Перейти до

Сбор и хранение статистики с NAT

mgbrain

Автор: mgbrain,
в Софт

 Share Подписчики 3

Рекомендованные сообщения

mgbrain

mgbrain 0

Опубликовано:
Опубликовано:

Доброго дня.

Кто как реализовывает сбор статистики с NAT для возможности в дальнейшем при поступлении запросов от соответствующих органов, иметь возможность ответить кто ходил в такое-то время на такой-то ip ?? В данный момент логи принимаю rsyslog и раз в сутки архивируется средствами logrotate. Но подглючивает иногда, то файл после создания архива не удалит, то ещё что ... Архивы у меня выходят по 5-7 Гб за день. Пробовал на graylog2 подать этот объём - он вместе с Java упал через 2 минуты ... 

Ссылка на сообщение
Поделиться на других сайтах
kha0s

kha0s 112

Опубліковано:
Опубліковано: (відредаговано)

Ну вот его-же sampling-ом сливайте на какой-нибудь netflow коллектор. У нас MX80 льет на flow-tools под FreeBSD.

Відредаговано kha0s
Ссылка на сообщение
Поделиться на других сайтах
loki

loki 86

Опубліковано:
Опубліковано: (відредаговано)

Тем у кого FreeBSD, и натят pf-ом:

 

 

cron

*       *       *       *       *       root /root/pf_save.sh
59      23      *       *       *       root /root/pf_arch.sh

pf_save.sh

#!/bin/sh

fl=pf_`date "+%Y-%m-%d-%H-%M"`
cd /mnt/pf_save/
pfctl -s state > ${fl}

/root/pf_arch.sh
 

 

#!/bin/sh
cd /mnt/pf_save
mkdir tmp
mv pf* tmp/
cd tmp
fl=`date "+%Y-%m-%d"`
tar -czf ${fl}.tar.gz pf*
mv ${fl}.tar.gz ../
rm pf*
cd ..
rmdir tmp
find . -name \*.tar.gz -mtime +100 -delete

В fstab по nfs монтируем хранилище:

 

192.168.100.80:/mnt/DISK/web/BRAS2        /mnt/pf_save    nfs     rw      0       0
 

Відредаговано loki
Ссылка на сообщение
Поделиться на других сайтах
Lynx100

Lynx100 90

Опубліковано:
Опубліковано: (відредаговано)

Ну вот его-же sampling-ом сливайте на какой-нибудь netflow коллектор. У нас MX80 льет на flow-tools под FreeBSD.

для этого функционала нужна jflow лицензия? или оно заводится без нее ?

Відредаговано Lynx100
Ссылка на сообщение
Поделиться на других сайтах
kha0s

kha0s 112

Опубліковано:
Опубліковано: (відредаговано)

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

Відредаговано kha0s
Ссылка на сообщение
Поделиться на других сайтах
Lynx100

Lynx100 90

Опубліковано:
Опубліковано:

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

супер

а flow-tools хавает без вопросов? или есть моменты? там некоторые рекомендируют nfdump использовать

Ссылка на сообщение
Поделиться на других сайтах
l1ght

l1ght 377

Опубліковано:
Опубліковано:

 

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

супер

а flow-tools хавает без вопросов? или есть моменты? там некоторые рекомендируют nfdump использовать

 

flow-tools якби прожерлевий наскільки я знаю, в будь якому випадку коллекторів дуже багато.

Ссылка на сообщение
Поделиться на других сайтах
kha0s

kha0s 112

Опубліковано:
Опубліковано:

 

Не нужна, мы же это обсуждали годика два назад. Ну, т.е. в наших с тобой шасси эта минимальная лицензия как-бы присутствует. Чего-то там в комплекте с 80-м на А4 распечатано, я не вникал - работает.

супер

а flow-tools хавает без вопросов? или есть моменты? там некоторые рекомендируют nfdump использовать

 

Да, по-дефолту. Что с киско, что с мх80. nfdump это ЕМНИП для родного формата jflow, у меня уже собиралась статистика с киско, так что я в тот-же коллектор (но другой порт) начал сливать и с 80-го.

Ссылка на сообщение
Поделиться на других сайтах
mgbrain

mgbrain 0

Опубліковано:
  • Автор
Опубліковано:

я что-то пропустил и мы уже должны хранить логи? или сюда NAG.RU переехал?

 

Ну мы вообще-то на те же abuse@ реагируем, если атаки идут с блока NAT, надо посмотреть кто, чтобы на первый раз позвонить и предложить почистить от вирусов ПК ... можно и платно специалистами провайдера, если абонент сам не может. 

Ссылка на сообщение
Поделиться на других сайтах
skybetik

skybetik 134

Опубліковано:
Опубліковано: (відредаговано)

Как минимум это надо для прикрытия своей Ж.

p.s.Тоже будем собирать все что только можно 

Відредаговано skybetik
Ссылка на сообщение
Поделиться на других сайтах
  • 1 year later...
Ceyzer

Ceyzer 2

Опубліковано:
Опубліковано:

Тема старая но плодить новую не вижу смысла.

Есть MX80 стоит задача настроить Monitoring Logs for NAT

Настроить настроили, даже трафик на входящем интерфейсе есть от Junipera но логи не пишутся.

Логи пробовали принмать: syslog, rsyslog (linux), Mikrotik Syslog (Win)

Настроено все вот так:


collector SyslogServ {
    destination-address 100.37.0.36;
    destination-port 9001;
    source-ip 12.24.155.45;
}
collector-group cg1 {
    collector SyslogServ;
}
template-profile t1 {
    collector SyslogServ;
    template-type nat;
    version ipfix;
    refresh-rate {
        packets 30;
        seconds 20;
    }
}
template-profile t2 {
    collector SyslogServ;
    template-type nat;
    version v9;
    refresh-rate {
        packets 30;
        seconds 20;
    }
}

   ms-0/2/0 {
        services-options {
            jflow-log {
                message-rate-limit 50;

Прошу подскажите кто сталкивался...

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 3
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...