Agaton.cz

instalace potřených balíčků

yum install flow-tools

spuštění zajistí příkaz

flow-capture -w /var/flow-tools 0/10.20.30.40/1234 -S15 -n24

-w /var/flow-tools  cesta, kam se budou vásledné soubory ukládat
0                   IP adresa (nebo 0) lokálního počítače
10.20.30.40         IP adresa vzdáleného počítače (routeru)
1234                Číslo portu
-S15                Interval ukládání logů (v minutách)
-n24                Interval rotace ukládání výsledných souborů dat (v počtu za den)

Poznámka: ve Fedoře 13 je možné flow-capture spustit přímo přes startovací scripty pomocí "service flow-capture start" a samozřejmě i automatický start zajistit přes "chkconfig --level 2345 flow-capture on". Konfigurace se potom provádí v souboru /etc/sysconfig/flow-capture

V cílovém adresáři se sama vytvoří struktura rok/měsíc/den/soubory. Po dobu načítání dat se tato data ukládají do dočasného souboru mp-v05.rok-mesic-den.cas, jakmile skončí interval udaný parametrem -n24, tak se soubor přejmenuje na ft-v05.rok-mesic-den.cas a založí se nový dočasný soubor. Tím je zaručeno, že i v případě, kdy by se pro ukládání dat použil dlouhý interval (např. -n1), tak se ani při rebootu data neztratí.

Nastavení routeru Mikrotik pro export net-flow:

Zpracování výsledných dat

Data jsou ukládána v binarním, komprimovaném tvaru - jen díky tomu zůstává velikost výsledných souborů v rozumných mezích. I tak je však zapotřebí počítat s poměrně velkými objemy dat - i přes 1GB denně.

Do textového (csv) tvaru se data dají převést pomocí příkazu

flow-export -f2 < ft-v5.2009xxxxxxx > flow.ascii

ovšem tímto způsobem se převede jen obsah jednoho souboru. Pomocí příkazu flow-export se dají data exportovat třeba i přímo do databáze

Archivaci dat je zapotřebí dělat dle zákona po dobu 6 měsíců, při takovémto objemu dat je však zbytečné ji dělat déle. Aby se staré soubory nemusely mazat ručně, je možné je odmazávat automaticky pomocí příkazu flow-expire. Jako parametr se tomuto programu může dávat buď maximální velikost souboru (pro účely archivace nezajímavé), nebo počet souborů. Pokud jako základ vezmeme požadovaných 6 měsíců (pro jednoduchost 182dnů), tak výledná hodnota je 182 * hodnota -n v příkazu flow-capture. Pokud je např. -n24, tak parametr pro flow-expire vychází na 4368. Pro jistotu něco přidáme (4380), takže výsledný tvar je

flow-expire -e4380 -w /var/flow-tools

Tento příkaz bude vhodné umístit do scriptu pro denní údržbu v adresáři /etc/cron.daily

Pro výběr požadovaných dat je nejprve potřeba zadat časové období od - do a použít příkaz flow-cat. Další výběr (dle IP adresy) se pak řeší přes flow-filter. Převod to ASCII (cvs) je pak možný opět přes flow-export, nebo přes flow-print.

Flow-tools používáme jen pro pořeby splnění zákona o archivaci provozních dat, pro žádnou jinou funkci jsme nenašli využití. A pokud si policie s příkazem vyžádá potřebná data, stačí mi popsané příkazy flow-export a flow-cat, případně grep, proto se ani dalšími utilitami z balíku flow-tools ani nehodlám zabývat. Více tedy najdete v manuálových stránkách k flow-tools na adrese http://www.splintered.net/sw/flow-tools/docs/ .

 

Aktualizace:

Zákon o archivaci provozních dat byl zrušen a není tedy již potřeba nadále odečítat a archivovat data, nicméně během doby, kdy jsme tato data archivovali se vyskytlo pár problémů se zákazníky, které jsme vyřešili právě díky tomu, že jsme zpětně mohli dohledat potřebné informace. Proto jsme flow-tools nevypnuli, pouze jsme zkrátili dobu archivace dat z původního půlroku na jeden týden.