On Tue, 21 Aug 2007 19:29:48 +0400 Sapytsky Ilya wrote:
SI> Сам fprobe запущен так:
SI> /usr/sbin/fprobe -ieth0 localhost:555
SI> но когда делаешь
SI> flow-receive 0/0/555 | flow-print
SI> flow-receive: setsockopt(size=4194304)
SI> flow-receive: New exporter: time=1187723114 src_ip=127.0.0.1 dst_ip=
SI> 127.0.0.1
d_version=5
SI> srcIP dstIP prot srcPort dstPort octets
SI> packets
SI> тишина и покой, как будто нет ничего, хотя tcpdump показывает всё как надо.
SI> Настройку фактически никакую не делал, в дефолте наверное должно работать?
SI> Подскажите чего я делаю не так?
В общем, все скорее-всего работает, а проблема в том, что flow-receive
использует буферизацию вывода. Размер буфера довольно большой -- 32768
байт. Если пробуете не на реально работающем маршрутизаторе, то нужно довольно
долго ждать пока он заполнится данными. Для эффективного пополнения буфера
нужно чтоб было много различных соединений.
У меня не маршрутизатор, а fprobe-ng, но наверное это не важно.
Проверить, что это действительно проблемы буферизации, можно либо подождав
значительно долго, либо кильнув flow-receive (но не с помощью Ctr-C,
т.к. тогда сигнал посылается и flow-print и он не успевает вывести на экран,
что ему flow-receive посылает перед смертью).
да, так и есть, killall flow-receive и он показал чего-то. :) Теперь буду разбираться чего он там пишет и где там трафик.
Кстати, я пользуюсь flow-capture вместо flow-receive, поэтому с такими
проблемами не сталкивался.