以前NetFlowエージェントの設定をしたので(Open vSwitchでNetFlow設定 - knqyf263's blog)、今回はNetFlowコレクタの設定をしてみたいと思います。 使うのはnfdumpです。 基本的にmanページとか見れば全部書いてあることをまとめてみました。 つまり無意味です。
環境
NetFlowコレクタ
ツール:nfdump
OS:Ubuntu 13.10
NetFlowエージェントの設定
nfdumpのインストール
Ubuntuの場合はnfdumpがパッケージにあったのでapt-getするだけです。
# apt-get install nfdump
nfcapdの起動
nfdump
をインストールすると、他にも様々なパッケージがインストールされます。
その一覧は公式ページ
NFDUMP
に書いてあるので読んで頂ければ分かりますが、重要なのはnfdump
とnfcapd
です。
nfcapdはNetFlowのデータをキャプチャするdaemonで、収集したデータをdumpするのがnfdumpになっております。
ここではnfcapdの起動方法を説明します。
$ nfcapd -w -D -l ~/netflow -p 5566
-w
をつけると一定時間で整形してファイルに書き出してくれる。-t
でその時間を変えることが出来ます(デフォルトは5分)。-D
はdaemonモードで起動。-l
はファイルを書き出すディレクトリを指定できます。今回はnetflowディレクトリを作成し、そこに書きだすように指定しました。-p
はポート番号で、以前NetFlowエージェントの設定で送信先ポートを5566
にしたので、上記のように指定しました。
nfdumpの使い方
nfcapd
を起動するとnfcapd.201401141350
のようなファイルが書き出されます。
これらを表示するためにnfdump
を使います。
例えば以下の様なコマンドをうちます。
$ nfdump -r ./nfcapd.201401141350 -n 20 -o extended
-r
で表示するファイルを指定します。-n 20
はFlowの多い順Top 20を表示します。
基本的にmanページにsampleもあるので、色々試してみましょう。