анализатор траффика через интерфейс.

[tes+or]

все для того же. интересует простое и прозрачное решение позволяющее мониторить загрузку интерфейса и вести не сильно наворочанную статистику.

хотелось бы иметь статистику по портам и для каждого из портов фигурирующих в статистике - топ 10 или около того адресов + не сильно детальный график загрузки за сутки, неделю, месяц. смотреть все это ес-но через веб. т.е. я так полагаю что это какой-то демон, который анализирует траффик, или возможно набор правил для iptables c -j LOG и вебскрипт который потом обрабатывает накопленные логи.

но все это в принципе не обязательно и если красивого с точки зрения логики и не влияющего на безопасность решения нету, то прошу меня об этом предупредить и посоветовать забить. без этой вещи можно пережить, просто статистика это забавно и полезно.

и еще, не думаю что стоит создавать для этого отдельную тему, потому что вопрос ламерский и к тому же смежный - на какую цель перенаправлять правило, чтобы ограничивать по нему ширину канала. как это сейчас принято решать?

канал просто узкий и все это актуально.

а, да, и еще, не сильно ли это бъет по производительности?

[Hermit]

попробуй ntop, не думаю, что ты столкнешься с проблемой производительности. Еще неплохой вариант какой-нить генератор netflow + flow-tools. Эта схема будет более масшабируемой.

[bsw_m]

snmpd+cacti

[tes+or]

гмм..

так что лучше, ntop или связка генератора net-flow+flow-tools? вообще вторая тема мне кажется более универсальной, а универсальность полученного при конфигурации опыта - это важно.

но генераторов net-flow я нашел тучу, вот они:

1.softflowd
2.fprobe
3.ndsad
4.nfdump

и это явно не все. какой более ровный?

>snmpd+cacti
а эта связка мне вообще непонятна. зачем тут snmp?

и еще, могут ли возникнуть проблемы с безопасностью?

[tes+or]

только вот мне кажется что вебморда для сбора netflow лучше подходит. или эта вебморда полюбому юзает эту либу? если да, то из каких вебморд посоветуете выбирать?

[Llama]

у меня fprobe-ulogd, flow-tools, flowscan-cuflow, rrdtool

[tes+or]

а можно хотябы кратко расшифровать? гуглить устану

[tes+or]

поставил ntop, кажется это то что нужно.

только вот оно у меня в 7 утра в выходной день при загрузке в 3 мегабита на роутере с core2duo и гигом оперативы стабильно грузит проц на 3% и память на 10%. днем будет намного хуже, а перспектива расширения канала вообще пугает, а перспектива эта неотвратима и находится где-то в ближайшем будущем.

это вообще нормально? я почти все оставил по дефолту, только разделил статистику для разных интерфейсов и отключил reverse DNS lookups. очевидных способов снижения нагрузки на интерфейс я глядя в опции не заметил. может кто-то из присуствующих сталкивался и находил эти способы?

[bsw_m]

ntop он такой, любит пригрузить систему.
Попробуй fprobe, а для анализа трафика - http://manageengine.adventnet.com/products/netflow/

[tes+or]

cacti поставил, даже минимально настроил, в прицнипе работает и потом даже пригодится, но это не совсем то, что на настоящий момент уже остро необходимо. временно сужаю задачу: есть роутер, сеть и интернет. через роутер в интернет и из интернета гоняют траффик. временами кто-то наглеет и гоняет его особенно бессовестно. задача - составить рейтинг таких юзеров. на железном роутере у нас это было, хотим и тут такое. cacti кажется не умеет такого. может есть иной проверенный способ? не обязательно вебинтерфейс, консольный даже лучше, возни меньше.

[leave]

trafshow

[Llama]

tes+or, я ж выше приеводил сызку используемых тулзов - сенсор, коллектор, анализатор + рисовалка - все настраивается независимо.

[tes+or]

leave, спасибо! категорически то что надо

Llama, это все хорошо, но оно рисует графики, а мне нужен топ по айпишникам. это невозможно отобразить на известных мне типах графиков. или я что-то упустил?

[leave]

tes+or, на свиссхосте кстати на шлюзе офисном оно стояло

[bsw_m]

tes+or,
То что я предложил, позволяет составить топ.
Таки предлагаю посмотреть, благо оно ставится с пол-пинка