Re[2]: flow-capture
Мда уж ... я сижу в сети за пиксами поэтому нужды не было настраивать фаервол... проверил ничё не tcpdump говорит что каждую минуту валятся записи, то одна то две то три... а в сислоге нет ничё... Кто ещё что посоветует? Friday, October 8, 2004, 5:00:30 PM, you wrote: SA Eduard Ivanov wrote: SA flow-capture[2570]: New exporter: time=1097034637 src_ip=10.0.1.1 SA dst_ip=10.0.4.10 d_version=5 ВО вот этого то нету :( и каков синтаксис его дебаг левела не понятно :(( может подскажешь? SA Мне остаётся только посоветовать убедиться, что firewall точно не фильтрует SA порт 777. Дело в том, что вывод tcpdump'а не показатель - он захватывает SA пакеты до кода netfilter, поэтому не факт, что пакеты доходят до приложения. SA Других предположений у меня нет. SA А про дебаг-опции мне сказать нечего - пользоваться не приходилось. SA -- SA All great discoveries are made by mistake -- Best regards, Eduardmailto:[EMAIL PROTECTED]
Re[2]: flow-capture
EI Oct 7 17:18:48 bingo flow-capture[3936]: setsockopt(size=4194304) SA Это нормально. flow-capture увеличивает размер буфера. Ладно, отлично. EI В итоге запустил вот что: EI #flow-capture 0/192.168.0.1/777 -w /tmp/123 -S 1 n 1 SA Попробуйте -n 1439 - это и должна получится ровно одна минута. Если и через SA пару минут ничего в каталоге /tmp/123 не осядет - попробуйте killall -1 SA flow-capture. Если и это не поможет, то проверяйте firewall, смотрите сколько SA екзепляров flow-capture запущено и т.д. и т.п. Экземпляр один. Полечилось выставлением версий на обоих девайсах поставил -V 5 и файлики начали появляться... но они стабильно длинной 80 байт... flow-cat ничё не показывает... наверное потому что там инфа только том откуда пришли данные. Хотя когда на сиске смотрю: #sh ip cache flow видна инфа всякая с раскладкой по разным IP-шникам... да и активность сетевая есть на циске, потому что телфония заведена через неё ... Вот где истина то? почему фалы по 80 байт то? или может быть этого вполне достаточно, но я тогда не умею смотреть их? :) -- Best regards, Eduardmailto:[EMAIL PROTECTED]
Re[2]: flow-capture
Hello Slava, Friday, October 8, 2004, 3:51:28 PM, you wrote: SA Eduard Ivanov wrote: Экземпляр один. Полечилось выставлением версий на обоих девайсах поставил -V 5 и файлики начали появляться... но они стабильно длинной 80 байт... flow-cat ничё не показывает... наверное потому что там инфа только том откуда пришли данные. Хотя когда на сиске смотрю: #sh ip cache flow видна инфа всякая с раскладкой по разным IP-шникам... да и активность сетевая есть на циске, потому что телфония заведена через неё ... Вот где истина то? почему фалы по 80 байт то? или может быть этого вполне достаточно, но я тогда не умею смотреть их? :) SA 1) flow-cat не для этого. Смотреть - flow-print, но 80 байт действительно SA маловато. Обычно приблизительно такой размер имеют только-что созданные ещё не SA закрытые дампы. SA 2) Подробнее посмотреть что за netflow идёт с маршрутизатора можно tcpdump'ом SA с параметром -T cnfp. Например, в моём случае: SA # tcpdump -np -T cnfp port 2001 SA 15:29:55.010098 IP 10.0.1.1.40180 10.0.4.10.2001: NetFlow v5, 1048580.999 SA uptime, 1097234995.01950, #2514572, 21 recs SA 15:29:55.021424 IP 10.0.1.1.40180 10.0.4.10.2001: NetFlow v5, 1048576.011 SA uptime, 1097234995.03077, #2514593, 30 recs SA т.е. чётко видно какая версия netflow используется маршрутизатором и сколько SA записей было в каждом принятом пакете. 16:05:57.464537 IP 82.204.226.137.51962 10.50.128.248.777: NetFlow v5, 193689.240 uptime, 1097237147.171621984, #5504, 1 recs 16:06:30.471740 IP 82.204.226.137.51962 10.50.128.248.777: NetFlow v5, 193721.316 uptime, 1097237179.248339208, #5505, 2 recs Ну вот... такая вот шняга у меня приходит ... и достаточно ругулятно... в принципе похоже на правду циска моя умеет ещё 1-ую версию и 9-ую... 9-ой не умеет flow-capture. Остаётся первая.. но там фунциональность хуже. SA 3) Когда flow-capture подхватывает поток - фактически, по факту приёма первого SA же пакета, он репортует об этом через syslog, указывая откуда и какой версии SA поток идёт: SA flow-capture[2570]: New exporter: time=1097034637 src_ip=10.0.1.1 SA dst_ip=10.0.4.10 d_version=5 ВО вот этого то нету :( и каков синтаксис его дебаг левела не понятно :(( может подскажешь? SA С этого момента все должно работать. :) бум ждать этого момента. Врагу не стаётся наш гордый админ :) -- Best regards, Eduardmailto:[EMAIL PROTECTED]
Re[2]: flow-capture
Получаю в сислоге вот что: Oct 7 17:17:38 bingo flow-capture[3903]: setsockopt(size=4194304) Oct 7 17:18:48 bingo flow-capture[3936]: setsockopt(size=4194304) В итоге запустил вот что: #flow-capture 0/192.168.0.1/777 -w /tmp/123 -S 1 n 1 Thursday, October 7, 2004, 9:55:07 AM, you wrote: SA Eduard Ivanov wrote: Привет всем! Подскажите где рыть, запущаю такую штуку... по логам всё ОК. Стартует. #flow-capture 0/192.168.0.1/777 -w /tmp/123 -D IPtraf видит что падают мне UDP пакетики на 777 порт а в дире ничё не появляется добавление ключика -d с разными значениями ни к чему не привело. :( не знаю уж что и предположить :( SA Вообще-то, было бы неплохо указать ещё парметр -n и (по вкусу) -S. Например, SA -S 15 -n 95 - каждые 15 минут запись захваченных данных, переход к новому SA файлу и статистический отчёт в syslog. SA Кроме того, A SIGHUP signal will cause flow-capture to close the current file SA and create a new one. - как минмум для отладки может пригодиться. SA -- SA BOFH excuse #384: t's an ID-10-T error -- Best regards, Eduardmailto:[EMAIL PROTECTED]
