Nfdump
De BlaxWiki
Révision datée du 3 mars 2009 à 13:56 par 212.43.232.68 (discussion) (Page créée avec « Mise en place sur un routeur, répéter pour chaque interface intéressante : <pre> ip flow-cache timeout active 5 ip flow-export source Loopback0 ip flow-export version 5 p... »)
Mise en place sur un routeur, répéter pour chaque interface intéressante :
ip flow-cache timeout active 5 ip flow-export source Loopback0 ip flow-export version 5 peer-as ip flow-export destination 212.43.194.17 9995 interface GigabitEthernet0/3 ip flow ingress ! or ip flow egress
Sur nuala, il faut un démon nfcapd par routeur, utiliser /usr/local/etc/rc.d/nfdump-dengar.sh ou copier ce fichier et y faire les modifications nécessaires pour un autre routeur.
Les démons nfcapd tournent sous utilisateur nfdump.
Les logs sont dans /var/clara_logs/nfdump.
Utiliser nfdump (syntaxe similaire à tcpdump) pour examiner les logs.
En cron, un script de nettoyage supprime les logs les plus anciens (la somme de tous les fichiers de logs ne devant pas dépasser le maximum indiqué dans ce script).
Il faut modifier ce script si vous ajoutez un routeur (sinon les logs vont remplir /var).
Exemple d'utilisation, lister les 10 IP qui génèrent le plus de traffic :
$ nfdump -r nfcapd.200510061300 -sip/bps -n5
