URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 85779
[ Назад ]

Исходное сообщение
"Log TCP connections."

Отправлено maxxch , 29-Июн-09 14:20 
появилась задача собирать логи ВСЕХ tcp соединений за последние пол-года в базу.
хотелось бы складывать в mysql и чтобы ресурсов много не кушала. на серваке стоит дебиан и 2 гигабитных карты, траф около 400 мбит!
кто-то стыкался с такими задачами? поделитесь опытом плиз.

Содержание

Сообщения в этом обсуждении
"Log TCP connections."
Отправлено Pahanivo , 29-Июн-09 14:25 
>появилась задача собирать логи ВСЕХ tcp соединений за последние пол-года в базу.
>хотелось бы складывать в mysql и чтобы ресурсов много не кушала.

петросян? )

>на серваке стоит дебиан и 2 гигабитных карты, траф около 400 мбит!
>
>кто-то стыкался с такими задачами? поделитесь опытом плиз.

net-flow в зубы и вперед - во первых кладется в файл (что быстрее мускула), настраивается рахбивка, копрессия, богатый возможнсти анализа
сенсор сам выбери - я например юзаю softflow


"Log TCP connections."
Отправлено maxxch , 29-Июн-09 14:34 
>[оверквотинг удален]
>
>петросян? )
>
>>на серваке стоит дебиан и 2 гигабитных карты, траф около 400 мбит!
>>
>>кто-то стыкался с такими задачами? поделитесь опытом плиз.
>
>net-flow в зубы и вперед - во первых кладется в файл (что
>быстрее мускула), настраивается рахбивка, копрессия, богатый возможнсти анализа
>сенсор сам выбери - я например юзаю softflow

ты имеешь ввиду http://www.splintered.net/sw/flow-tools/ ?
можешь детальнее описать, буду благодарен.


"Log TCP connections."
Отправлено Pahanivo , 29-Июн-09 17:53 
>[оверквотинг удален]
>>>на серваке стоит дебиан и 2 гигабитных карты, траф около 400 мбит!
>>>
>>>кто-то стыкался с такими задачами? поделитесь опытом плиз.
>>
>>net-flow в зубы и вперед - во первых кладется в файл (что
>>быстрее мускула), настраивается рахбивка, копрессия, богатый возможнсти анализа
>>сенсор сам выбери - я например юзаю softflow
>
>ты имеешь ввиду http://www.splintered.net/sw/flow-tools/ ?
>можешь детальнее описать, буду благодарен.

тута все разжовано
https://www.opennet.ru/docs/RUS/netflow_bsd/


"Log TCP connections."
Отправлено maxxch , 30-Июн-09 15:17 
>[оверквотинг удален]
>>>
>>>net-flow в зубы и вперед - во первых кладется в файл (что
>>>быстрее мускула), настраивается рахбивка, копрессия, богатый возможнсти анализа
>>>сенсор сам выбери - я например юзаю softflow
>>
>>ты имеешь ввиду http://www.splintered.net/sw/flow-tools/ ?
>>можешь детальнее описать, буду благодарен.
>
>тута все разжовано
>https://www.opennet.ru/docs/RUS/netflow_bsd/

спасибо, все настроил и прекрасно работает.
вопрос по теме: у меня основной рутер может отдавать только sflow, покатит ли эта же схема если необходимо логировать ВСЕ TCP-SYN-соединения?


"Log TCP connections."
Отправлено Pahanivo , 30-Июн-09 16:47 
>[оверквотинг удален]
>>>
>>>ты имеешь ввиду http://www.splintered.net/sw/flow-tools/ ?
>>>можешь детальнее описать, буду благодарен.
>>
>>тута все разжовано
>>https://www.opennet.ru/docs/RUS/netflow_bsd/
>
>спасибо, все настроил и прекрасно работает.
>вопрос по теме: у меня основной рутер может отдавать только sflow, покатит
>ли эта же схема если необходимо логировать ВСЕ TCP-SYN-соединения?

sflow ? wtf ?


"Log TCP connections."
Отправлено maxxch , 02-Июл-09 10:31 
>[оверквотинг удален]
>>>>можешь детальнее описать, буду благодарен.
>>>
>>>тута все разжовано
>>>https://www.opennet.ru/docs/RUS/netflow_bsd/
>>
>>спасибо, все настроил и прекрасно работает.
>>вопрос по теме: у меня основной рутер может отдавать только sflow, покатит
>>ли эта же схема если необходимо логировать ВСЕ TCP-SYN-соединения?
>
>sflow ? wtf ?

это протокол пришедший на смену netflow.
netflow уже не может справлятся с гигабитными линками вот и придумали новый http://en.wikipedia.org/wiki/SFlow
просто у него есть одна особенность, точность при подсчете трафика не 100%.


"Log TCP connections."
Отправлено Pahanivo , 02-Июл-09 13:31 
>[оверквотинг удален]
>>>спасибо, все настроил и прекрасно работает.
>>>вопрос по теме: у меня основной рутер может отдавать только sflow, покатит
>>>ли эта же схема если необходимо логировать ВСЕ TCP-SYN-соединения?
>>
>>sflow ? wtf ?
>
>это протокол пришедший на смену netflow.
>netflow уже не может справлятся с гигабитными линками вот и придумали новый
>http://en.wikipedia.org/wiki/SFlow
>просто у него есть одна особенность, точность при подсчете трафика не 100%.

а хаха ))
у любово протокола подобного типа никогда не будет 100% )) будет минус нескока процентов ))
самое точно средство это snmp - но увы никакой детализации не дает