data retention

RADIUS, CAPsMAN, The Dude, AirControl, UniFi, Zabbix atd.
felix
Příspěvky: 70
Registrován: 6 months ago

data retention

Příspěvekod felix » 2 months ago

Máte prosím tip na software do Linuxu, který bude odečítat data z portů Mikrotiku pro data retention? Popřípadě ze síťovky přimo na Linuxu. Jen data retention, nic zbytečného. Momentálně používám upravený IPAudit, ale zkusil bych něco nového.
Děkuji
0 x

johnyboi
Příspěvky: 33
Registrován: 10 months ago

Příspěvekod johnyboi » 2 months ago

Netflow funguje na bazi proba/kolektor.

Kolektor (nfsen) si nainstaluj na linux.
Mikrotik umi flow export nastavis jen at ti posila data na kolektor.
0 x

felix
Příspěvky: 70
Registrován: 6 months ago

Příspěvekod felix » 2 months ago

Mám CRS317-1G-16S+ zapojený HW Offload bridge. Je možné nějak rozjet Traffic Flow? (Mirror, copy to CPU...)
Dik
0 x

johnyboi
Příspěvky: 33
Registrován: 10 months ago

Příspěvekod johnyboi » 2 months ago

Obavam se ze cokoliv tam zapnes tak to vypne hw offloading a stratis propustnost. Export bys mnel delat z routru, ne ze switche.
0 x

pgb
Příspěvky: 595
Registrován: 2 years ago

Příspěvekod pgb » 2 months ago

netflow na switchi jako takovém ne (pokud to nechceš tahat přes cpu což fakt nechceš), na switchi jen nastavíš port mirroring, k tomu strčíš nějaký počítač s vhodnou síťovkou a zprovozníš si sondu (např nprobe nebo ipt-netflow a budeš to lokálně posílat do flow-tools nebo zmíněného nfsen)
0 x

felix
Příspěvky: 70
Registrován: 6 months ago

Příspěvekod felix » 2 months ago

Do CRS317-1G-16S+ je zapojený hlavní a záložní Linux server (nat, shaping, retention...) a daný mikrotik používám na přepínání mezi nima. Chtěl jsem jenom mít konzistentní data retention při použití zálohy, tak mě napadlo to brát pomocí netflow z toho mikrotiku. V CRS317-1G-16S+ jsou zapojené venkovní i vnitřní síťovky serverů oddělené pomocí port isolation a používám script na přidání a odebrání portů z bridge. Tak asi bude nejlepší to z těch dvou Linuxů posílat další síťovkou do třetí mašiny jako kolektoru, kde to bude jako dva zdroje. Je toto řešení ok, či se mám stále zabývat tim netflow z CRS317-1G-16S+?
Dik
0 x

johnyboi
Příspěvky: 33
Registrován: 10 months ago

Příspěvekod johnyboi » 2 months ago

@pbg
nj jenze ten marvell co je v crs317 umi jen 1 mirror.
@felix
tak to asi nprobe i nfsen na obou. a posilat si export z lokalniho lokalne + ho posilat naproti. netusim ale jestli nprobe zaznamena traffic pre-nat nebo az post-nat. Hadam ze postnat je pro tebe irelevantni.
0 x

felix
Příspěvky: 70
Registrován: 6 months ago

Příspěvekod felix » 2 months ago

Pustil jsem softflowd na Linux serverech a docela to zatížilo CPU. Tak asi dám mirror na portu s pre-nat daty na CRS317-1G-16S+, zvlášt pc s 10Gbit jako softflowd sondu a posílání na oba Linux servery třeba na nfsen. (Je lepší flow-tools?) Jinak na obou serverech běží IPAudit propojený s mojí databází, takže toto bude spíš pro zálohu a na další analýzu dat.
0 x

johnyboi
Příspěvky: 33
Registrován: 10 months ago

Příspěvekod johnyboi » 2 months ago

felix píše:Pustil jsem softflowd na Linux serverech a docela to zatížilo CPU. Tak asi dám mirror na portu s pre-nat daty na CRS317-1G-16S+, zvlášt pc s 10Gbit jako softflowd sondu a posílání na oba Linux servery třeba na nfsen. (Je lepší flow-tools?) Jinak na obou serverech běží IPAudit propojený s mojí databází, takže toto bude spíš pro zálohu a na další analýzu dat.

jo to je cesta, jenom rikam ze ten marvell umi jenom 1 mirror pokud se nepletu tzn. budes moct sledovat jen jeden port.
0 x

felix
Příspěvky: 70
Registrován: 6 months ago

Příspěvekod felix » 2 months ago

Jakou verzi netflow používáte? Verzi 5, 9 či IPFIX? Nejlépe mi běhá v5, ale co IPV6? U v9 a IPFIX mi přesně nesedí délka spojení.
0 x


Zpět na „Management sítě, služeb a uživatelů“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti