Re[2]: flow-capture

To: Slava Astashonok <sla@0n.ru>
Cc: debian-russian@lists.debian.org
Subject: Re[2]: flow-capture
From: Eduard Ivanov <wrecker@hotmail.ru>
Date: Fri, 8 Oct 2004 16:10:42 +0400
Message-id: <[🔎] 1178807478.20041008161042@hotmail.ru>
Reply-to: Eduard Ivanov <wrecker@hotmail.ru>
In-reply-to: <[🔎] 41667F40.2040700@0n.ru>
References: <[🔎] 294544246.20041007092317@hotmail.ru> <[🔎] 4164DA3B.3090606@0n.ru> <[🔎] 391981670.20041007172131@hotmail.ru> <[🔎] 1941171343.20041007172803@hotmail.ru> <[🔎] 4165483D.8030602@0n.ru> <[🔎] 344352621.20041008145810@hotmail.ru> <[🔎] 41667F40.2040700@0n.ru>

Hello Slava,

Friday, October 8, 2004, 3:51:28 PM, you wrote:

SA> Eduard Ivanov wrote:

>> Экземпляр один. Полечилось выставлением версий на обоих девайсах....
>> поставил -V 5  и файлики начали появляться... но они стабильно длинной
>> 80 байт... flow-cat ничё не показывает... наверное потому что там инфа
>> только том откуда пришли данные.  Хотя когда на сиске смотрю:
>> #sh ip cache flow видна инфа всякая с раскладкой по разным
>> IP-шникам... да и активность сетевая есть на циске, потому что
>> телфония заведена через неё ...  Вот где истина то? почему фалы по 80
>> байт то? или может быть этого вполне достаточно, но я тогда не умею
>> смотреть их? :)

SA> 1) flow-cat не для этого. Смотреть - flow-print, но 80 байт действительно 
SA> маловато. Обычно приблизительно такой размер имеют только-что созданные ещё не 
SA> закрытые дампы.

SA> 2) Подробнее посмотреть что за netflow идёт с маршрутизатора можно tcpdump'ом
SA> с параметром -T cnfp. Например, в моём случае:

SA> # tcpdump -np -T cnfp port 2001
SA> 15:29:55.010098 IP 10.0.1.1.40180 > 10.0.4.10.2001: NetFlow v5, 1048580.999 
SA> uptime, 1097234995.019500000, #2514572, 21 recs
SA> 15:29:55.021424 IP 10.0.1.1.40180 > 10.0.4.10.2001: NetFlow v5, 1048576.011 
SA> uptime, 1097234995.030770000, #2514593, 30 recs

SA> т.е. чётко видно какая версия netflow используется маршрутизатором и сколько 
SA> записей было в каждом принятом пакете.

16:05:57.464537 IP 82.204.226.137.51962 > 10.50.128.248.777: NetFlow v5, 193689.240 uptime, 1097237147.171621984, #5504,  1 recs
16:06:30.471740 IP 82.204.226.137.51962 > 10.50.128.248.777: NetFlow v5, 193721.316 uptime, 1097237179.248339208, #5505,  2 recs

Ну вот... такая вот шняга у меня приходит ... и достаточно
ругулятно... в принципе похоже на правду....  циска моя умеет ещё 1-ую
версию и 9-ую... 9-ой не умеет flow-capture. Остаётся первая.. но там
фунциональность хуже.

SA> 3) Когда flow-capture подхватывает поток - фактически, по факту приёма первого 
SA> же пакета, он репортует об этом через syslog, указывая откуда и какой версии 
SA> поток идёт:
SA> flow-capture[2570]: New exporter: time=1097034637 src_ip=10.0.1.1 
SA> dst_ip=10.0.4.10 d_version=5

ВООООО вот этого то нету :( и каков синтаксис его дебаг левела не
понятно :((  может подскажешь?

SA> С этого момента все должно работать.

:) бум ждать этого момента. Врагу не стаётся наш гордый админ :)

-- 
Best regards,
 Eduard                            mailto:wrecker@hotmail.ru

Reply to:

Follow-Ups:
- Re: flow-capture
  - From: Slava Astashonok <sla@0n.ru>

References:
- flow-capture
  - From: Eduard Ivanov <wrecker@hotmail.ru>
- Re: flow-capture
  - From: Slava Astashonok <sla@0n.ru>
- Re[2]: flow-capture
  - From: Eduard Ivanov <wrecker@hotmail.ru>
- Re[3]: flow-capture
  - From: Eduard Ivanov <wrecker@hotmail.ru>
- Re: flow-capture
  - From: Slava Astashonok <sla@0n.ru>
- Re[2]: flow-capture
  - From: Eduard Ivanov <wrecker@hotmail.ru>
- Re: flow-capture
  - From: Slava Astashonok <sla@0n.ru>

Prev by Date: Re: smbmount
Next by Date: LVM вопросы
Previous by thread: Re: flow-capture
Next by thread: Re: flow-capture
Index(es):
- Date
- Thread