Flow-tools — набор утилит для отправки, сбора, обработки, анализа данных NetFlow.
Установим коллектор, который будет принимать статистику с сенсоров:
sudo apt-get install flow-tools
Откроем файл конфигурации, например в текстовом редакторе nano (Ctrl+X для выхода, y/n для сохранения или отмены изменений):
sudo nano /etc/flow-tools/flow-capture.conf
Закоментируем все и добавим в конце строку:
-w /var/log/flow -n 275 0/192.168.0.5/555
Ключ -w указывает директорию хранения файлов, -n указывает количество ротаций файлов за день (то есть в моем случае каждый день будет сохранятся 275 файлов, при большом трафике мелкие файлы потом легче анализировать), 0 означает что нужно слушать все сетевые интерфейсы, 192.168.0.5 адрес сенсора с которого будут приниматься статистика, 555 порт на который будут приходить данные с сенсора.
Создадим директорию для файлов:
sudo mkdir /var/log/flow
Перезапустим flow-capture чтобы применить изменения в конфигурационном файле:
sudo service flow-capture restart
Проверить работает ли flow-capture можно так:
sudo service flow-capture status
sudo netstat -lpnu|grep flow-capture
netstat -anpl |grep 555
Ошибки и попытки прислать статистику от сенсоров, будут писаться в /var/log/syslog.
Можем посмотреть так:
sudo less /var/log/syslog | grep flow
Если используется iptables, то разрешим входящие UDP соединения на порт 555 всем:
sudo iptables -A INPUT -p udp --dport 555 -j ACCEPT
Либо конкретному адресу или сети:
sudo iptables -A INPUT -s 10.0.0.0/24 -p udp --dport 555 -j ACCEPT
Смотрите также мои статьи:
Сенсор fprobe
Установка и запуск ipt_NETFLOW
Установка и использование softflowd
Открытие и анализ файлов созданных при помощи NetFlow
Настройка NetFlow на Cisco
sFlow на D-Link коммутаторах
Traffic Flow в Mikrotik
Скрипт удаления старых файлов