Log de Tráfego do Linux

Question

Log de Tráfego do Linux

#1 resposta do (2 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (1 votos)
#5 resposta do (0 votos)

2

Estou à procura de um bom método livre de registro de informações de cabeçalho IP (src / dest IP with timestamp) passando por um roteador Linux.

Eu sei que posso fazer isso com

tcpdump -i eth0 > log.txt

No entanto, estou procurando algo um pouco mais substancial, já que isso estará funcionando o tempo todo.

iptables logging router linux

por jtnire 03.04.2011 / 22:51

5 respostas

Tags iptables logging router linux

Sincronização de NTP perdida em servidores SQL 1 TB de pasta que gostaria de copiar para outro servidor

score 2 · Answer 1

Se você quiser um registro detalhado, sugiro ulogd.

score 2 · Answer 2

iptables podem fazer isso nativamente. Basta colocar uma meta LOG ou ULOG no início de suas cadeias. Você também terá que jogar com rsyslogd para obter os logs do iptables do fluxo de registro do kernel e para um arquivo de sua escolha. Isso exige que você coloque alguns caracteres únicos no texto de log selecionado com as regras do iptables (algo como ":FW:" ) para que você possa dizer ao rsyslogd para filtrar com base nessa string e colocá-la em seu próprio arquivo.

score 1 · Answer 3

Eu realmente gosto de usar o argus para isso. É um pacote de software que escuta de forma promíscua em uma interface e grava dados de fluxo semelhantes aos fluxos (net | j). Ele usa o modelo cliente / servidor, no qual o daemon do servidor executa a captura e grava os arquivos de dados, e as ferramentas do cliente são usadas para ler e analisar os arquivos de dados. Os arquivos de saída são gravados em um formato binário, portanto é necessária alguma curva de aprendizado nas ferramentas incluídas.

Usando uma configuração padrão (quase), segue-se uma versão anônima da saída básica:

StartTime            Proto    SrcAddr  Sport          Dir   DstAddr  Dport       SrcPkts  DstPkts     SrcBytes     DstBytes State  
31 Jan 11 23:20:07   icmp     10.8.23.225             ->    10.28.5.232               1        0           60            0   ECO
31 Jan 11 23:48:07    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 01:10:59   icmp      10.15.36.226           ->    10.28.5.232               1        0           60            0   ECO
01 Feb 11 01:11:00   icmp      10.15.36.226           ->    10.28.5.232               1        0           60            0   ECO
01 Feb 11 01:13:45    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 01:36:13    udp      10.18.16.98.5060       ->    10.28.5.232.5060          1        0          454            0   INT
01 Feb 11 03:22:34    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 04:05:51    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 04:48:32    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ

Ele é projetado para ser executado como um serviço, no entanto, você deve descobrir a melhor maneira de executar a rotação de arquivos, dependendo do sistema, do armazenamento e da taxa de transferência. Você deve ser capaz de apontá-lo em uma das interfaces do roteador e obter todas as informações desejadas.

Como bônus, tt também vem com um número significativo de utilitários auxiliares com os quais você pode fazer coisas divertidas, como gráficos de tráfego, contabilidade e outros tipos de análise. Veja a página NSMWiki para obter alguns detalhes sobre exatamente o tipo de análise que pode ser executada.

score 1 · Answer 4

ntop? Se eu entendi o que você quer. Isso lhe dará uma boa interface web para todos os dados, e é fácil de instalar.

score 0 · Answer 5

0

Pastmon ? mrtg ?

por 04.04.2011 / 10:29