sfcapd - מקוון בענן

תָכְנִית:

שֵׁם

sfcapd - דמון לכידת sflow

תַקצִיר

sfcapd [אפשרויות]

תיאור

sfcapd הוא דמון לכידת ה-sflow של כלי nfdump. זה קורא נתוני זרימה מה-
רשת ומאחסן אותו בקבצים תואמים nfcapd. קובץ הפלט מתבצע באופן אוטומטי
מסתובב ושונה כל n דקות - בדרך כלל 5 דקות - לפי חותמת הזמן
YYYYMMddhhmm של המרווח למשל nfcapd.200407110845 מכיל את הנתונים מה-11 ביולי
2004 08:45 ואילך. sfcapd תומך בגרסת sFlow 4 ו-5 נתונים גרמים.

Sflow הוא תקן תעשייתי שפותח על ידי InMon Corporation. למידע נוסף ראה
http://sflow.org.

אפשרויות

-p פורטנום
מציין את מספר היציאה להאזנה. יציאת ברירת המחדל היא 6343

-b bindhost
מציין את שם המארח/כתובת IPv4/IPv6 שיש לאגד להאזנה. יכולה להיות כתובת IP או
שם מארח, פתרון לכתובת IP המחוברת לממשק. ברירת מחדל לכל
ממשק IPv4 זמין, אם לא צוין.

-4 מאלץ את sfcapd להאזין בכתובות IPv4 בלבד. ניתן להשתמש יחד עם -b אם א
שם המארח כולל רשומת כתובות IPv4 ו-IPv6. תלוי ביישום השקע -6
מקבל גם נתוני IPv4.

-6 מאלץ את sfcapd להאזין בכתובות IPv6 בלבד. ניתן להשתמש יחד עם -b אם א
שם המארח כולל רשומת כתובות IPv4 ו-IPv6.

-j MulticastGroup
הצטרף לקבוצת השידור הרב שצוין IPv6 או IPv6 להאזנה.

-R מארח[/port}
הפעל משחזר מנות. שלח את כל החבילות הנכנסות לאחר המארח ו נמל. המארח is
או כתובת IPv4/IPv6 חוקית, או שם מארח סימבולי חוקי, הפותר ל-
כתובת IPv6 או IPv4. נמל ניתן להשמיט וברירת המחדל ליציאה 6343. הערה: בשל
כתובות מקובלות של IPv4/IPv6, מפריד היציאה הוא '/'.

-I IdentString ( הון מכתב i )
מציין מחרוזת זהה, המתארת ​​את המקור, למשל שם הנתב. זֶה
מחרוזת מוכנסת לרשומה הסטטיסטית כדי לזהות את המקור. ברירת המחדל היא 'אין'. זה
עבור תאימות עם nfdump 1.5.x ומשמש לציון מקור sflow יחיד. לִרְאוֹת -n

-l base_directory ( מכתב אַמָה )
מציין את ספריית הבסיס לאחסון קבצי הפלט. אם תת-היררכיה היא
שצוין עם -S הספרייה הסופית משורשרת אליה base_directory/sub_hierarchy.
זה מיועד לתאימות עם nfdump 1.5.x ומשמש לציון מקור sflow יחיד.
לִרְאוֹת -n

-n
מגדיר מקור sflow בשם זהה ומזוהה לפי כתובת ה-IP של המקור IP. ה
ספריית הבסיס עבור קבצי הזרימה היא base_directory. אם צוינה תת-היררכיה
עם -S הספרייה הסופית משורשרת אליו base_directory/sub_hierarchy. מְרוּבֶּה
זרימה נטו מקורות יכול be נָקוּב. תעשיות נתונים is נשלח ל מה היא אותו נמל מפורט by -p.
הערה: אסור לערבב את האפשרות -n עם -I ו-l. השתמש בשני התחביר.

-f
קרא מנות זרימה מתן pcap_file במקום הרשת. זה דורש sfcapd
להידור עם אפשרות pcap ומיועד לניפוי באגים בלבד.

-S
מאפשר לציין תת-היררכיית ספריות נוספת לאחסון קבצי הנתונים. ה
ברירת המחדל היא 0, ללא תת היררכיה, כלומר הקבצים נכנסים ישירות לספריית הבסיס
(-ל). ספריית הבסיס (-l) משורשרת עם פורמט המשנה שצוין
כדי ליצור את ספריית הנתונים הסופית. ההיררכיות הבאות מוגדרות:
0 ברירת מחדל ללא רמות היררכיה
1 %Y/%m/%d שנה/חודש/יום
2 %Y/%m/%d/%H שנה/חודש/יום/שעה
3 %Y/%W/%u שנה/שבוע_בשנה/יום_שבוע
4 %Y/%W/%u/%H שנה/שבוע_בשנה/יום_שבוע/שעה
5 %Y/%W/%u שנה/שבוע_בשנה/יום_שבוע
6 %Y/%W/%u/%H שנה/שבוע_בשנה/יום_שבוע/שעה
7 %Y/%j שנה/יום בשנה
8 %Y/%j/%H שנה/יום בשנה/שעה
9 %Y-%m-%d שנה-חודש-יום
10 %Y-%m-%d/%H שנה-חודש-יום/שעה

-T <הרחבה רשימה>
מציין את רשימת ההרחבות שיש לאחסן בקובץ הזרימה. בלי קשר ל
רשימת ההרחבות, נתוני הזרימה הבאים מאוחסנים לכל רשומה: ראשון, אחרון, סטטוס fwd,
tcp flags, proto, (src)tos, src port, dst port, src ipaddr, dst ipaddr, in(packets),
in(bytes). בנוסף sfcapd מזהה את ההרחבות כמתואר להלן.

הרחבות:
הרחבות sflow:
1 ממשק קלט/פלט מספרי SNMP.
2 מספרי src/dst AS.
3 מסיכת src/dst, (dst)TOS, כיוון,
4 כתובת ה-IP של ההופ הבא
5 BGP Next hop כתובת IP
6 תוויות src/dst vlan id
10 כתובת MAC in_src/out_dst
כברירת מחדל, סיומת 1 ו-2 נבחרות, המספקת תאימות עם מוקדם יותר
גרסת nfdump. ניתן להוסיף/למחוק הרחבות על ידי ציון רשימה מופרדת של ',' של
מזהי הרחבה. ניתן להוסיף לפני כל מזהה סימן אופציונלי +/- כדי להוסיף או להסיר א
נתון מזהה מרשימת ההרחבות. המחרוזת 'הכל' פירושה כל ההרחבות. הרחבות
7-9 אינם זמינים עבור sfcapd.
דוגמאות:
-T all מאפשר את כל ההרחבות האפשריות.
-T +3,+4 מוסיף את ההרחבות 3 ו-4 לברירות המחדל 1 ו-2.
-T all,-5,-6 הגדר את כל ההרחבות מלבד 5 ו-6
-T -1,4 מסיר את סיומת ברירת המחדל 1 ומוסיפה סיומת 4
הערה: הרחבות משותפות עם ה-netflow collector nfcapd. Sflow כמו גם
נתוני netflow מאוחסנים באותו סוג של הרחבות.

-t הפסקה
מציין את מרווח הזמן בשניות לסובב קבצים. ערך ברירת המחדל הוא 300 שניות (
5 דקות ).

-w יישר את סיבוב הקובץ עם המרווח של n הדקות הבאות (מצוין ב-t). דוגמה: אם
המרווח הוא 5 דקות, סנכרון ב-0,5,10... שעון קיר דקות ברירת מחדל: אין יישור.

-x cmd
הפעל את הפקודה cmd בסוף כל מרווח, כאשר קובץ חדש הופך זמין. ה
הרחבת הפקודה הבאה זמינה:
%f הוחלף בשם הקובץ, למשל nfcapd.200407110845 כולל כל
תת היררכיה. ( 2004/07/11/nfcapd.200407110845)
%d הוחלף בספריה שבה נמצא הקובץ.
%t הוחלף בפורמט ISO של הזמן, למשל 200407110845.
%u הוחלף בפורמט זמן UNIX.
%i מחרוזת זיהוי שהוחלפה שניתנה על ידי -I

-e תוקף אוטומטי של קבצים בכל מחזור. מקסימום פעם בחיים ו מקסימום גודל הקובץ מוגדרים באמצעות
nfexpire(1)

-P pidfile
ציין את שם ה-pidfile. ברירת המחדל היא לא pidfile.

-D מצב Daemon: מזלג לרקע וניתוק מהמסוף. Nfcapd מסתיים באות
TERM, INT ו-HUP.

-u תעודת זהות של משתמש
שנה למשתמש תעודת זהות של משתמש בְּהֶקְדֵם הַאֶפְשַׁרִי. רק root רשאי להשתמש באפשרות זו.

-g groupid
שנה לקבוצה groupid בְּהֶקְדֵם הַאֶפְשַׁרִי. רק root מותר להשתמש באפשרות זו.

-B באפלן
מציין את אורך מאגר קלט השקע בבתים. לתנועה בנפח גבוה (בסמוך ל-GB
תעבורה) מומלץ להגדיר ערך זה גבוה ככל האפשר (בדרך כלל > 100k),
אחרת אתה מסתכן באובדן מנות. ברירת המחדל היא תלויה במערכת ההפעלה (והליבה).

-E הדפס רשומות נתונים בפורמט nfdump גולמי ל-stdout. אפשרות זו מיועדת לניפוי באגים
רק, כדי לראות כיצד נתוני sflow נכנסים מעובדים ומאוחסנים.

-z דחוס זרימות. השתמש בדחיסה מהירה של LZO1X-1 בקובץ הפלט.

-V הדפס את גרסת sfcapd וצא.

-h הדפס טקסט עזרה ל-stdout עם כל האפשרויות וצא.

לַחֲזוֹר ערך

מחזירה 0 על הצלחה, או 255 אם האתחול נכשל.

יומן

sfcapd מתחבר ל-syslog עם SYSLOG_FACILITY LOG_DAEMON לרמת פעולה רגילה 'אזהרה'
אמור להיות בסדר. מידע נוסף מדווח ברמה 'מידע' ו-'debug'.

נתון קטן לגבי הזרימות שנאספו, כמו גם שגיאות מדווחות בסוף
כל מרווח ל-syslog עם 'מידע' ברמה.

דוגמאות

תואם עם sfcapd 1.5.x הישן:
sfcapd -w -D -l /data/spool/router1 -p 6343 -B 128000 -I נתב 1 -x '/path/some_app
-r %d/%f' -P /var/run/sfcapd/sfcapd.router1

שולח מופעל באופן סלקטיבי:
sfcapd -גובה -w -D -n נתב1,192.168.1.10,/data/spool/router1 -p 6343 -B 128000 -P
/var/run/sfcapd/sfcapd.router1

אורים

sfcapd משנה אוטומטית את המנות והבתים בהתאם לקצב הדגימה.

אפילו עם תמיכה בגרסת sflow 4 ו-5, לא כל רכיבי ה-sflow הזמינים מאוחסנים
את קבצי הנתונים. נכון לגרסה זו, sfcpad תומך באותם שדות משותפים כמו
הרחבות, שכן זה נלווה ל-netflow nfcapd עבור netflow גרסה v9. לִרְאוֹת nfcapd(1). יותר
שדות ייתמכו בעתיד.

הפורמט של קבצי הנתונים הוא נתוני nfcapd שנאספו תואמים ללא תלות בגרסה.

מאגר שקע: הגדרת גודל מאגר השקע תלויה במערכת. בעת ההפעלה,
sfcapd מחזיר את מספר הבתים שהמאגר הוגדר בפועל. זה נעשה על ידי קריאה
להחזיר את גודל המאגר ועשוי להיות שונה ממה שביקשת.

השתמש ב-sfcapd באופן מקוון באמצעות שירותי onworks.net