Содержание

Расширенные возможности

NFSEN дополнен возможностями построения графиков и отчетов с учетом имен автономных систем и названий протоколов.

  1. Построение графиков
  2. Построение отчетов
  3. Построение отчетов по IP

Построение графиков

Перед построением графика убедитесь, что накопилась статистика хотя бы за одни сутки.

Для вашего удобства мы создали скрипты, которые автоматически вычисляют топ N протоколов (или направлений - автономных систем) и создают профиль, в котором каждый из них выделен своим цветом.

Запуск скрипта для построения профиля с топом протоколов

/usr/local/nfsen/bin/create_top_protocols --consumers 8 --divide-up-down --profile-name top_8_protocols

где consumers 8 - число отображаемых на графике протоколов (максимум 10)
divide-up-down - означает, что входящий и исходящий трафик будут отображаться на графике раздельно относительно нулевой оси
profile-name top_8_protocols - имя создаваемого профиля1)

В результате работы скрипта будет создан профиль top_8_protocols, в котором в графиках топ 8 протоколов по объему будут выделены разным цветом: Протоколы, не вошедшие в топ, на графике будут объединены в others под общим цветом
На данном профиле удобно строить отчеты по протоколам, как указано в разделе Построение отчетов

Кроме того на графиках можно оставить только интересующие нас протоколы, убрав галочки напротив "лишних" протоколов в разделе Statistics (расположенном под графиками).
Пример: на графике оставлены только торренты

Аналогично, для построения профиля с топом направлений запускаем скрипт:

/usr/local/nfsen/bin/create_top_directions --consumers 10 --divide-up-down --profile-name top_10_directions

В результате будет создан профиль top_10_directions, в котором можно, например, наглядно наблюдать разницу в объемах трафика на сервисы GOOGLE и ВКОНТАКТЕ

Построение отчетов

Выберите профиль live (профиль выбирается в правом верхнем углу) или, если вы ранее создали отдельный профиль с топом направлений, как указано в разделе Построение графиков, то выберите его.

Для создания отчета по автономным системам нажмите закладку Details в самой верхней строке и выберите на графике требуемый период (Time Window) или передвиньте ползунок на исследуемый момент времени (Single Timeslot)

Теперь в разделе Options (под Netflow Processing) выберите тип желаемого отчета:

где Stat TopN - список из топовых направлений
Top: 10 - количество элементов в топе
Stat: Any AS Name/SRC AS Name или DST AS Name - учитывать весь трафик или только в одном из направлений
Order By: bytes - топ считать по объему данных
и нажмите кнопку Process.
Для профиля live необходимо также отметить только Source: directions

В результате будет подготовлен отчет по топовым направлениям передачи данных

Аналогично при выборе Source: protocols или отдельного профиля с топом протоколов можно стоить отчеты по протоколам в обеих или одном из направлений DPI Protocol/IN DPI Protocol/OUT DPI Protocol


Построение отчетов по IP

1. Добавить новый приемник данных в конфигурацию nfsen

vi /usr/local/nfsen/etc/nfsen.conf
 
%sources = (
'protocols' => { 'port' => '9997', 'col' => '#00ff00', 'type' => 'netflow' },
'directions' => { 'port' => '9998', 'col' => '#ffff00', 'type' => 'netflow' },
'full' => { 'port' => '9999', 'col' => '#114422', 'type' => 'netflow' }
);

2. активировать изменения в конфигурации

/usr/local/nfsen/bin/nfsen reconfig

3. разрешить прием udp на порт 9999 в iptables

vi /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m udp -p udp --dport 9999 -j ACCEPT
service iptables restart

4. Активировать на dpi отправку полного netflow на созданный коллектор (в дополнении к коллекторам протоколов и направлений)

vi /etc/dpi/fastdpi.conf
netflow=11
netflow_full_collector=127.0.0.1:9999
netflow_passive_timeout=20
netflow_active_timeout=60  
service fastdpi restart

nfsen не лучший инструмент для исследования полного netflow но позволяет строить простые отчеты (раздел на страничке Netflow Processing, например, top по ip)

В полном netflow по умолчанию передается оригинальный номер порта, поэтому отчет по протоколам не работает. Чтобы активировать кодирование в номере порта информации о протоколе нужно активировать настройку netflow_full_port_swap=1

1)
профиль выбирается в правом верхнем углу экрана NFSEN, если не удается выбрать только что созданный профиль выберите закладку Stat в верхней строке