Logování vytvořených spojení

star_gate

Zdravím všechny.

Řeší otázku logování provozu sítě tak, jak to ukládá zákon o elektronických komunikacích. V současnosti využívám netflow protokol verze 5 a na serveru běží FreeBSD a nfdump. Hledám něco podobného, ale aby to fungovalo pod windowsema. Důvodem je to, že na právu jsem využíval externisu a běží tu na to zvlášť mašina. Zabil bych tím dvě mouchy jednou ranou,

Hledám celkem jednoduchý soft s webovým rohraním. Nabíku hapiho jsem četl a pár diskuí na to zaměřených také ale nikde jsem nenašel co jsem potřeboval.

Děkuju za odpověd.

hapi

a nepoběží ti ta extra mašina stejně? takže zabiješ jenom jednu mouchu.

star_gate

Ne, protože server na windowsech tu běhá stejně. Jen bych na něj rád nainstalil něco na sběr vytvořených spojení z netflow protokolu. Nevíte někdo o něčem?

Edit: Jeden z vedlejších důvodů proč chci toto řešit je zároveň pokus o usnadnění práce ostatním uživatelům. Tohle téma je řekl bych v poslední době poměrně žádané a na internetu jsem nepochodil s výběrem softwaru. Prosím tedy o všechny typy a postřehy.

Děkuji

asdewq

sluzi na to napriklad ntop... je aj pre win aj linux ak sa nemylim, na linuxy sa to pokusam rozbehat uz asi pol dna ale z manualov som somar, v reali sa mi to chova (skor nechova) uplne inak...

star_gate

Ano něco jako ntop by bylo skvělé. Po 20-ti minutách už jsem měl nastaveno sypání dat do databáze. akorát sem nikde nenašel reportování data nepletu-li se tak ntop pod windows má nějaká omezení a full verze není zdarma. Pro unix tomu tak není, tam je plná verze nijak neomezená.

Nějaké další nápady?

tweetylbc

Nejjednoduzsím resenim je NETFLOW, protoze i databazi zabijes cca po 2 dnech kdy do ni nahrnes miliardy zápisů. Samozřejmě záleží jak velikou máš síť, ale vzhledem k tomu, že se o to zajímáš, nebudeš mít síť s pěti sousedy.

Na toto téma budu mít přednášku ve středu v Ostravě, můžeš se stavit.

"Černá krabička", co dělá logování a má WEBový výstup se dá pořídit za cca 10 litrů nebo i hostovat!!!!! Tuto možnost nabídneme právě v Ostravě s představením verze 2.0, náhled na "neexportující účet" na testovací mašinu můžeš zde: http://flow.net.comel.cz/ (test/test)

Bohužel vše je linux, protože SW pro Wonka je, ale je licencován a dost drahý :(

star_gate

Tak velikost sítě je v řádech desítek klientů a samozřejmě se rozrůstá. Osobně v posledních dnech pracuji na "černé krabičce" která by tohle zvládla ale na systému FreeBSD spolu s naším externím pomocníkem. nejspíše na miniITX v malých casech a RAID1 polem. spíš se informuji jak to řeší ostatní ISP. Hlavně mě zajímaji možnosti a pak se rozhoduji jestli není čas na změnu

reset

Jsme sdruzeni, ktere ma par firemnich zakazniku (skola, urad + verejny terminal, a par firmicek).

Musi se logovat vse vcetne clenu a nebo pouze firemni zakaznici ?

nejak mi to stale unika

diky za vyjasneni

michal_siman

"Černá krabička", co dělá logování a má WEBový výstup se dá pořídit za cca 10 litrů nebo i hostovat!!!!! Tuto možnost nabídneme právě v Ostravě s představením verze 2.0, náhled na "neexportující účet" na testovací mašinu můžeš zde: http://flow.net.comel.cz/ (test/test)

to TweetyLBC: vypada to na prvni pohled moc pekne. Pokud v tomto duchu bude cely system, pak jsem opravdu moc zvedavy. Skoda ze Ova je tak daleko ...

honzam

Neznáte někdo nějaký soft pro Fedoru který umí generovat FLOW aby se dal následně zpracovávat pomocí zde zmiňovaného NET FLOW?

Díky

michal_siman

Neznáte někdo nějaký soft pro Fedoru který umí generovat FLOW aby se dal následně zpracovávat pomocí zde zmiňovaného NET FLOW?

Díky

viewtopic.php?f=9&t=4376

asdewq

nj ze sa to robi potocou netflow (protokol vytvoreny ciscom) uz viem :) to ze to staci zapat na mt a ten zacne sypat data na server ktory bude schpny zachytavat netflow data uz tiez aku taku dobu tusim :) ale program ktory by sa mi pacil je prave ntop tento by to mal vediet aj pekne vyhodnocovat podla druhu prevadzky a pod no a ten zatial nebezi... teda na mandrive 2009 64bit sa mi to zatial nepodarilo :) ale pridem na to :) v mojom pripade je podmienka prevadzka na linuxoch... to je riesenie v mojej sieti :) .. teda bude az sa to podari :)

asdewq

tak vytazoslavne som prisiel na to ze flow-capture z nejakeho zahadneho dovodu nefunguje na 64bit verziach linuxov ktore pouzivam no na 32bite je to ok :)) ale mam jednu otazku, viete niekto poradit nejaky jednoduchy nastroj s ktorym by som vedel tieto odchytene data nasledne prezerat? webview sa mi velmi nepozdava...

tweetylbc

tak vytazoslavne som prisiel na to ze flow-capture z nejakeho zahadneho dovodu nefunguje na 64bit verziach linuxov ktore pouzivam no na 32bite je to ok :)) ale mam jednu otazku, viete niekto poradit nejaky jednoduchy nastroj s ktorym by som vedel tieto odchytene data nasledne prezerat? webview sa mi velmi nepozdava...

http://flow.net.comel.cz

asdewq

tweety: nic v zlom, ale neprehanaj to s tou reklamou.. teda ak ponukas to web rozhranie free potom mlcim a hod odkaz na to kde to stiahnut :) v opacnom pripade vopred upozornujem ze nakolko na 100% sa toto jednak da riesit cez opensource urcite za to nikomu platit nebudem... v tomto som tvrdohlavy clovek a aj ked nad tym zabijem casu pomerne dost, nakoniec ma bude hriat pocit ze som spravil to co som chcel a tak ako som chcel... Tiez pridavam jednu info, odchytene zaznamy je mozne uplne trivialne vyexportovat do textaku cez flow-print zakladna syntax je "flow-print < FLOW_SUBOR > subor.txt" pre ucely tu, policie a pod toto uplne staci takze kto nechce cez web sledovat konexie jednotlivych uzivatelov staci mu defakto rozbehat flow-tools a flow-capture (nainstalit baliky ktore su ku snad vsetkym beznym distribuciam k dispozicii) potom zeditovat flow-capture.conf (jeden riadok), povolit vo fw input na port ktory si nastavis vo flow-capture.conf, spustit sluzbu cez service flow-capture start a na mk spustit export v ip > traffic flow a voala... uz zaznamenavame... cele to trva tak 10-15 min a aj spolu s novym kompom sa da dostat pod 5 tis.. vytazenie pc je 00nic takze bude stacit aj nejaka starina, takze to zmenme na jeden 500-1000gb disk aby sa tam vmestil aj dostatocny archiv (pripadne dva a mirrorovat pre ochrnu pred stratou dat) a mame problem vyrieseny za 1-3tis... sorry ale cela diskusia sa tu zvrhava na biznis a bol som v tom ze toto je forum ktore ma pomahat a nie zarabat...

tak a teraz poradite mi niekto dajake web rozhranie ktore mi cez flow-print prosto vypluje obsah zvoleneho suboru? prosiiim :)

ketch

Zdravím všechny.

Řeší otázku logování provozu sítě tak, jak to ukládá zákon o elektronických komunikacích. V současnosti využívám netflow protokol verze 5 a na serveru běží FreeBSD a nfdump. Hledám něco podobného, ale aby to fungovalo pod windowsema. Důvodem je to, že na právu jsem využíval externisu a běží tu na to zvlášť mašina. Zabil bych tím dvě mouchy jednou ranou,

Hledám celkem jednoduchý soft s webovým rohraním. Nabíku hapiho jsem četl a pár diskuí na to zaměřených také ale nikde jsem nenašel co jsem potřeboval.

Děkuju za odpověd.

Já to řešil obráceně, nejdřív jsem hledal řešení na Windows, ale tam si mi nic nelíbilo, respektive ty všechny grafický frontendy mi přišli k ničemu, tak jsem se podíval na nfdump a hned mě oslovil. Jenže...provoz na síti ve špičce tak 10-15mbps a cca každejch 5 minut se mi vytvoří soubor o velikosti tak 1MB => za jeden den 200-300MB novejch dat, což se mi zdá opravdu hodně, vzhledem k tomu, co psal hapi(15MB denně?).

Měl jsi taky podobnou zkušenost s tím, co to generovalo nebo se to dá nějak osekat? Samozřejmě by bylo možný si to přechroustat v něčem vlastním a pak si ukládat jenom to, co potřebuju, ale proč si přidělávat práci.

reset

me by zajimalo, odkud ten trafik berete.

Postavit tam do cesty router nechci.

Idealni by bylo nacitani z MK. Jak ale konkretne na to, odkud to nacitat? Nakopnete me nekdo, plz.

hapi

ip / traffic flow

tam se nastavuje posílání netflow dat.

mám za jeden den na 30Mbit lince cca 60MB netflow dat a to ta linka jede z 1/3 dne na max. Pokud se to ukládá jinak, tak to strašně roste. Například v mysql zabere 15 minutová špička něco přez 2MB.

<--- l -->viewtopic.php?f=28&t=4750&start=0&st=0&sk=t&sd=a<--- l -->

reset

dekuji za kopanec,

na siti mame uz 7 debian serveru, z toho je jeden ciste jako log server, na ktery se sypou log data ze vsech masin, bezi vedle centralnich routru, tak to vyuziji na ukladani techto "bonz" dat

miract

Co by jste doporucili na sber pro mirror port switche na linux? Zkousim ted fprobe s flow-tool, jen mam problem s nastavenim fitru...

neukazuje mi to celkovy pocet prenesenych packetu a dat, cas na spojeni je taky nejaky kratky. Proste mi to ukazuje jen a pouze ACK a SYN packety

log:/log/2009/2009-04/2009-04-01# flow-print -f 5 < ft-v05.2009-04-01.025725+0200

Start End Sif SrcIPaddress SrcP DIf DstIPaddress DstP P Fl Pkts Octets

...

0401.02.141 0401.02.141 0 10.0.0.90 3665 0 81.0.0.9 80 6 2 1 48

0401.02.154 0401.02.154 0 81.0.0.9 80 0 10.0.0.90 3665 6 2 1 48

...

Poradi nekdo? :

Mira

Další stránka »