| ROS 本身提供了 Traffic Flow 功能,与 Scisco的 Netflow 功能类似。只要开启 Traffic Flow 传到日志服务器即可, 这种设置系统开销很小, 可以传到本地网络,也可以传到公网。上图: 在日志服务器上开启 nfdump, 开源软件,无需付费哦。 # nfcapd -z -w -D -T all -p 2155 -l /data/flows -S 1 -P /var/lib/nfcapd.pid Traffic Flow 数据就自动保存到 /data/flows 目录下了。 比如要查询2014年11月29日谁上了百度网: #nfdump -R /data/flows/2014/11/29/ 'dst host www.baidu.com and port 80 and proto tcp' 这个结果会很长,上百度的实在大多了。下图是00:00 到 00:05分的结果: 查 172.16.11.247 这个客户上过哪些网站: #nfdump -R /data/flows/2014/11/29/ 'src ip 172.16.11.247' |less 这个结果会很长,基本上我们是不会感兴趣的。  苦逼的小区网,上传带宽总是不够用,是不是?查一下到底是谁超占了我们宝贵的上传资源呢? #nfdump -R /data/flows/2014/11/29/ 'src net 172.16.0.0/16' -s srcip/bytes 那么问题来了,nfdump 这个软件哪里有的下呢?答案是这个软件在 linux 系统下可以自动安装,不用单独下载。 可是我不会用 linux 系统怎么办? 嗯,这个...... |