Author Topic: Считаем трафик (Read 6488 times)

deepwalker · « **on:** November 21, 2005, 09:15:27 »

Вот сваял я счет трафика. Поставил значит честно спертый Kiwi syslog daemon, настроил pix'ов на отсылку лог сообщений на него (то есть в каждом подразделении на свой). Изучив полученное, решил что для подсчета трафика нужны только сообщения вида: Teardown TCP ... (чего то там) 7889 <- в конце колличество байт +
описание причины разрыва соединения. Значит берем PHP, MySQL, парсим. Ну насчет работы с MySQL здесь писаться не будет конечно. Самое главное корректно ли считать так? Исчерпывается ли на самом деле информация о трафике этими сообщениями? Считываю на 4 уровне (Informational).

PS заметка для новеньких : ))
Если решили весть логи своих pix, определитесь что вам важнее: бесперебойная работа сети или полная картина происходящего? Cisco Pix, если его настроить на отсылку логгинг сообщений по протоколу TCP, перестанет пропускать трафик, если не сможет соединиться с лог сервером. Если вы не хотите чтобы от вас отвалилось подразделение от перезагрузки сервера - ваш выбор UDP. В этом случае товарищу PIXу абсолютно параллельно - есть там кто на том конце провода... Ну и, естественно, может помочь просто грамотная настройка лог сервера - по крайней мере запускать демон нужно как сервис!

visual · « **Reply #1 on:** November 21, 2005, 11:59:00 »

Quote

Самое главное корректно ли считать так? Исчерпывается ли на самом деле информация о трафике этими сообщениями? Считываю на 4 уровне (Informational).

все-таки для учета трафика netflow более приспособлен. через syslog конечно тоже можно. если бы я на основе syslog-а считал, стал бы опираться на audit trail сообщения:

Code: [Select]

%FW-6-SESS_AUDIT_TRAIL: smtp session initiator (y.y.y.y:1120) sent 113 bytes -- responder (x.x.x.x:25) sent 494 bytes
%FW-6-SESS_AUDIT_TRAIL: udp session initiator (x.x.x.x:1733) sent 44 bytes -- responder (z.z.z.z:53) sent 44 bytes

deepwalker · « **Reply #2 on:** November 21, 2005, 12:39:06 »

Что то я в доках на pix про netflow не встречал... Хотя я тут еще пошукаю в гугле : )) может чего и найду...

Ах да - таких сообщений у меня нет : )) У меня такие:

Quote

2005-11-18 06:16:00 Local4.Info 192.168.m.m %PIX-6-302016: Teardown UDP connection 153542 for outside:192.168.z.r/1079 to inside:192.168.z.y/137 duration 0:02:01 bytes 128
2005-11-18 06:21:19 Local4.Info 192.168.m.m %PIX-6-302014: Teardown TCP connection 153545 for outside:192.168.0.x/139 to inside:192.168.1.y/3546 duration 0:00:00 bytes 0 TCP Reset-I

deepwalker · « **Reply #3 on:** November 21, 2005, 12:53:56 »

Из инета:

Quote

netflow пиксы не поддерживают, трафик считать не умеют.

Потому и логи : ))

visual · « **Reply #4 on:** November 21, 2005, 13:01:02 »

Quote

Что то я в доках на pix про netflow не встречал... Хотя я тут еще пошукаю в гугле : )) может чего и найду...
Ах да - таких сообщений у меня нет : )) У меня такие:

sorry, не учел специфики пикса. в твоем случае это видимо единственно правильный вариант.

deepwalker · « **Reply #5 on:** November 21, 2005, 13:16:16 »

Ну в общем то в мире cisco я новичок. Что буду находить буду сюда складтровать - в смысле ссылки хорошие например : ))

Итог этой ветки:
Определен единственно возможный способ подсчета трафика проходящего через cisco pix. Дана подсказка про непонятные вылеты свитчей в случае неправильной настроки логгинга.

Tomsk Sysadmins Forum

News:

Author Topic: Считаем трафик (Read 6488 times)

deepwalker

Считаем трафик

visual

Считаем трафик

deepwalker

Считаем трафик

deepwalker

Считаем трафик

visual

Считаем трафик

deepwalker

Считаем трафик