[windows_NT]

Подскажите пожалуйста, где можно найти готовые скрипты, чтобы делать различные выборки из файлов, которые насобирал flow-tools (для консольного парсинга и отображения)?

А то манипуляции с утилитами flow-tools и их миллиард аргументов и обвязка по конвеерам, слишком обременительна. Я думаю, что должны быть готовые скрипты, которые уже сочетают в себе нужные комбинации параметров утилит flow-tools и позволяют сократить время на выборки и прочие штуки.

 

Помогите пожалуйста.

[legioner0]

nfsen подойдет?

Изменено 16 января, 2013 пользователем legioner0

[YuryD]

Подскажите пожалуйста, где можно найти готовые скрипты, чтобы делать различные выборки из файлов, которые насобирал flow-tools (для консольного парсинга и отображения)?

 

man flow-nfilter. Описываете свои фильтры и всё.

[tawer]

для частных случаев бывает удобно воспользоваться ft2nfdump и, собственно, самим nfdump в качестве инструмента анализа

Изменено 16 января, 2013 пользователем tawer

[windows_NT]

nfsen подойдет?

 

Нет, это веб морда. Мне нужно исключительно консольный скрипт обвязка.

[agr]

а что нужно получить на выходе то?

[windows_NT]

а что нужно получить на выходе то?

 

Скрипт обвязку для утилит flow-tools, чтобы не писать километровые комманды.

[vop]

а что нужно получить на выходе то?

 

Скрипт обвязку для утилит flow-tools, чтобы не писать километровые комманды.

 

Там был вопрос не "чем получать" а "что" :) Для чего нужны данные? Запихивать куда-нибудь, или просто глазами смотреть?

[windows_NT]

а что нужно получить на выходе то?

 

Скрипт обвязку для утилит flow-tools, чтобы не писать километровые комманды.

 

Там был вопрос не "чем получать" а "что" :) Для чего нужны данные? Запихивать куда-нибудь, или просто глазами смотреть?

 

Глазами смотреть

[agr]

Ладно, перефразирую. На что именно нужно в итоге смотреть глазами после того как скрипт отпарсит файлы?

 

Если опять вопрос непонятен, то просто закончите предложение: "У меня есть файл ft-1234567890, я хочу выполнить команду './script ft-1234567890' и получить на ее выводе текст в формате ..."

[windows_NT]

Ладно, перефразирую. На что именно нужно в итоге смотреть глазами после того как скрипт отпарсит файлы?

 

Если опять вопрос непонятен, то просто закончите предложение: "У меня есть файл ft-1234567890, я хочу выполнить команду './script ft-1234567890' и получить на ее выводе текст в формате ..."

 

./script ft-1234567890 src ip 192.168.65.4 -> вывод отчёта по взимодействию этого src ip с другими ip с портами и количеством трафика. Или по dst ip, src port, dst port и комбинации этих параметров.

[agr]

Есть такой перловый модуль Cflow, с помощью которого можно парсить flow файлы.

К этому модулю есть готовый скрипт flowdumper. Для вашего примера его вызов будет выглядеть как

flowdumper -se '"192.168.65.4" eq $srcip' ft-1234567890

[windows_NT]

Есть такой перловый модуль Cflow, с помощью которого можно парсить flow файлы.

К этому модулю есть готовый скрипт flowdumper. Для вашего примера его вызов будет выглядеть как

flowdumper -se '"192.168.65.4" eq $srcip' ft-1234567890

 

Дайте пожалуйста ссылку на скачивание. man по использыванию в скрипте прописан ?

Изменено 17 января, 2013 пользователем windows_NT

[agr]

распространяется с исходниками flow-tools