Главная

Saturday, 21 September 2019

Netflow и Syslog рядом.

Всем привет.

Для анализа работы сети полезно анализировать трафик проходящий через маршрутизаторы сети. Полагаю у вас есть парочка пограничных Cisco. Сами Cisco придумали технологию NetFlow. NetFlow представляет собой продвинутую систему сбора статистики о трафике на интерфейсах оборудования Cisco

Для анализа потоков NetFlow я выбрал NetFlow Analyzer. Система NetFlow Analyzer состоит из http-сервера, работающего по умолчанию на порту TCP 8080, к нему подсоединяются браузером для просмотра отчётов и администрирования, и сервера для сбора статистики, работающего по умолчанию на порту UDP 9996. 

Для того чтобы сервер смог собирать статистику с оборудования прежде всего на каждом из устройств Cisco нужно настроить NetFlow-экспорт данных трафика. Эта процедура состоит из двух шагов.

1. На каждом сетевом интерфейсе, с которого будет осуществляться сбор статистики, нужно прописать следующее (предполагается, что мы уже зашли командами conf t/ interface {interface} {interface_number}):

router(conf-if)#ip route-cache flow
router(conf-if)#bandwidth
router(conf-if)#exit

Лучше всего сконфигурировать это сразу на двух интерфейсах роутера, тогда ManageEngine NetFlow Analyzer будет корректно показывать и входящий, и исходящий трафик. Команда bandwidth, указывающая пропускную способность в килобитах/сек не обязательна, но желательна - она используется  в дальнейшем для построения %-ных отчётов и графиков загрузки канала интерфейса.

2. Настройка для роутера в целом сервера сбора трафика  на сервер на котором пашет NetFlow Analyzer. Для этого в конфигурацию добавляются следующие команды:

router(config)#ip flow-export destination 192.168.1.10 9996

Здесь 192.168.1.10 как раз указывают на мой сервер NetFlow Analyzer.

router(config)#ip flow-export version 5

При этом можно использовать параллельно и общепринятый трансфер логов в Syslog сервер. Настройка Syslog-логирования в Cisco не менее простая.

router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

router(config)#logging trap ?
  <0-7>          Logging severity level
  alerts         Immediate action needed           (severity=1)
  critical       Critical conditions               (severity=2)
  debugging      Debugging messages                (severity=7)
  emergencies    System is unusable                (severity=0)
  errors         Error conditions                  (severity=3)
  informational  Informational messages            (severity=6)
  notifications  Normal but significant conditions (severity=5)
  warnings       Warning conditions                (severity=4)

router(config)#logging trap debugging
Можно указать другой уровень логирования, например только ошибки 3.

router(config)#logging facility local2
Желательно чтобы local2 был свободен на сервере Syslog-a.

router(config)#logging 192.168.1.11
Здесь 192.168.1.11 как раз указывают на мой сервер Syslog-a. Для теста я взял простой Visual Syslog Server.

router(config)#exit

Теперь собираем информацию по нашим маршрутизаторам, строим отчеты, анализируем. На сегодня все.

No comments:

Post a Comment

А что вы думаете по этому поводу?