Nahrada za fprobe - bylo: fprobe na vetsinu protokolu, vcetne stp, apod
Dan Lukes
dan at obluda.cz
Sat Oct 18 23:01:51 CEST 2014
On 10/18/14 21:32, Radek Krejča:
> ng_netflow ... neni treba cokoliv instalovat ... oproti fprobe mam pouze traffic smerem ven, ale nemam prichozi traffic a za boha jsem nedokazal prinutit, aby jej take monitoroval.
No, to bude zrejme souviset s druhou radkou manualovy stranky, ktera
pravi, ze "The ng_netflow node listens for incoming traffic"
Na druhou stranu, o kus dal zase rikaji, ze defaultne je ingress
povoleny a egress zakazany, coz by mohlo znamenat, ze by to mohli jit
nakonfigurovat i jinak, tedy, povolit zpracovani i v druhem smeru.
Nekdo kdo tvrdi, ze mu to chodi to popisuje tady:
> http://fido7.ru.unix.bsd.narkive.com/uuf0F8db/ng-netflow-on-vlans-ifaces#post2
Pro ty, co uz jsou na cteni azbuky moc mlady uvedu, ze se tam nerika nic
moc nad ramec "me to pro oba smery funcguje pomoci split takhle".
S negrafem bych se ale trochu bal o vykon. A zatimco BPF, ktery pouziva
fprobe je "postranni vetev", ktera funguje tak, ze kdyz nestiha tak
proste zahazuje, netgraph je filtr. Az jim paket projde, tak bude v cili
- driv ne. Pokud neco po ceste fakt nestiha, tak se nakonec pakety
zacnou ztracet taky - jenze - v tomhle pripade nejde o kopie.
> Oproti tomu softflowd je na konfiguraci privetivejsi v tom, ze ma dobry manual a vse je vlastne pripraveno. Subjektivne vzato se mi zda, ze sbiralo mene dat, ale neumim si vysvetlit, proc by to tak melo byt
No na to jsem, cirou nahodou, odpovedel uz o kousek vys. softflowd
ziskava pakety z BPF ...
Se zbytkem ti lip poradi Ivo.
Ale jeho obavy co se tyce objemu zpracovatelnych toku jsou na miste. BPF
zvlada jen pomerne male toky a jeho pruchodnost dale klesa pokud tam je
nejaky slozitejsi filtr. 100MHz tim asi umonitorujes s jen malou
ztratovosti (pokud ti tam nekdo nezacne hnojit velky mnozstvi malejch
paketu), ale u vetsich rychlosti bych optimistickej nebyl.
U nas se pruchozi data taky monitoruji - me ale zajima jen celkovy objem
proslych dat (kazdym smerem) pro kazdou jednotlivou IP, je mi vsak uplne
fuk jakyho typu ty pakety jsou. Napsal jsem si to sam, presne na miru
tomu co potrebuju, protoze jakakoliv "inteligence" navic by zdrzovala.
Dneska uz to bezi na 10Gbps. To ti ale asi moc nepomuze ...
Dan
More information about the Users-l
mailing list