Re: loggen
Ecki schrieb:
> Ich experimentiere momentan mit ipgrab und tcpdump herum. So weit
> geht das auch alles, ich lerne so den Netzwerk-Verkehr besser kennen.
Dann nimm' noch ethereal dazu. Ich sehe die Unterschiede so: tcpdump
ist gängiger (in allen Distributionen) und ist gut geignet einen
Überblick über den Protokollablauf zu bekommen. ipgrab ist praktischer,
wenn man eine ausführliche Ausgabe zum drucken braucht. ethereal ist am
komfortabelsten und übersichtlichsten, allerdings braucht man dann eine
X-Oberfläche. Daher wird man oft erst mit "tcpdump -w datei.raw -s 0"
alles in eine Datei aufzeichnen, um es sich später (auf einem anderen
System) mit ethereal anzuschauen.
> Allerdings würden mich zwei Sachen noch interessieren: zum einen,
> gibt es ein Programm, mit dem ich a la ipgrab den Netzwerk-Verkehr
> eines bestimmten Programms überwachen kann?
Ein bestimmtes Programm verursacht in der Regel auch einen spezifischen
Netzwerkverkehr (Ziel-, Sourceport, etc.), auf den man es einschränken
kann. Für das Abgreifen nach User, Prozess-ID oder ähnlichem würde mir
nur Owner-Match im Paketfilter einfallen.
> Zum anderen, ich möchte gerne, daß ich eine Aufstellung herhalte,
> wieviel Mb aus meinem lokalen Netzwerk ins internet hinaus und auch
> hinein gehen, allerdimngs möchte ich das nach Ports im Internet und
Das geht mit Accounting. Die simpelste Variante ist, mit iptables
zusätzliche Regeln an den entsprechenden Stellen einzubauen, die kein
Target enthalten. Damit werden dann nur die Pakete und Bytes gezählt.
Allerdings gehen die Daten beim Neustart, wie auch bei Änderungen
schnell verloren. Daher lässt man alle paar Minuten ein Skript die
Ausgabe von iptables -vnL auswerten und speichert die Messwerte zur
späteren Analyse. Mit dem Paket ipac-ng ist eine komplette Lösung
dieser Art im Debian-Archiv verfügbar.
--
rainer@ellinger.de
Reply to:
- Follow-Ups:
- Re: loggen
- From: Stephan Dietl <webmaster@cargal.org>
- References:
- loggen
- From: Ecki <Eckhard.Maass@gmx.net>