появилась задача собирать логи ВСЕХ tcp соединений за последние пол-года в базу.
хотелось бы складывать в mysql и чтобы ресурсов много не кушала. на серваке стоит дебиан и 2 гигабитных карты, траф около 400 мбит!
кто-то стыкался с такими задачами? поделитесь опытом плиз.
>появилась задача собирать логи ВСЕХ tcp соединений за последние пол-года в базу.
>хотелось бы складывать в mysql и чтобы ресурсов много не кушала.петросян? )
>на серваке стоит дебиан и 2 гигабитных карты, траф около 400 мбит!
>
>кто-то стыкался с такими задачами? поделитесь опытом плиз.net-flow в зубы и вперед - во первых кладется в файл (что быстрее мускула), настраивается рахбивка, копрессия, богатый возможнсти анализа
сенсор сам выбери - я например юзаю softflow
>[оверквотинг удален]
>
>петросян? )
>
>>на серваке стоит дебиан и 2 гигабитных карты, траф около 400 мбит!
>>
>>кто-то стыкался с такими задачами? поделитесь опытом плиз.
>
>net-flow в зубы и вперед - во первых кладется в файл (что
>быстрее мускула), настраивается рахбивка, копрессия, богатый возможнсти анализа
>сенсор сам выбери - я например юзаю softflowты имеешь ввиду http://www.splintered.net/sw/flow-tools/ ?
можешь детальнее описать, буду благодарен.
>[оверквотинг удален]
>>>на серваке стоит дебиан и 2 гигабитных карты, траф около 400 мбит!
>>>
>>>кто-то стыкался с такими задачами? поделитесь опытом плиз.
>>
>>net-flow в зубы и вперед - во первых кладется в файл (что
>>быстрее мускула), настраивается рахбивка, копрессия, богатый возможнсти анализа
>>сенсор сам выбери - я например юзаю softflow
>
>ты имеешь ввиду http://www.splintered.net/sw/flow-tools/ ?
>можешь детальнее описать, буду благодарен.тута все разжовано
https://www.opennet.ru/docs/RUS/netflow_bsd/
>[оверквотинг удален]
>>>
>>>net-flow в зубы и вперед - во первых кладется в файл (что
>>>быстрее мускула), настраивается рахбивка, копрессия, богатый возможнсти анализа
>>>сенсор сам выбери - я например юзаю softflow
>>
>>ты имеешь ввиду http://www.splintered.net/sw/flow-tools/ ?
>>можешь детальнее описать, буду благодарен.
>
>тута все разжовано
>https://www.opennet.ru/docs/RUS/netflow_bsd/спасибо, все настроил и прекрасно работает.
вопрос по теме: у меня основной рутер может отдавать только sflow, покатит ли эта же схема если необходимо логировать ВСЕ TCP-SYN-соединения?
>[оверквотинг удален]
>>>
>>>ты имеешь ввиду http://www.splintered.net/sw/flow-tools/ ?
>>>можешь детальнее описать, буду благодарен.
>>
>>тута все разжовано
>>https://www.opennet.ru/docs/RUS/netflow_bsd/
>
>спасибо, все настроил и прекрасно работает.
>вопрос по теме: у меня основной рутер может отдавать только sflow, покатит
>ли эта же схема если необходимо логировать ВСЕ TCP-SYN-соединения?sflow ? wtf ?
>[оверквотинг удален]
>>>>можешь детальнее описать, буду благодарен.
>>>
>>>тута все разжовано
>>>https://www.opennet.ru/docs/RUS/netflow_bsd/
>>
>>спасибо, все настроил и прекрасно работает.
>>вопрос по теме: у меня основной рутер может отдавать только sflow, покатит
>>ли эта же схема если необходимо логировать ВСЕ TCP-SYN-соединения?
>
>sflow ? wtf ?это протокол пришедший на смену netflow.
netflow уже не может справлятся с гигабитными линками вот и придумали новый http://en.wikipedia.org/wiki/SFlow
просто у него есть одна особенность, точность при подсчете трафика не 100%.
>[оверквотинг удален]
>>>спасибо, все настроил и прекрасно работает.
>>>вопрос по теме: у меня основной рутер может отдавать только sflow, покатит
>>>ли эта же схема если необходимо логировать ВСЕ TCP-SYN-соединения?
>>
>>sflow ? wtf ?
>
>это протокол пришедший на смену netflow.
>netflow уже не может справлятся с гигабитными линками вот и придумали новый
>http://en.wikipedia.org/wiki/SFlow
>просто у него есть одна особенность, точность при подсчете трафика не 100%.а хаха ))
у любово протокола подобного типа никогда не будет 100% )) будет минус нескока процентов ))
самое точно средство это snmp - но увы никакой детализации не дает