Jump to content

Сбор и хранение статистики с NAT

mgbrain

By mgbrain,
in Software

 Share Followers 3

Recommended Posts

mgbrain

mgbrain 0

Posted
Posted

Доброго дня.

Кто как реализовывает сбор статистики с NAT для возможности в дальнейшем при поступлении запросов от соответствующих органов, иметь возможность ответить кто ходил в такое-то время на такой-то ip ?? В данный момент логи принимаю rsyslog и раз в сутки архивируется средствами logrotate. Но подглючивает иногда, то файл после создания архива не удалит, то ещё что ... Архивы у меня выходят по 5-7 Гб за день. Пробовал на graylog2 подать этот объём - он вместе с Java упал через 2 минуты ... 

Link to post
Share on other sites
kha0s

kha0s 112

Posted
Posted (edited)

Ну вот его-же sampling-ом сливайте на какой-нибудь netflow коллектор. У нас MX80 льет на flow-tools под FreeBSD.

Edited by kha0s
Link to post
Share on other sites
loki

loki 86

Posted
Posted (edited)

Тем у кого FreeBSD, и натят pf-ом:

 

 

cron

*       *       *       *       *       root /root/pf_save.sh
59      23      *       *       *       root /root/pf_arch.sh

pf_save.sh

#!/bin/sh

fl=pf_`date "+%Y-%m-%d-%H-%M"`
cd /mnt/pf_save/
pfctl -s state > ${fl}

/root/pf_arch.sh
 

 

#!/bin/sh
cd /mnt/pf_save
mkdir tmp
mv pf* tmp/
cd tmp
fl=`date "+%Y-%m-%d"`
tar -czf ${fl}.tar.gz pf*
mv ${fl}.tar.gz ../
rm pf*
cd ..
rmdir tmp
find . -name \*.tar.gz -mtime +100 -delete

В fstab по nfs монтируем хранилище:

 

192.168.100.80:/mnt/DISK/web/BRAS2        /mnt/pf_save    nfs     rw      0       0
 

Edited by loki
Link to post
Share on other sites
Lynx100

Lynx100 90

Posted
Posted (edited)

Ну вот его-же sampling-ом сливайте на какой-нибудь netflow коллектор. У нас MX80 льет на flow-tools под FreeBSD.

для этого функционала нужна jflow лицензия? или оно заводится без нее ?

Edited by Lynx100
Link to post
Share on other sites
kha0s

kha0s 112

Posted
Posted (edited)

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

Edited by kha0s
Link to post
Share on other sites
Lynx100

Lynx100 90

Posted
Posted

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

супер

а flow-tools хавает без вопросов? или есть моменты? там некоторые рекомендируют nfdump использовать

Link to post
Share on other sites
l1ght

l1ght 377

Posted
Posted

 

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

супер

а flow-tools хавает без вопросов? или есть моменты? там некоторые рекомендируют nfdump использовать

 

flow-tools якби прожерлевий наскільки я знаю, в будь якому випадку коллекторів дуже багато.

Link to post
Share on other sites
kha0s

kha0s 112

Posted
Posted

 

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

супер

а flow-tools хавает без вопросов? или есть моменты? там некоторые рекомендируют nfdump использовать

 

Да, по-дефолту. Что с киско, что с мх80. nfdump это ЕМНИП для родного формата jflow, у меня уже собиралась статистика с киско, так что я в тот-же коллектор (но другой порт) начал сливать и с 80-го.

Link to post
Share on other sites
mgbrain

mgbrain 0

Posted
  • Author
Posted

я что-то пропустил и мы уже должны хранить логи? или сюда NAG.RU переехал?

 

Ну мы вообще-то на те же abuse@ реагируем, если атаки идут с блока NAT, надо посмотреть кто, чтобы на первый раз позвонить и предложить почистить от вирусов ПК ... можно и платно специалистами провайдера, если абонент сам не может. 

Link to post
Share on other sites
loki

loki 86

Posted
Posted

А нахрена это вообще сохранять?

 

Очень быстро можно узнать, кто куда ходил. Иногда такая инфа "органам" нужна.

Link to post
Share on other sites
skybetik

skybetik 134

Posted
Posted (edited)

Как минимум это надо для прикрытия своей Ж.

p.s.Тоже будем собирать все что только можно 

Edited by skybetik
Link to post
Share on other sites
  • 1 year later...
Ceyzer

Ceyzer 2

Posted
Posted

Тема старая но плодить новую не вижу смысла.

Есть MX80 стоит задача настроить Monitoring Logs for NAT

Настроить настроили, даже трафик на входящем интерфейсе есть от Junipera но логи не пишутся.

Логи пробовали принмать: syslog, rsyslog (linux), Mikrotik Syslog (Win)

Настроено все вот так:


collector SyslogServ {
    destination-address 100.37.0.36;
    destination-port 9001;
    source-ip 12.24.155.45;
}
collector-group cg1 {
    collector SyslogServ;
}
template-profile t1 {
    collector SyslogServ;
    template-type nat;
    version ipfix;
    refresh-rate {
        packets 30;
        seconds 20;
    }
}
template-profile t2 {
    collector SyslogServ;
    template-type nat;
    version v9;
    refresh-rate {
        packets 30;
        seconds 20;
    }
}

   ms-0/2/0 {
        services-options {
            jflow-log {
                message-rate-limit 50;

Прошу подскажите кто сталкивался...

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 3
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...