knqyf263's blog

自分のためのメモとして残しておくためのブログ。

NetFlowコレクタの設定

以前NetFlowエージェントの設定をしたので(Open vSwitchでNetFlow設定 - knqyf263's blog)、今回はNetFlowコレクタの設定をしてみたいと思います。 使うのはnfdumpです。 基本的にmanページとか見れば全部書いてあることをまとめてみました。 つまり無意味です。

環境

NetFlowコレクタ
ツール:nfdump
OS:Ubuntu 13.10

NetFlowエージェントの設定

nfdumpのインストール

Ubuntuの場合はnfdumpがパッケージにあったのでapt-getするだけです。

# apt-get install nfdump

nfcapdの起動

nfdumpをインストールすると、他にも様々なパッケージがインストールされます。 その一覧は公式ページ NFDUMP に書いてあるので読んで頂ければ分かりますが、重要なのはnfdumpnfcapdです。 nfcapdはNetFlowのデータをキャプチャするdaemonで、収集したデータをdumpするのがnfdumpになっております。 ここではnfcapdの起動方法を説明します。

$ nfcapd -w -D -l ~/netflow -p 5566

-wをつけると一定時間で整形してファイルに書き出してくれる。-tでその時間を変えることが出来ます(デフォルトは5分)。-Ddaemonモードで起動。-lはファイルを書き出すディレクトリを指定できます。今回はnetflowディレクトリを作成し、そこに書きだすように指定しました。-pはポート番号で、以前NetFlowエージェントの設定で送信先ポートを5566にしたので、上記のように指定しました。

nfdumpの使い方

nfcapdを起動するとnfcapd.201401141350のようなファイルが書き出されます。 これらを表示するためにnfdumpを使います。 例えば以下の様なコマンドをうちます。

$ nfdump -r ./nfcapd.201401141350 -n 20 -o extended

-rで表示するファイルを指定します。-n 20はFlowの多い順Top 20を表示します。

基本的にmanページにsampleもあるので、色々試してみましょう。