Star1609 Опубликовано 29 октября, 2013 · Жалоба Установил продукт nfdump (Version: 1.6.10p1) на платформу centos6.Также перловые скрипты для графиков nfsen но об этом сейчас речь не идет. Проблему заметил на nfcapd , если быть точнее при чтении файлов записи с помощью nfdump за пять минут вижу просто несусветные цифры в выводе например : nfdump -r nfcapd.201310281535 -s record 'in if 73 ' Date first seen Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows 2013-10-28 15:35:02.380 295.447 GRE x.x.x.x -> x.x.x.x:0 3.7 G 5.0 T 38 2013-10-28 15:35:02.380 294.998 GRE x.x.x.x -> x.x.x.x:0 1.4 G 2.0 T 35 ... и тд... total bytes: 555.7 T, total packets: 785.9 G, avg bps: 2.3 T, Цифры 557,7 терабайт и 2,3 т в секунду в тысяча раз больше того что вписывается в реалии моей сети, при том что интерфейс у меня 40 гигабит максимум он при том что будет загружен на полный ход обработает 40 гигбит *300 сек = 1200 гигабит или 150 гигабайт Есть еще коллектор на flow-tools там показывает ближе на правду. Со стороны сенсора стоит циско бордер 7606 (720sup ios 12.2(33)SRD4) Конфигурация cisco для отдачи netflow ip flow-export destination x.x.x.x 9995 ip flow-export version 5 mls netflow usage notify 90 120 mls nde sender version 5 mls sampling time-based 4096 mls netflow usage notify 90 120 ip flow-aggregation cache destination-prefix (интерфейсы не привожу) на них ip flow ingress Так запущен в системе процесс /usr/local/bin/nfcapd -w -D -p 9995 -u netflow -g apache -B 2000000 -S 1 -P /usr/local/nfsen/var/run/p9995.pid -z -I cubik -l /usr/local/nfsen/profiles-data/live/ Пробовал выставлять -s (сэмпл рейт) вручную от 1 до 8192 но результатов ни каких так и выдает результат в районе 500 терабайт, пробовал аналогично другие интерфейсы в фильтре указать там аналогично , бегает реально до гигабита а светит мне что там 70 террабит трафика и 700 гигабит в секунду. В общем если были у кого такие приколы поделитесь а то уже руки лезут начать копаться в сурс кодах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 29 октября, 2013 · Жалоба похоже на баги от 64битности и кривого софта - или ставить 32битную систему, или искать рабочую версию софта Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...