Мониторинг, или сохранение детальной статистики по трафику в SQL-базу, нужен для:
- анализа профиля трафика в вашей сети
- разбора полетов (кто куда и зачем ходил)
Мониторинг ведется по по Учетным объектам, AcctUnit, поскольку только они имеют в свойствах понятие "IP-адреса". Он включается путем:
- применения соответствующего профиля, где прописано использование мониторинга, к данному объекту
или
- глобально, для всех объектов, в меню Система-Конфигурация (внизу)
Включение мониторинга влечет за собой запись информации по потокам в SQL-таблицу monitor. Из нее детальные сведения извлекаются путем вызова отчета типа MonitorReport.
Мы планируем реализовать функционал Layer7, то есть анализ трафика на более высоких уровнях (например, определение типа приложения (торрент), или URL посещенного по HTTP сайта), в обозримом будущем.
Формат таблицы мониторинга фактически соответствует формату потока данных (netflow или аналоги):
mysql> describe monitor; +-------------+------------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-------------+------------------+------+-----+---------+-------+ | acctunit_id | int(11) | NO | MUL | NULL | | id учетного объекта | ts | datetime | YES | | NULL | | время | bytes | int(11) | YES | | NULL | | количество байт в потоке | packets | int(11) | YES | | NULL | | количество пакетов в потоке | proto | int(11) | YES | | NULL | | IP протокол (1=icmp, 6=tcp, 17=udp, ...) | tos | int(11) | YES | | NULL | | поле TOS пакета | src_ip | int(10) unsigned | YES | | NULL | | src IP-адрес пакетов (sql: INET_NTOA()) | dst_ip | int(10) unsigned | YES | | NULL | | dst IP-адрес пакетов | src_port | int(11) | YES | | NULL | | src порт пакетов (для tcp, udp) | dst_port | int(11) | YES | | NULL | | dst порт пакетов (для tcp, udp) | ds_id | int(11) | YES | | NULL | | id источника данных, который получил данную информацию | tags | varchar(64) | YES | | NULL | | опциональные параметры (URL, ...) +-------------+------------------+------+-----+---------+-------+
9 Comments
Anonymous
Подскажите как выбрать поля отображаемые в отчете MonitorReport?
Хочется видеть подробную статистику на конкретный ip (не хватает столбцов с указанием протокола доступа(есть только отдельный фильтр, что не удобно), порта назначения, мб и источник не помешал бы и время установления/окончания соединения). А так же возможности сортировки по этим полям.
Anonymous
Так же, если это не сильно нагрузит сервер, то рядом с ip(и локальными и удалёнными) хотелось бы видеть доменное имя.
Anonymous
mysql> select * from monitor limit 5;
+----------------------------------------------------------------------------------------------+-----+
| acctunit_id | ts | bytes | packets | proto | tos | src_ip | dst_ip | src_port | dst_port | ds_id | tags |
+----------------------------------------------------------------------------------------------+-----+
| 5 | 2011-09-16 10:16:15 | 254776 | 1530 | 6 | 0 | 3232236819 | 3232235529 | 1096 | 445 | 1 | |
| 7 | 2011-09-16 10:16:15 | 254776 | 1530 | 6 | 0 | 3232236819 | 3232235529 | 1096 | 445 | 1 | |
| 3 | 2011-09-16 10:16:15 | 236080 | 1848 | 6 | 0 | 3232235529 | 3232236826 | 445 | 1038 | 1 | |
| 7 | 2011-09-16 10:16:15 | 236080 | 1848 | 6 | 0 | 3232235529 | 3232236826 | 445 | 1038 | 1 | |
| 3 | 2011-09-16 10:16:15 | 389856 | 2168 | 6 | 0 | 3232236826 | 3232235529 | 1038 | 445 | 1 | |
+----------------------------------------------------------------------------------------------+-----+
5 rows in set (0.00 sec)
Anonymous
почему вместо ip-адресов в таблице непонятные цифры?
Anonymous
Прошу прощения. Уже разобрался. Надо читать мануал по (sql: INET_NTOA())
Anonymous
Возможность мониторинга зависит от типа источника данных?
Я использую единственный источник данных WinPCAP (соответственно NeTAMS работает под windows), галочки мониторинга стоят и в профиле, и в конфигурации системы, но таблица monitor в базе данных пуста.
Почему мониторинг не работает?
Anton Vinokurov
А при этом трафик считается?
Anonymous
Да, трафик считается нормально.
Anton Vinokurov
я сейчас проверил под Windows - все считается и мониторится. пишите на support@netams.com