Nahrada za fprobe - bylo: fprobe na vetsinu protokolu, vcetne stp, apod

[Dan Lukes]

On 10/18/14 21:32, Radek Krejča:
> ng_netflow ... neni treba cokoliv instalovat ... oproti fprobe mam pouze traffic smerem ven, ale nemam prichozi traffic a za boha jsem nedokazal prinutit, aby jej take monitoroval.

No, to bude zrejme souviset s druhou radkou manualovy stranky, ktera 
pravi, ze "The ng_netflow node listens for incoming traffic"

Na druhou stranu, o kus dal zase rikaji, ze defaultne je ingress 
povoleny a egress zakazany, coz by mohlo znamenat, ze by to mohli jit 
nakonfigurovat i jinak, tedy, povolit zpracovani i v druhem smeru.

Nekdo kdo tvrdi, ze mu to chodi to popisuje tady:
> http://fido7.ru.unix.bsd.narkive.com/uuf0F8db/ng-netflow-on-vlans-ifaces#post2

Pro ty, co uz jsou na cteni azbuky moc mlady uvedu, ze se tam nerika nic 
moc nad ramec "me to pro oba smery funcguje pomoci split takhle".

S negrafem bych se ale trochu bal o vykon. A zatimco BPF, ktery pouziva 
fprobe je "postranni vetev", ktera funguje tak, ze kdyz nestiha tak 
proste zahazuje, netgraph je filtr. Az jim paket projde, tak bude v cili 
- driv ne. Pokud neco po ceste fakt nestiha, tak se nakonec pakety 
zacnou ztracet taky - jenze - v tomhle pripade nejde o kopie.

> Oproti tomu softflowd je na konfiguraci privetivejsi v tom, ze ma dobry manual a vse je vlastne pripraveno. Subjektivne vzato se mi zda, ze sbiralo mene dat, ale neumim si vysvetlit, proc by to tak melo byt

No na to jsem, cirou nahodou, odpovedel uz o kousek vys. softflowd 
ziskava pakety z BPF ...

Se zbytkem ti lip poradi Ivo.

Ale jeho obavy co se tyce objemu zpracovatelnych toku jsou na miste. BPF 
zvlada jen pomerne male toky a jeho pruchodnost dale klesa pokud tam je 
nejaky slozitejsi filtr. 100MHz tim asi umonitorujes s jen malou 
ztratovosti (pokud ti tam nekdo nezacne hnojit velky mnozstvi malejch 
paketu), ale u vetsich rychlosti bych optimistickej nebyl.

U nas se pruchozi data taky monitoruji - me ale zajima jen celkovy objem 
proslych dat (kazdym smerem) pro kazdou jednotlivou IP, je mi vsak uplne 
fuk jakyho typu ty pakety jsou. Napsal jsem si to sam, presne na miru 
tomu co potrebuju, protoze jakakoliv "inteligence" navic by zdrzovala. 
Dneska uz to bezi na 10Gbps. To ti ale asi moc nepomuze ...


Dan