Tomsk Sysadmins Forum

Оборудование => Cisco => Topic started by: deepwalker on November 21, 2005, 09:15:27

Title: Считаем трафик
Post by: deepwalker on November 21, 2005, 09:15:27

Вот сваял я счет трафика. Поставил значит честно спертый Kiwi syslog daemon, настроил pix'ов на отсылку лог сообщений на него (то есть в каждом подразделении на свой). Изучив полученное, решил что для подсчета трафика нужны только сообщения вида: Teardown TCP ... (чего то там) 7889 <- в конце колличество байт +  
описание причины разрыва соединения. Значит берем PHP, MySQL, парсим. Ну насчет работы с MySQL здесь писаться не будет конечно. Самое главное корректно ли считать так? Исчерпывается ли на самом деле информация о трафике этими сообщениями? Считываю на 4  уровне (Informational).

PS заметка для новеньких : ))
Если решили весть логи своих pix, определитесь что вам важнее: бесперебойная работа сети или полная картина происходящего? Cisco Pix, если его настроить на отсылку логгинг сообщений по протоколу TCP, перестанет пропускать трафик, если не сможет соединиться с лог сервером. Если вы не хотите чтобы от вас отвалилось подразделение от перезагрузки сервера - ваш выбор UDP. В этом случае товарищу PIXу абсолютно параллельно - есть там кто на том конце провода... Ну и, естественно, может помочь просто грамотная настройка лог сервера - по крайней мере запускать демон нужно как сервис!

Title: Считаем трафик
Post by: visual on November 21, 2005, 11:59:00

Quote

Самое главное корректно ли считать так? Исчерпывается ли на самом деле информация о трафике этими сообщениями? Считываю на 4  уровне (Informational).

все-таки для учета трафика netflow более приспособлен. через syslog конечно тоже можно. если бы я на основе syslog-а считал, стал бы опираться на audit trail сообщения:

Code: [Select]

%FW-6-SESS_AUDIT_TRAIL: smtp session initiator (y.y.y.y:1120) sent 113 bytes -- responder (x.x.x.x:25) sent 494 bytes
%FW-6-SESS_AUDIT_TRAIL: udp session initiator (x.x.x.x:1733) sent 44 bytes -- responder (z.z.z.z:53) sent 44 bytes

Title: Считаем трафик
Post by: deepwalker on November 21, 2005, 12:39:06

Что то я в доках на pix про netflow не встречал... Хотя я тут еще пошукаю в гугле : )) может чего и найду...

Ах да - таких сообщений у меня нет : )) У меня такие:

Quote

2005-11-18 06:16:00   Local4.Info   192.168.m.m   %PIX-6-302016: Teardown UDP connection 153542 for outside:192.168.z.r/1079 to inside:192.168.z.y/137 duration 0:02:01 bytes 128
2005-11-18 06:21:19   Local4.Info   192.168.m.m   %PIX-6-302014: Teardown TCP connection 153545 for outside:192.168.0.x/139 to inside:192.168.1.y/3546 duration 0:00:00 bytes 0 TCP Reset-I

Title: Считаем трафик
Post by: deepwalker on November 21, 2005, 12:53:56

Из инета:

Quote

netflow пиксы не поддерживают, трафик считать не умеют.

Потому и логи : ))

Title: Считаем трафик
Post by: visual on November 21, 2005, 13:01:02

Quote

Что то я в доках на pix про netflow не встречал... Хотя я тут еще пошукаю в гугле : )) может чего и найду...
Ах да - таких сообщений у меня нет : )) У меня такие:

sorry, не учел специфики пикса. в твоем случае это видимо единственно правильный вариант.

Title: Считаем трафик
Post by: deepwalker on November 21, 2005, 13:16:16

Ну в общем то в мире cisco я новичок. Что буду находить буду сюда складтровать - в смысле ссылки хорошие например : ))

Итог этой ветки:
Определен единственно возможный способ подсчета трафика проходящего через cisco pix. Дана подсказка про непонятные вылеты свитчей в случае неправильной настроки логгинга.