ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] netflow various collectors



Hello Paul P Komkoff Jr!

        Хм. Могу поделится опытом.
        Я в свое время с нуля нарисовал более-менее вменяемую систему
        сбора и анализа netflow.
         
> И самая главная проблема вообще всех коллекторов - неэффективное
> расходование памяти. К сожалению, ни коммерческий cisco collector, ни
> бесплатные netrametы её не решают.

        А кого это волнует - hdd сейчас дешевые.
        Мне кажется что наиболее правильной стратегией будет хранение
        raw flow за какой-то определенный срок - например 3-4 дня.
        Это даст возможность произвольного анализа, а все остальное -
        по определенным критериям складывать в SQL или RRD как статисти -
        ческую информацию.
        
         
> Как проверяются погрешности.
> Берём ehnt в raw mode + script на шелле или awk
> считаем сравниваем со счётчиками SNMP
> если разница БОЛЬШАЯ - значит cisco СОЗНАТЕЛЬНО вносит погрешность в
> выдаваемую по netflow accounting информацию, причём в их коммерческий
> коллектор встроен нейтрализатор этой погрешности. 

        Ну, батенька, вы загнули. 
        Тут смотря что с чем сравнивать.
        С MRTG/RRD - так у них полно своих приколов с усреднением.
        С правильной snmp считалкой - тоже криво, ибо в любом случае
        данные netflow пришедшие за допустим 5 минут не всегда соот-
        ветствуют тому трафику, который реально прошел через интерфейс,
        а идут с запаздыванием.
        Тут же и проблемы L3/L2 коррекции.

        Однако все вышеперечисленное не является какой-либо сложной 
        вычислительной проблемой и вполне поддается в плане решения.
                

-- 
The Emperor wants to control the outer space, Yoda wants to explore the inner
space.That's the fundamental difference between the good and the bad sides of
the Force.

=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.