引用 | 编辑
whong168
2005-09-18 15:34 |
楼主
▼ |
||
x0
fprobe + flow-capture 使用方式jal | 05 四月, 2005, 11:12 | NetFlow , FreeBSD | (335 Reads) http://blog.jal.idv.tw/post/1/116 在没有高级的 cisco 时,该如何做 netflow 流量统计呢? fprobe 会是你的好选择... 安装路径在 /usr/ports/net-mgmt/fprobe/ 不需要用什么特殊参数... 装完之后,假设你接 switch mirror port 的网卡是 bge0 则 /usr/local/sbin/fprobe -i bge0 127.0.0.1:9991 可以丢给本机 127.0.0.1 也可以丢到远端的主机去.. 这样就会产生 netflow 的资料了.. 再利用 flow-capture 来接收资料 /usr/local/bin/flow-capture -z 6 -n 143 -e 8928 -V 5 -w /home/netflow 127.0.0.1/127.0.0.1/9991 -z 压缩比例 0-9 -n 一天产生几份 netflow 档案. 143 为每10分钟一份 预设为 95 份 15min/per -e 总共保留几份 8928 是一个月 -V 板本.. -w 储存资料夹 最后 localip/remoteip/port 接收端/发送端/连接埠 最后我通常会将这二个丢到 crontab 去..让主机一开机便执行 @reboot (/usr/local/sbin/fprobe -i bge0 127.0.0.1:9991 ; /usr/local/bin/flow-capture -z 6 -n 143 -e 8928 -V 5 -w /home/netflow 127.0.0.1/127.0.0.1/9991) > /dev/null 2>&1 Trackback URL: http://blog.jal.idv.tw/trackback.php?id=116 高级的 cisco不仅品质高级,价钱也很高级,中等的就要十万元 真是贵 x0
|
引用 | 编辑
cyutjason
2005-10-24 15:16 |
3楼
▲ ▼ |
我有在freebsds 5.1上实做过这样的模式 switch 是3com 4400 ^_^
是很容易收集到netflow资料,不过后来的分析模式就要自己想办法了 因为格式和正常的netflow资料不太一样 x0 |
引用 | 编辑
mnbmnb5266
2010-08-25 19:13 |
4楼
▲ |
其实这一块我一直没有弄明白是怎么回事。谢谢您的教学,希望看完之后我能受到启发
x0 |