 7 20365312 1246

25350 10 8241152 503

20504 18 2375680 148

20496 10 18120704 1198

16779 3 12222464 747

15932 1 16384 1

9691 6 25919488 1582

8469 2 163840 10

7970 2 180224 12

7492 2 376832 23

1645 2 344064 21

62 1 0 1

0 7922 3450486784 271912

 

Это какие-то рандомные порты и нет нормального траффика (80,443,25 итд)...

Причом на сетевой тспдампом вижу целый траффик в норме.

 

Вобщем ткните носом пожалуйста. Вот конфиги:

 

logserv:/usr/src# cat /etc/default/fprobe

#fprobe default configuration file

 

INTERFACE="eth1"

FLOW_COLLECTOR="localhost:555"

 

#fprobe can't distinguish IP packet from other (e.g. ARP)

#OTHER_ARGS="-f vlan&&ip -K 18 -n 5"

OTHER_ARGS="-f ip -K 18 -n 5"

 

logserv:/usr/src# cat /etc/flow-tools/flow-capture.conf

# Configuration for flow-capture

#

# Robin Elfrink <robin@a1.nl>

#

# Every line is basically just the options to flow-capture, see

# flow-capture(1) for explanation.

 

# local sensor

-w /data/netflow/net -V 5 -N 3 -n 95 127.0.0.1/127.0.0.1/555

 

Заранее спасибо за помощь.

Edited by devicebusy

Share this post


Link to post
Share on other sites

Фильтр некорректно задан был, уже работает.

 

OTHER_ARGS="-f ip -K 18 -n 5" было,

OTHER_ARGS='-fvlan&&ip -K18 -n 5 -r2 -q10000 -t10000:10000000' стало

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this