Сбор и хранение статистики с NAT

[mgbrain 0]

Доброго дня.

Кто как реализовывает сбор статистики с NAT для возможности в дальнейшем при поступлении запросов от соответствующих органов, иметь возможность ответить кто ходил в такое-то время на такой-то ip ?? В данный момент логи принимаю rsyslog и раз в сутки архивируется средствами logrotate. Но подглючивает иногда, то файл после создания архива не удалит, то ещё что ... Архивы у меня выходят по 5-7 Гб за день. Пробовал на graylog2 подать этот объём - он вместе с Java упал через 2 минуты ... 

[kha0s 112]

netflow на внутреннем инт-се?

[mgbrain 0]

netflow на внутреннем инт-се?

 

Я снимаю сейчас с MX80 его же средствами статистику сессий NAT на удалённый syslog сервер.

[kha0s 112]

Ну вот его-же sampling-ом сливайте на какой-нибудь netflow коллектор. У нас MX80 льет на flow-tools под FreeBSD.

Відредаговано 2015-02-04 07:58:37 kha0s

[loki 86]

Тем у кого FreeBSD, и натят pf-ом:

 

 

cron

*       *       *       *       *       root /root/pf_save.sh
59      23      *       *       *       root /root/pf_arch.sh

pf_save.sh

#!/bin/sh

fl=pf_`date "+%Y-%m-%d-%H-%M"`
cd /mnt/pf_save/
pfctl -s state > ${fl}

/root/pf_arch.sh
 

 

#!/bin/sh
cd /mnt/pf_save
mkdir tmp
mv pf* tmp/
cd tmp
fl=`date "+%Y-%m-%d"`
tar -czf ${fl}.tar.gz pf*
mv ${fl}.tar.gz ../
rm pf*
cd ..
rmdir tmp
find . -name \*.tar.gz -mtime +100 -delete

В fstab по nfs монтируем хранилище:

 

192.168.100.80:/mnt/DISK/web/BRAS2        /mnt/pf_save    nfs     rw      0       0
 

Відредаговано 2015-02-04 09:04:40 loki

[mgbrain 0]

Ну вот его-же sampling-ом сливайте на какой-нибудь netflow коллектор. У нас MX80 льет на flow-tools под FreeBSD.

 

ok спасибо, попробую так

[Lynx100 90]

Ну вот его-же sampling-ом сливайте на какой-нибудь netflow коллектор. У нас MX80 льет на flow-tools под FreeBSD.

для этого функционала нужна jflow лицензия? или оно заводится без нее ?

Відредаговано 2015-02-04 13:14:49 Lynx100

[kha0s 112]

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

Відредаговано 2015-02-04 13:31:31 kha0s

[Lynx100 90]

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

супер

а flow-tools хавает без вопросов? или есть моменты? там некоторые рекомендируют nfdump использовать

[l1ght 377]

 

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

супер

а flow-tools хавает без вопросов? или есть моменты? там некоторые рекомендируют nfdump использовать

 

flow-tools якби прожерлевий наскільки я знаю, в будь якому випадку коллекторів дуже багато.

[Abram 98]

А нахрена это вообще сохранять?

[kha0s 112]

 

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

супер

а flow-tools хавает без вопросов? или есть моменты? там некоторые рекомендируют nfdump использовать

 

Да, по-дефолту. Что с киско, что с мх80. nfdump это ЕМНИП для родного формата jflow, у меня уже собиралась статистика с киско, так что я в тот-же коллектор (но другой порт) начал сливать и с 80-го.

[be4v15 550]

я что-то пропустил и мы уже должны хранить логи? или сюда NAG.RU переехал?

[mgbrain 0]

я что-то пропустил и мы уже должны хранить логи? или сюда NAG.RU переехал?

 

Ну мы вообще-то на те же abuse@ реагируем, если атаки идут с блока NAT, надо посмотреть кто, чтобы на первый раз позвонить и предложить почистить от вирусов ПК ... можно и платно специалистами провайдера, если абонент сам не может. 

[loki 86]

А нахрена это вообще сохранять?

 

Очень быстро можно узнать, кто куда ходил. Иногда такая инфа "органам" нужна.

[skybetik 129]

Как минимум это надо для прикрытия своей Ж.

p.s.Тоже будем собирать все что только можно 

Відредаговано 2015-02-05 20:11:11 skybetik

[Ceyzer 2]

Тема старая но плодить новую не вижу смысла.

Есть MX80 стоит задача настроить Monitoring Logs for NAT

Настроить настроили, даже трафик на входящем интерфейсе есть от Junipera но логи не пишутся.

Логи пробовали принмать: syslog, rsyslog (linux), Mikrotik Syslog (Win)

Настроено все вот так:

collector SyslogServ {
    destination-address 100.37.0.36;
    destination-port 9001;
    source-ip 12.24.155.45;
}
collector-group cg1 {
    collector SyslogServ;
}
template-profile t1 {
    collector SyslogServ;
    template-type nat;
    version ipfix;
    refresh-rate {
        packets 30;
        seconds 20;
    }
}
template-profile t2 {
    collector SyslogServ;
    template-type nat;
    version v9;
    refresh-rate {
        packets 30;
        seconds 20;
    }
}

   ms-0/2/0 {
        services-options {
            jflow-log {
                message-rate-limit 50;

Прошу подскажите кто сталкивался...