NFSEN дополнен возможностями построения графиков и отчетов с учетом имен автономных систем и названий протоколов.
Перед построением графика убедитесь, что накопилась статистика хотя бы за одни сутки.
Для вашего удобства мы создали скрипты, которые автоматически вычисляют топ N протоколов (или направлений - автономных систем) и создают профиль, в котором каждый из них выделен своим цветом.
Запуск скрипта для построения профиля с топом протоколов
/usr/local/nfsen/bin/create_top_protocols --consumers 8 --divide-up-down --profile-name top_8_protocols
где
consumers 8 - число отображаемых на графике протоколов (максимум 10)
divide-up-down - означает, что входящий и исходящий трафик будут отображаться на графике раздельно относительно нулевой оси
profile-name top_8_protocols - имя создаваемого профиля1)
В результате работы скрипта будет создан профиль top_8_protocols, в котором в графиках топ 8 протоколов по объему будут выделены разным цветом:
Протоколы, не вошедшие в топ, на графике будут объединены в others под общим цветом
На данном профиле удобно строить отчеты по протоколам, как указано в разделе Построение отчетов
Кроме того на графиках можно оставить только интересующие нас протоколы, убрав галочки напротив "лишних" протоколов в разделе Statistics (расположенном под графиками).
Пример: на графике оставлены только торренты
Аналогично, для построения профиля с топом направлений запускаем скрипт:
/usr/local/nfsen/bin/create_top_directions --consumers 10 --divide-up-down --profile-name top_10_directions
В результате будет создан профиль top_10_directions, в котором можно, например, наглядно наблюдать разницу в объемах трафика на сервисы GOOGLE и ВКОНТАКТЕ
Выберите профиль live (профиль выбирается в правом верхнем углу) или, если вы ранее создали отдельный профиль с топом направлений, как указано в разделе Построение графиков, то выберите его.
Для создания отчета по автономным системам нажмите закладку Details в самой верхней строке и выберите на графике требуемый период (Time Window) или передвиньте ползунок на исследуемый момент времени (Single Timeslot)
Теперь в разделе Options (под Netflow Processing) выберите тип желаемого отчета:
где Stat TopN - список из топовых направлений
Top: 10 - количество элементов в топе
Stat: Any AS Name/SRC AS Name или DST AS Name - учитывать весь трафик или только в одном из направлений
Order By: bytes - топ считать по объему данных
и нажмите кнопку Process.
Для профиля live необходимо также отметить только Source: directions
В результате будет подготовлен отчет по топовым направлениям передачи данных
Аналогично при выборе Source: protocols или отдельного профиля с топом протоколов можно стоить
отчеты по протоколам в обеих или одном из направлений DPI Protocol/IN DPI Protocol/OUT DPI Protocol
1. Добавить новый приемник данных в конфигурацию nfsen
vi /usr/local/nfsen/etc/nfsen.conf %sources = ( 'protocols' => { 'port' => '9997', 'col' => '#00ff00', 'type' => 'netflow' }, 'directions' => { 'port' => '9998', 'col' => '#ffff00', 'type' => 'netflow' }, 'full' => { 'port' => '9999', 'col' => '#114422', 'type' => 'netflow' } );
2. активировать изменения в конфигурации
/usr/local/nfsen/bin/nfsen reconfig
3. разрешить прием udp на порт 9999 в iptables
vi /etc/sysconfig/iptables -A INPUT -m state --state NEW -m udp -p udp --dport 9999 -j ACCEPT service iptables restart
4. Активировать на dpi отправку полного netflow на созданный коллектор (в дополнении к коллекторам протоколов и направлений)
vi /etc/dpi/fastdpi.conf netflow=11 netflow_full_collector=127.0.0.1:9999 netflow_passive_timeout=20 netflow_active_timeout=60 service fastdpi restart
nfsen не лучший инструмент для исследования полного netflow но позволяет строить простые отчеты (раздел на страничке Netflow Processing, например, top по ip)
В полном netflow по умолчанию передается оригинальный номер порта, поэтому отчет по протоколам не работает. Чтобы активировать кодирование в номере порта информации о протоколе нужно активировать настройку netflow_full_port_swap=1