devicebusy Опубликовано 11 ноября, 2010 (изменено) · Жалоба Здравствуйте коллеги, есть сеть на ~1400 клиентов, 140/50 мбитс траффика down/up. Собираем нетфлоу с сетевухи на линукс сервере (debian lenny 5.0.6 fully updated, 2.6.26-2-amd64 distribution default, NIC - marvel gbit onboard) с fprobe/flow-capture, на этот NIC траффик льётся через порт миррор на свитче (hybrid port - нетагованый трафф + несколько vlan ), нагрузка на сервер небольшая - load average: 0.22, 0.13, 0.10. logserv:/usr/src# mpstat -P ALL Linux 2.6.26-2-amd64 (logserv.domain.tld) 11/11/2010 _x86_64_ 08:52:22 AM CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s 08:52:22 AM all 0.13 0.01 0.58 0.03 0.30 0.23 0.00 98.71 123.23 08:52:22 AM 0 0.06 0.00 0.06 0.01 0.00 0.00 0.00 99.86 0.44 08:52:22 AM 1 0.35 0.02 2.06 0.01 1.15 0.84 0.00 95.57 113.13 08:52:22 AM 2 0.06 0.01 0.06 0.08 0.00 0.01 0.00 99.77 8.52 08:52:22 AM 3 0.05 0.00 0.06 0.03 0.00 0.01 0.00 99.84 1.14 flow-stat'ом смотрю статистику - и ничего непонимаю: срез за день - summary: logserv:/data/netflow/net/2010/2010-06/2010-06-16# flow-cat ./ | flow-stat # --- ---- ---- Report Information --- --- --- # # Fields: Total # Symbols: Disabled # Sorting: None # Name: Overall Summary # # Args: flow-stat # Total Flows : 3337503 Total Octets : 1025757664455 Total Packets : 78712326 Total Time (1/1000 secs) (flows): 20767531025 Duration of data (realtime) : 86395 Duration of data (1/1000 secs) : 51436679 Average flow time (1/1000 secs) : 6222.4756 Average packet size (octets) : 13031.7285 Average flow size (octets) : 307342.8438 Average packets per flow : 23.5842 Average flows / second (flow) : 64.8865 Average flows / second (real) : 38.6307 Average Kbits / second (flow) : 159539.2656 Average Kbits / second (real) : 94983.0625 IP packet size distribution: 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .390 .000 .000 .000 .000 .007 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .002 .000 .000 .000 .000 .000 .000 .000 Packets per flow distribution: 1 2 4 8 12 16 20 24 28 32 36 40 44 48 52 .373 .183 .137 .160 .041 .021 .013 .009 .006 .005 .004 .003 .003 .002 .002 60 100 200 300 400 500 600 700 800 900 >900 .003 .010 .009 .004 .002 .001 .001 .001 .001 .001 .005 Octets per flow distribution: 32 64 128 256 512 1280 2048 2816 3584 4352 5120 5888 6656 7424 8192 .390 .000 .000 .006 .000 .002 .000 .000 .000 .000 .000 .000 .000 .000 .000 8960 9728 10496 11264 12032 12800 13568 14336 15104 15872 >15872 .006 .000 .000 .000 .000 .000 .000 .000 .000 .000 .596 Flow time distribution: 10 50 100 200 500 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 .457 .029 .031 .040 .069 .042 .037 .041 .030 .016 .020 .015 .009 .015 .015 12000 14000 16000 18000 20000 22000 24000 26000 28000 30000 >30000 .024 .011 .011 .008 .008 .007 .005 .005 .005 .005 .044 Почему невидно пакеты норм. размеров (1500b) ? Откуда вылез Average packet size (octets) : 13031.7285 байт? Лезет там конечно и QinQ но это макс 1522 байт... А вот это вообще непонимаю: logserv:/data/netflow/net/2010/2010-06/2010-06-16# flow-cat ./ | flow-stat -f 5 # --- ---- ---- Report Information --- --- --- # # Fields: Total # Symbols: Disabled # Sorting: None # Name: UDP/TCP destination port # # Args: flow-stat -f 5 # # # port flows octets packets # 64168 2 180224 12 60018 11 901120 55 59507 6 25919488 1582 56222 4 573440 36 52154 2 344064 21 34258 10 8241152 503 32324 33 11436032 707 27753 1 16384 1 19363 2 163840 10 11102 7 20365312 1246 9649 3 49152 4 7504 10 1212416 77 7106 8 1163264 71 3133 3 12222464 747 2445 2 376832 23 432 10 18120704 1198 1 1 0 1 0 7922 3450486784 271912 logserv:/data/netflow/net/2010/2010-06/2010-06-16# flow-cat ./ | flow-stat -f 6 # --- ---- ---- Report Information --- --- --- # # Fields: Total # Symbols: Disabled # Sorting: None # Name: UDP/TCP source port # # Args: flow-stat -f 6 # # # port flows octets packets # 62884 33 11436032 707 60323 4 573440 36 42943 11 901120 55 42616 3 49152 4 34469 7 20365312 1246 25350 10 8241152 503 20504 18 2375680 148 20496 10 18120704 1198 16779 3 12222464 747 15932 1 16384 1 9691 6 25919488 1582 8469 2 163840 10 7970 2 180224 12 7492 2 376832 23 1645 2 344064 21 62 1 0 1 0 7922 3450486784 271912 Это какие-то рандомные порты и нет нормального траффика (80,443,25 итд)... Причом на сетевой тспдампом вижу целый траффик в норме. Вобщем ткните носом пожалуйста. Вот конфиги: logserv:/usr/src# cat /etc/default/fprobe #fprobe default configuration file INTERFACE="eth1" FLOW_COLLECTOR="localhost:555" #fprobe can't distinguish IP packet from other (e.g. ARP) #OTHER_ARGS="-f vlan&&ip -K 18 -n 5" OTHER_ARGS="-f ip -K 18 -n 5" logserv:/usr/src# cat /etc/flow-tools/flow-capture.conf # Configuration for flow-capture # # Robin Elfrink <robin@a1.nl> # # Every line is basically just the options to flow-capture, see # flow-capture(1) for explanation. # local sensor -w /data/netflow/net -V 5 -N 3 -n 95 127.0.0.1/127.0.0.1/555 Заранее спасибо за помощь. Изменено 17 ноября, 2010 пользователем devicebusy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
devicebusy Опубликовано 17 ноября, 2010 · Жалоба Фильтр некорректно задан был, уже работает. OTHER_ARGS="-f ip -K 18 -n 5" было, OTHER_ARGS='-fvlan&&ip -K18 -n 5 -r2 -q10000 -t10000:10000000' стало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...