Назад | Перейти на главную страницу

Журнал трафика Linux

Я ищу хороший бесплатный метод регистрации информации IP-заголовка (src / dest IP с отметкой времени), проходящей через маршрутизатор Linux.

Я знаю, что могу сделать это с

tcpdump -i eth0 > log.txt

Однако я ищу что-то более существенное, так как оно будет работать все время.

iptables может делать это изначально. просто поставь LOG или ULOG цель на раннем этапе ваших цепочек. Вам также придется поиграть с rsyslogd чтобы получить логи iptables из потока журналов ядра в файл по вашему выбору. Это требует, чтобы вы поместили несколько уникальных символов в текст журнала, который вы выбрали с помощью правил iptables (что-то вроде ":FW:"), чтобы вы могли указать rsyslogd, что нужно выполнить фильтрацию на основе этой строки и поместить ее в отдельный файл.

Если вы хотите подробное ведение журнала, я предлагаю ulogd.

ntop? Если я понимаю, что вы хотите. это даст вам красивый веб-интерфейс для всех данных, и его легко установить.

Мне очень нравится использовать Аргус для этого. Это программный пакет, который беспорядочно прослушивает интерфейс и записывает данные потока, аналогичные потокам (net | j). Он использует модель клиент / сервер, где демон сервера выполняет захват и запись файлов данных, а клиентские инструменты используются для чтения и анализа файлов данных. Выходные файлы записаны в двоичном формате, поэтому необходимо некоторое обучение работе с включенными инструментами.

Ниже приводится анонимная версия основного вывода с использованием (почти) конфигурации по умолчанию: 

StartTime            Proto    SrcAddr  Sport          Dir   DstAddr  Dport       SrcPkts  DstPkts     SrcBytes     DstBytes State  
31 Jan 11 23:20:07   icmp     10.8.23.225             ->    10.28.5.232               1        0           60            0   ECO
31 Jan 11 23:48:07    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 01:10:59   icmp      10.15.36.226           ->    10.28.5.232               1        0           60            0   ECO
01 Feb 11 01:11:00   icmp      10.15.36.226           ->    10.28.5.232               1        0           60            0   ECO
01 Feb 11 01:13:45    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 01:36:13    udp      10.18.16.98.5060       ->    10.28.5.232.5060          1        0          454            0   INT
01 Feb 11 03:22:34    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 04:05:51    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 04:48:32    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ

Он разработан для работы как служба, однако вы должны выяснить, как лучше всего чередовать файлы в зависимости от вашей системы, хранилища и пропускной способности. Вы должны иметь возможность направить его на один из интерфейсов вашего маршрутизатора и получить всю необходимую информацию.

В качестве бонуса tt также поставляется со значительным количеством вспомогательных утилит, с помощью которых вы можете делать забавные вещи, такие как графики трафика, учет и другие виды анализа. Увидеть NSMWiki на странице с некоторыми подробностями о том, какой именно анализ может быть выполнен.

Пастмон? mrtg?