Различия

Показаны различия между двумя версиями страницы.

--- dpi:opt_cgnat:cgnat_log:start [2023/08/25 14:36] – elena.krasnobryzh
+++ dpi:opt_cgnat:cgnat_log:start [2023/08/28 08:55] (текущий) – удалено elena.krasnobryzh
@@ Строка 1: / Строка 1: @@
-====== Журналирование NAT трансляций ======
-{{indexmenu_n>5}}
-===== 1 Экспорт трансляций на внешние коллекторы в формате IPFIX =====
-{{indexmenu_n>2}}
-Для анализа данных по совершенным NAT трансляциям на внешних системах, можно экспортировать эти данных по сети в формате IPFIX (aka NetFlow v10)
-Экспорт NAT трансляций настраивается следующими параметрами:
-<code ini>
-ipfix_dev=em1
-ipfix_nat_udp_collectors=1.2.3.4:1500,1.2.3.5:1501
-ipfix_nat_tcp_collectors=1.2.3.6:9418
-</code>
-где
-  * **em1** -  имя сетевого интерфейса для экспорта.
-  * **ipfix_nat_udp_collectors** - адреса UDP коллекторов.
-  * **ipfix_nat_tcp_collectors** - адреса TCP коллекторов.
-^  Формат IPFIX шаблона для экспорта NAT трансляций  ^^^^^^
-^   ID	^  IANA   ^  Кол-во байт	^  Тип данных   ^  Описание  ^  Примечание  ^
-|  323   |  0    |  8   |  int64      | SYSTEM_TIME_WHEN_THE_EVENT_OCCURRED|Системное время, когда произошло событие  |
-|  4      |  0    |  1  |  int8       | PROTOCOL_IDENTIFIER |Идентификатор протокола транспортного уровня  |
-|  230    |  0    |  1  |  int8       | TYPE_OF_EVENT |Тип события  |
-|  8      |  0    |  4  |  IPv4      | SOURCE_IPV4_ADDRESS |Адрес отправителя  |
-|  225    |  0    |  4  |  IPv4      | POST_NAT_SOURCE_IPV4_ADDRESS |Адрес отправителя после NAT  |
-|  7      |  0    |  2  |  int16      | SOURCE_PORT |Порт отправителя   |
-|  227    |  0    |  2  |  int16      | POST_NAPT_SOURCE_TRANSPORT_PORT |Порт отправителя после NAT  |
-|  12     |  0    |  4  |  IPv4      | DESTINATION_IPV4_ADDRESS |Адрес получателя  |
-|  11     |  0    |  2  |  int16      | DESTINATION_TRANSPORT_PORT |Порт получателя   |
-|  2000   |  43823  |  8  |  int64      | SESSION_ID |Идентификатор сессии  |
-|  2003   |  43823  |  -  |  string     | LOGIN |User name при входе в систему  |
-Для сбора информации в формате IPFIX подойдет любой универсальный IPFIX коллектор, понимающий шаблоны,
-или утилита __[[dpi:dpi_components:utilities:ipfixreceiver2|IPFIX Receiver]]__
-Также информация о NAT трансляциях передается в полях postNATsourceIPv4Address и postNAPTsourceTransportPort при экспорте [[dpi:dpi_options:opt_statistics:statistics_ipfix:start|полного Netflow]]
-===== 2 Ведение журнала трансляций в текстовом формате =====
-{{indexmenu_n>1}}
-Для записи NAT трансляций в текстовый лог на сервере СКАТ в конфигурационном файле ///etc/dpi/fastdpi.conf//
-настраиваются следующие параметры:
-<code ini>
-ajb_save_nat=1
-ajb_save_nat_format=ts:ssid:event:login:proto:ipsrc:portsrc:ipsrcpostnat:portsrcpostnat:ipdst:portdst
-ajb_nat_path=/var/dump/dpi
-ajb_nat_ftimeout=30
-</code>
-где\\
-  * ajb_save_nat=1 активировать запись трансляций в текстовый лог
-  * ajb_nat_path=/var/dump/dpi место размещения файлов с записью логов (по умолчанию /var/dump/dpi)
-  * ajb_nat_ftimeout=30 периодичность записи
-  * ajb_save_nat_format=ts:ssid:event:login:proto:ipsrc:portsrc:ipsrcpostnat:portsrcpostnat:ipdst:portdst список и порядок записываемых полей, где
-    * ts - временная метка
-    * ssid - идентификатор сессии (для связи с данными Netflow/IPFIX по объемам)
-    * event - событие : 1 - NAT44 Session create, 2 - NAT44 Session delete
-    * login - login абонента
-    * ipsrc - IP адрес источника запроса (абонента)
-    * portsrc - порт источника запроса (абонента)
-    * ipsrcpostnat - IP адрес источника запроса (абонента) после NAT трансляции
-    * portsrcpostnat - порт источника запроса (абонента) после NAT трансляции
-    * ipdst - IP адрес получателя запроса (хоста)
-    * portdst - порт получателя запроса (хоста)
-:!: файловая система для записи логов должна быть быстрой и локальной (никаких NFS и других remote), данный вариант журналирования
-рекомендуется только в целях кратковременной диагностики

Аккаунт

Настройки

Различия