Мониторинг, или сохранение детальной статистики по трафику в SQL-базу, нужен для:
Мониторинг ведется по по Учетным объектам, AcctUnit, поскольку только они имеют в свойствах понятие "IP-адреса". Он включается путем:
- применения соответствующего профиля, где прописано использование мониторинга, к данному объекту
или
- глобально, для всех объектов, в меню Система-Конфигурация (внизу)
Включение мониторинга влечет за собой запись информации по потокам в SQL-таблицу monitor. Из нее детальные сведения извлекаются путем вызова отчета типа MonitorReport.
Мы планируем реализовать функционал Layer7, то есть анализ трафика на более высоких уровнях (например, определение типа приложения (торрент), или URL посещенного по HTTP сайта), в обозримом будущем.
Формат таблицы мониторинга фактически соответствует формату потока данных (netflow или аналоги):
mysql> describe monitor; +-------------+------------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +-------------+------------------+------+-----+---------+-------+ | acctunit_id | int(11) | NO | MUL | NULL | | id учетного объекта | ts | datetime | YES | | NULL | | время | bytes | int(11) | YES | | NULL | | количество байт в потоке | packets | int(11) | YES | | NULL | | количество пакетов в потоке | proto | int(11) | YES | | NULL | | IP протокол (1=icmp, 6=tcp, 17=udp, ...) | tos | int(11) | YES | | NULL | | поле TOS пакета | src_ip | int(10) unsigned | YES | | NULL | | src IP-адрес пакетов (sql: INET_NTOA()) | dst_ip | int(10) unsigned | YES | | NULL | | dst IP-адрес пакетов | src_port | int(11) | YES | | NULL | | src порт пакетов (для tcp, udp) | dst_port | int(11) | YES | | NULL | | dst порт пакетов (для tcp, udp) | ds_id | int(11) | YES | | NULL | | id источника данных, который получил данную информацию | tags | varchar(64) | YES | | NULL | | опциональные параметры (URL, ...) +-------------+------------------+------+-----+---------+-------+ |