Нередко возникает ситуация, когда "вроде что-то сеть штормила вчера ночью, когда спал" и непонятно, какие концы теперь начинать раскручивать.
Для этих целей я использую возможности Mikrotik, но желающие могут поднимать перехватчик netflow и на Linux.
Итак, на рутере
Код:
/ip traffic-flow target
add dst-address=192.168.10.2 port=5555 src-address=192.168.10.254 v9-template-timeout=1m version=5
/ip traffic-flow
set cache-entries=4k enabled=yes
вышеприведенное говорит, что на 192.168.10.2:5555 стоит коллектор данных, куда данные netflow и надо сливать
Для того, чтобы принимать данные, я поставил пакет flow-tools, после чего в конфиге /etc/sysconfig/flow-capture указал соответствующие опции
Код:
Change the source IP and port to what is used on your network
OPTIONS="-n 95 -N 0 -w /var/flow-tools/ -S 15 -E 10G 0/0/5555"
и включил сам сервис flow-capture
Код:
systemctl enable --now flow-capture
Собственно, для сбора информации больше ничего и не нужно, просто убедитесь, что в /var/flow-tools/ появился файлик. Сначала он будет с префиксом tmp, а потом, через 15 минут, как и было в конфиге, переименуется в обычный. Все эти конфиги выше для небольшого трафика (до терабайта в сутки), с учетом того, что приемник стоит в закрытой сети, то есть особого контроля нет. В настройках указано, что хранилище не должно превышать 10Гб, но я дополнительно еще в отдельном скрипте очистки поставил, чтобы не хранить данные старше месяца, мне просто это не нужно.
Для анализа собранного можно использовать утилитки из этого же комплекта, например, вообще суммарно или передавая какие-то конкретные файлы
Вот пример, с которого можно начать разбираться.
Код:
flow-cat -p /var/flow-tools/ | flow-stat -f10 -P -p -S4 | less