Страница 1 из 1

Трафикосчиталка

СообщениеДобавлено: 16 янв 2009, 09:43
makky
Раньше использовал ipf + ipa + простенький скрипт, чтобы анализ логов делать. Но вчера решил разнообразить свою жизнь и настроил ng_ipacct. Вроде неплохая вещь, отдельные правила для адресов писать не надо, но непонятно чем парсить логи. За ночь я получил порядка 10 файлов на каждый интерфейс, а как же мне теперь суммарную подробную статистику получить за некий период времени?
И ещё вопросец: если провайдер считает, что мегабайт - э то 1000 килобайт. Можно это как-то до ng_ipacct донести, чтобы не было расхождений с статистикой провайдера.

Может присоветуете, что лучше использовать для подсчета трафика с целью выявления аномалий.

Спасибо.

Re: Трафикосчиталка

СообщениеДобавлено: 16 янв 2009, 10:32
Андрей
По теме подсказать не могу, но
И ещё вопросец: если провайдер считает, что мегабайт - э то 1000 килобайт.

я глубоко сомневаюсь, что 1000 килобайт у провайдера = 1мб. такое редко бывает.

Заранее извиняюсь, если расцените за Оффтоп.

Re: Трафикосчиталка

СообщениеДобавлено: 16 янв 2009, 11:05
root
makky писал(а):но непонятно чем парсить логи

перловым скриптом с регулярным выражением
makky писал(а):Можно это как-то до ng_ipacct донести, чтобы не было расхождений с статистикой провайдера.

сомневаюсь, нуна парсить логи и пихать их в БД, а вот уже при выводе можно учесть все нюансы провайдера.
makky писал(а):Может присоветуете, что лучше использовать для подсчета трафика с целью выявления аномалий.

сам пользую ipacctd, которы не сильно отличается от ng_ipacct
вот регулярка:
Код: Выделить всё
open (F,$file) or return;                                                                                                   
        while ($str=<F>){                                                                                                           
                #Log's record format:                                                                                               
                # src_ip src_port dst_ip dst_port protocol packets bytes time 
                if($str=~/(\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3})\s+\S+\s+(\d{1,3}.\d{1,3}.\d{1,3}.\d{1,3})\s+\S+\s+\S+\s+\S+\s+(\d+)\s+(\d{10})/){
              $srcip=$1;                                                                                                     
              $dstip=$2;                                                                                                     
              $bytes=$3;                                                                                                           
              $st=$4;
              print "SRC:  $srcip DST: $dstip Bytes: $bytes Time: $st\n";
       }
}

Re: Трафикосчиталка

СообщениеДобавлено: 17 янв 2009, 16:08
makky
А можешь полный скрипт показать.
Дело в том, что у ipa есть неудобство: все считается только через count и только тот трафик, который ты опишешь... Неудобно очень, когда делаешь роутер, а компов в сети 50. Хочется с каждого хоста трафик считать, но описывать все это... брррр ...

Кстати, хотите доку по настройке ipa закину вам сюда из своего вики =)

Re: Трафикосчиталка

СообщениеДобавлено: 17 янв 2009, 22:53
root
makky писал(а):А можешь полный скрипт показать.

он большой и от биллинга, т.е. в нем остальное связано с биллингом
это часть которая парсит лог от ipacctd
дальше ты хоть в БД встравляй, хоть в отделый файл пиши
makky писал(а):Хочется с каждого хоста трафик считать, но описывать все это... брррр ...

не совсем догнал что описывать ты собрался, для ipacctd достаточно одного правила в ipfw

makky писал(а):Кстати, хотите доку по настройке ipa закину вам сюда из своего вики =)

по настройке чего ? :)
кидай, посмотрим

Re: Трафикосчиталка

СообщениеДобавлено: 17 янв 2009, 23:55
makky
root писал(а):
makky писал(а):А можешь полный скрипт показать.
он большой и от биллинга, т.е. в нем остальное связано с биллингом
это часть которая парсит лог от ipacctd
дальше ты хоть в БД встравляй, хоть в отделый файл пиши

Мне очень лень делать свой скрипт и изобретать велосипед, поэтому я и запостил этот вопрос.

root писал(а):
makky писал(а):Хочется с каждого хоста трафик считать, но описывать все это... брррр ...

не совсем догнал что описывать ты собрался, для ipacctd достаточно одного правила в ipfw

Да мне скрипт, который покажет суммарную статистику нужен. Хочется видеть трафик по хостам и интерфейсам.

root писал(а):
makky писал(а):Кстати, хотите доку по настройке ipa закину вам сюда из своего вики =)

по настройке чего ? :)
кидай, посмотрим

Ок, начал делать...