Помните, что большинство команд администрирования доступны только привилегированным пользователям! Для получения привилегий воспользуйтесь командами su или sudo.

Теперь установим NetFlow-сенсор fprobe. Для этого можно воспользоваться программой aptitude, имеющей удобный псевдографический интерфейс, или программой apt-get:

apt-get update #не забудьте обновить списки пакетов, если давно этого не делали, ведь вполне возможно ваши списки пакетов уже не соответствуют тем, что находятся на серверах обновлений. apt-get install fprobe

При установке будет задано несколько вопросов, изображённых на рисунках 4.3 и 4.4. Необходимо указать интерфейс, выбранный ранее для прослушивания, как правило, это eth0.

Рисунок 4.3 – Установка fprobe: прослушиваемый интерфейс

Так как коллектор расположен на той же машине, что и сенсор, в качестве адреса для отправки данных на коллектор необходимо указать адрес замыкания на себя. Порт можно оставить по умолчанию 555, но могут так же использоваться порты 2055, 9555 или 9995.

Рисунок 4.4 – Установка fprobe: адрес коллектора

Процесс установки выполнит необходимые операции и запустит сенсор. Узнать, запущен ли сенсор, можно следующей командой:

Вывод команды говорит о том, что процесс fprobe запущен. Демон настраивается с помощью редактирования файла /etc/default/fprobe:

#fprobe default configuration file   INTERFACE="eth0" #интерфейс, с которого собирается статистика FLOW_COLLECTOR="localhost:555" #адрес и порт коллектора   #fprobe can't distinguish IP packet from other (e.g. ARP) OTHER_ARGS="-fip" #дополнительные настройки, передаваемые демону. По умолчанию установлен фильтр только на IP пакеты. Получить более подробную информацию можно набрав в консоли man fprobe.

После изменения файла необходимо перезапустить демон командой:

service fprobe restart

На практике, демон может не всегда запуститься с первого раза. Проверьте, запустился ли демон, как было показано ранее и в случае необходимости выполните дополнительную команду запуска:

service fprobe start

Параметры «по умолчанию» вполне подходят для выполнения данной работы.

Перейдём к установке коллектора nfcapd. Указанная программа входит в пакет nfdump. Установить его можно, например, таким образом:

apt-get install nfdump

Демон nfcapd имеет свой файл настроек /etc/default/nfdump:

# nfcapd is controlled by nfsen nfcapd_start=no #демон nfcapd по умолчанию не запускается автоматически

В указанном файле только одна опция, но существуют и другие. Посмотреть их можно в файле скрипта, для запуска этого демона /etc/init.d/nfdump. Необходимо сделать так, чтобы коллектор nfcapd прослушивал порт 555, на который сенсор fprobe присылает NetFlow данные, и сохранял эти данные в файл каждую минуту, вызывая скрипт для обработки этих данных. Для этого подсмотрим в файле /etc/init.d/nfdump опцию:

DATA_BASE_DIR="/var/cache/nfdump" PIDFILE=/var/run/$NAME.pid DAEMON_ARGS="-D -l $DATA_BASE_DIR -P $PIDFILE"

-D означает, что программа nfcapd будет запущена в режиме демона, то есть в фоновом режиме без взаимодействия с пользователем.

-l указывает директорию, в которую будут сохраняться двоичные файлы NetFlow.

-P указывает файл, в который будет сохранён идентификатор процесса демона при запуске. Это необходимо для дальнейшего управления этим процессом.

Из man nfcapd очевидно, что для указания порта, нужно использовать опцию “-p”, для ротации файлов каждую минуту опции “-w” и ”-t”, а для запуска скрипта при каждой ротации опцию “-x”. Изменённый файл /etc/default/nfdump теперь будет выглядеть следующим образом:

# nfcapd is controlled by nfsen nfcapd_start=yes SCRIPT="/usr/local/sbin/nfdump.pl" PORT=555 DAEMON_ARGS="-w -t 60 -D -l $DATA_BASE_DIR -x $SCRIPT -p $PORT -P $PIDFILE"

Файл nfdump.pl буден описан в далее в работе.

Пришло время запустить демон следующей командой:

service nfdump start

Проверим, что демон действительно запустился и работает:

В результате вы должны увидеть два процесса nfcapd с указанными вами настройками. В случае возникновения затруднений, вы можете посмотреть последние записи в файле /var/log/daemon.log, как это было описано в разделе 4.1, и попытаться устранить ошибки.

Если процесс запущен, осмотрите директорию /var/cache/nfdump. В ней должны начать собираться двоичные файлы NetFlow с именами вида nfcapd.201408222240 и один файл с именем nfcapd.current. Файл с расширением current заполняется демоном nfcapd в настоящий момент и через минуту он будет автоматически переименован в файл с расширением из цифр (201408222240 → 22 августа 2014г. 22:40), которые означают текущую дату и время создания файла, а вместо него появится новый файл current.

Позаботьтесь о том, чтобы директория /var/cache/nfdump не переполнилась! Для этого старые файлы нужно своевременно удалять. Эту работу возьмёт на себя скрипт nfdump.pl, который будет рассмотрен далее в работе.

4.3.Обработка статистики журналов доступа к веб-серверу

После изучения прошлой части главы мы научились создавать и накапливать архив журналов доступа к веб-серверу по дням. Ежедневно в специально отведённой для архива директории /var/archive/ будут появляться новые файлы вида гггг-мм-дд (год-месяц-день, например, 2014-06-20, 2014-06-21, 2014-06-22, 2014-06-23 и т.д.). Эти файлы будут создаваться один раз в сутки. Они именуются согласно текущим суткам, но содержат в себе данные за последние 24 часа, то есть, за двое суток. Время создания файлов может быть различным, в зависимости от времени ротации журналов на конкретном компьютере. Как правило, это каждые 24 часа после запуска компьютера.

Так как время ротации журналов может отличаться, файлы необходимо привести к одному временному промежутку. Можно сделать, чтобы каждый файл начинался с 00 часов 00 минут 00 секунд каждых суток и заканчивался в 23 часа 59 минут 59 секунд этих же суток, но сутки активности аудитории могут не совпадать с календарными сутками. Логично начинать новые сутки (и новый файл) в момент наименьшей активности аудитории.

Напишем скрипт для определения момента наименьшей активности аудитории. В данной работе скрипты будут писаться с использованием php и bash. Для установки интерпретатора php скриптов выполним следующую команду:

apt-get install php5-cgi







Дата добавления: 2017-03-29; просмотров: 809;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.007 сек.