Настройка NfSen

[Hackintosh 0]

Hi All!

Необходима помощь с настойкой NfSen

ubuntu server 10.10

Установил, захожу по веб морде, получаю:

Overview Profile: live, Group: (nogroup)

No data available!

Все графики пусты. Подскажите куда копать?

[tokezo 5]

nfdump запущен?точней nfcapd

[Hackintosh 0]

nfdump запущен?точней nfcapd

top показывает что запущен.

 

26414 www-data  20   0 20188 11284  3928 S  0.0  0.3  0:00.72 /usr/bin/perl -w /srv/nfsen/bin/nfsend
26415 www-data  20   0 19376  7928  1100 S  0.0  0.2  0:00.34 /srv/nfsen/bin/nfsend-comm
26412 www-data  20   0  5468   600   416 S  0.0  0.0  0:00.00 /usr/bin/nfcapd -w -D -p 9996 -u www-data -g www-data -B 200000 -S 1 -P /srv/nfsen/var/run/p9996.pid -z -n peer1 172.16.17.18 /srv
26409 www-data  20   0  4436   360   220 S  0.0  0.0  0:00.00 /usr/bin/nfcapd -w -D -p 9995 -u www-data -g www-data -B 200000 -S 1 -P /srv/nfsen/var/run/p9995.pid -z -I upstream1 -l /srv/nfsen
23576 root      20   0 39544  4800  2836 S  0.0  0.1  0:00.06 /usr/sbin/fprobe -ieth0 -fip 10.4.11.111:555
23581 root      20   0 39544  4800  2836 S  0.0  0.1  0:03.70 /usr/sbin/fprobe -ieth0 -fip 10.4.11.111:555
23580 root      20   0 39544  4800  2836 S  0.0  0.1  0:01.40 /usr/sbin/fprobe -ieth0 -fip 10.4.11.111:555
23579 root      20   0 39544  4800  2836 S  0.0  0.1  0:43.96 /usr/sbin/fprobe -ieth0 -fip 10.4.11.111:555
23578 root      20   0 39544  4800  2836 S  0.0  0.1  0:00.37 /usr/sbin/fprobe -ieth0 -fip 10.4.11.111:555

[tokezo 5]

Есть у Вас в системе пользователь и группа www-data?Имеет она доступ на запись в $PROFILEDATADIR(смотрите в конфиге)?

[Hackintosh 0]

Гляньте пожалуйста мой nfsen.conf, может чего напортачил.

nfsen.txt

[tokezo 5]

1.У Вас в системе есть пользователь www-data?

2.У Вас стоит дефолтные сорсы для получения инфы.

3.Откуда Вы собираетесь снимать нетфлоу/cфлоу статистику?

Должно быть так(в моем случае):

%sources = (
   'servak'    => { 'port' => '9998', 'col' => '#0000ff', 'type' => 'netflow' },
   'servak2'   => { 'port' => '9999', 'col' => '#00ff00', 'type' => 'netflow' },
#если будем снимать по сфлоу
   'Edge-core' => { 'port' => '10000', 'col' => '#00ff00', 'type' => 'sflow' },
);

В конфиге же всё описано

[Hackintosh 0]

ну честно говоря я запутался.

1. команда users показывает только меня. пробую прописать adduser www-data, получаю сообщение, the user "www-data" already exists. так-что он вродебы как и есть, но его нет куда смотреть не знаю.

2. туплю

3. Здесь также запутался. Поставил nfdump и fprobe, что из них нужнее хз

куча мануалов в итоге ничего толком не выходит.

 

P.S. - пописал в конфиг

%sources = (
   'servachok'    => { 'port' => '9999', 'col' => '#0000ff', 'type' => 'netflow' },
);

 

В веб морде пропало сообщение о невозможности составления графика. Но данных никаких нет, все графики пустые.

 

И еще на вкладке details, в самом низу вылез бок:

** nfdump -M /srv/nfsen/profiles-data/live/servachok  -T  -r 2011/01/27/nfcapd.201101270315 -n 10 -s ip/flows
nfdump filter:
any
stat() error '/srv/nfsen/profiles-data/live/servachok/2011/01/27/nfcapd.201101270315': File not found!

[tokezo 5]

команда users показывает только меня. пробую прописать adduser www-data, получаю сообщение, the user "www-data" already exists. так-что он вродебы как и есть, но его нет куда смотреть не знаю.

Пропишите в конфиге пользователя который есть у Вас в системе.

Я использую ipcad, как нетфлоу сенсор, если надо могу выложить конфиг.

[Hackintosh 0]

команда users показывает только меня. пробую прописать adduser www-data, получаю сообщение, the user "www-data" already exists. так-что он вродебы как и есть, но его нет куда смотреть не знаю.

Пропишите в конфиге пользователя который есть у Вас в системе.

Я использую ipcad, как нетфлоу сенсор, если надо могу выложить конфиг.

 

С другими юзерами вообще не захотел запускаться.

 

Если есть готовый ман, как прикрутить nfsen к ipcad, буду благодарен.

А если ставить ipcad, то nfdump оставляем, а fprobe можно удалять?

[tokezo 5]

команда users показывает только меня. пробую прописать adduser www-data, получаю сообщение, the user "www-data" already exists. так-что он вродебы как и есть, но его нет куда смотреть не знаю.

Пропишите в конфиге пользователя который есть у Вас в системе.

Я использую ipcad, как нетфлоу сенсор, если надо могу выложить конфиг.

А если ставить ipcad, то nfdump оставляем, а fprobe можно удалять?

угум.

ipcad.conf

capture-ports disable;
interface ulog group 2;
netflow export version 5;
#тут указываем куда сливать статистику
netflow export destination 192.168.0.1 9999;
aggregate 192.168.0.0/24 strip 32;
pidfile = /var/run/ipcad.pid;
dumpfile = /tmp/ipcad.dump;

rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;

и добавляем правило в iptables(если считать надо транзитный трафик):

iptables -A FORWARD -j ULOG --ulog-nlgroup 2

как-то так

[Zhmak 1]

nfdump запущен?точней nfcapd

top показывает что запущен.

 

26412 www-data  20   0  5468   600   416 S  0.0  0.0  0:00.00 /usr/bin/nfcapd -w -D -p 9996 -u www-data -g www-data -B 200000 -S 1 -P /srv/nfsen/var/run/p9996.pid -z -n peer1 172.16.17.18 /srv
26409 www-data  20   0  4436   360   220 S  0.0  0.0  0:00.00 /usr/bin/nfcapd -w -D -p 9995 -u www-data -g www-data -B 200000 -S 1 -P /srv/nfsen/var/run/p9995.pid -z -I upstream1 -l /srv/nfsen
23576 root      20   0 39544  4800  2836 S  0.0  0.1  0:00.06 /usr/sbin/fprobe -ieth0 -fip 10.4.11.111:555

 

Полагаю, что заработает, если fprobe настроить на 9996 или 9995 порт.