Всем привет!
Итак, у моей хостинговой компании есть график использования сети для моего выделенного сервера. Кажется, что днем ранее в этом месяце мое использование сети внезапно резко возросло, когда было передано несколько сотен мегабайт (обычно это десятки, а не сотни). Вероятно, это был я, но я просто не могу точно сказать, кто или что это было.
Итак, мой вопрос: Кто-нибудь знает какое-либо решение на основе хоста для мониторинга использования сети, которое сообщило бы мне IP-адрес клиента, порт / службу, которые он использовал?
Что я не хочу
Я просто предполагаю, что кто-то предложит мне использовать nagios, munin, zabbix, cacti, mrtg - я тоже смотрел на них, но график использования сети не даст мне ответов, которые я ищу. :-)
Почти готово
Я уже просмотрел множество решений для мониторинга и попробовал [ntop] [http://www.ntop.org/], [darkstat] [http://unix4lyfe.org/darkstat/] и другие. Darkstat просто не дал мне ответов. Хотя в нем содержится много статистики, и я могу перечислить клиентов, он не показывает мне использование сети за определенный период. Ntop - безусловно, лучшее из того, что я видел, но я думаю, что он в основном показывает текущее использование сети, а не историческую часть. Я мог бежать apt-get upgrade и скачай целую кучу софта, но потом не увидишь его в журнале.
инструменты netflow + поток генератор в какой-то степени даст вам отчет, который вы ищете. Также этот. Если вы не знаете, как использовать потоковые инструменты для создания нужного вам отчета, вы можете начать Вот
Для специального мониторинга я бы рекомендовал iptraf. Он показывает все открытые в данный момент соединения с IP-адресами, а также количество пакетов и байтов в обоих направлениях. Однако он не поддерживает исторические данные (из того, что я знаю, но, возможно, кто-то другой знает об этом больше).
Вы можете попробовать просто захватить трафик с помощью tcpdump. Вероятно, вам придется ограничить размер захвата до минимума, а затем попытаться проанализировать эти данные позже с помощью wirehark или других инструментов, которые могут анализировать файлы pcap.
Вы упомянули ntop, который, я думаю, вероятно, лучший ответ для вашего типа запроса. Я запускаю ntop «по мере необходимости», а не оставляю его работать постоянно.
Если вы знаете, как воспроизвести всплеск трафика, я бы сначала запустил ntop, а затем обратил внимание на ваши традиционные графики пропускной способности. Как только вы воссоздадите проблему, переключитесь на интерфейс ntop, который дает вам несколько методов «детализации» данных. Ваш проблемный хост должен быть легко обнаружен.