close

現場(環境):CentOS 7.4      套件:Cacti1.1.37、flow-tools 

 


Step 1. 安裝flow-tools套件

# yum install flow-tools -y

安裝完成後,就可以使用flow-capture套件。

接著我們到可以設定netflow explorer的設備上進行調整。
 

Step 2. 網路設備設定

這邊是用Cisco 6509去設定。

因為我們flow-capture預設使用UDP-8818

這邊就跟著設定8818

(config)# ip flow-export destination [flow-capture主機IP] [Port]


這邊有特別說想蒐集哪個vlan/Port的資料。

(config)# ip flow-export source [vlan X]/[Port]


flow-export的版本指定

(config)# ip flow-export version 5


回到安裝flow-capture的主機,可以看到6509確實有將資訊拋到UDP-8818

 

Step 3. 安裝cacti-flowview套件

連結到cacti網址找plugs(https://docs.cacti.net/plugin:flowview)可以看到

在0.8.8版要使用的是flowview-V1.1.1(0).tgz

1.X版以後使用從github拉回來的壓縮包。

這邊如果抓錯檔案會造成後面Cacti做plugins的問題。


#wget  https://github.com/Cacti/plugin_flowview/archive/develop.zip

#unzip develop.zip

#mv plugin_flowview-develop /usr/share/cacti/plugins/

到WEB介面去看一下。

Configuration > Settings > Plugin Management

一般是這樣放進去就好,但會發現下面有錯誤狀況。

主要原因是名稱不正確,這邊要能支援的plugins的名稱是有指定的。

所以幫他更名。

#cd /usr/share/cacti/plugins/

#mv  plugin_flowview-develop flowview

再確認一次就正常了。

接著就可以按齒輪安裝Flowview。


下圖為安裝完成畫面。

 

啟用之前,我們要去調整一下設定值。

Configuration > Settings > Misc

修改一下Flows Directory。 (因為預設資料夾路徑不存在)

 


看你是要建立新資料夾。或者是透過WEB介面指定到期他路徑。

#mkdir -p /var/netflow/flows/completed

建立完成資料夾就可以啟動我們的flowview Plugins。

 

回到剛才安裝的地方。Configuration > Settings > Plugin Management

點選綠色勾勾圖示啟動它。


再來標頭的頁籤就會多出FlowView可以設定。

 

附帶一提:放到0.8.8版本的錯誤。


 

Step 4. 設定

 

依照參考網站內容說。

Device Name部入識別的名稱

Directory這部份,因為一開始已經在Misc設定了家目錄,檔案基本上都會在那邊。

而這裡只是設定再那個家目錄當中的資料夾而已。

設定方法只要直接打名稱<ex:6509>,

var/netflow/flows/completed/6509

如果是還有子目錄的話<6509/01,

var/netflow/flows/completed/6509/01

千萬記得不要一開始就打/6509。

這樣你要去找檔案會變成var/netflow/flows/completed//6509


Allow Host   限制能收取資料的IP,使用預設值0,代表不限制來源IP。

Port的部分,每部設備建議設定不同的Port。(這邊看自己怎麼決定)

Nesting的部分是檔名格式,使用預設的「/YYYY-MM-DD」

Netflow Version則依現況調整,這邊使用跟6509上一樣的Netflow version 5。 

Compress Level,等級越高壓縮率越高,節省硬碟空間,但會犧牲CPU效能(0不進行壓縮)。

Rotation指的是每隔多久要建立新檔,預設是每分鐘。

Expiration則代表這些檔案要保存多久,預設是2天。

*建議每一部設備都設定一個獨立的Listener,並且設定不同的通訊埠(Port),以便於管理。 

 

原本我們是使用flow-tools的flow-capture來進行資料蒐集。

但若要使用flowview則另外需要安裝flowview內的flow-capture。

#systemctl stop flow-capture

#cp -rf /usr/share/cacti/plugins/flowview/flow-capture  /etc/init.d/

#vim  /etc/init.d/flow-capture

原本啟用路徑寫在/var/www/html/cacti下面。

但現在安裝基本上都不會在那邊。

所以依照你安裝的路徑去修改。

這邊是安裝在/usr/share/cacti/

接著啟動服務。就開始執行了。 (這邊啟動一樣是udp-8818)

這邊的start都會去抓取你在plugins上面設定的資料。



如果沒有修改設定會出現找不到檔案的錯誤。

 

服務啟動後就可以看到相關資料進入。

# ls -l /var/netflow/flows/completed/6509/2018-05-03/

 

可以用flow-stat 來看Net-flow封包內容

這邊其實可以很清楚的看到flow的流向&大小。

[...2018-05-03]# cat ft-v05.2018-05-03.232742-0400 | flow-stat -f10

如何產出報表

先看怎麼看,在Filter > Listener部份可以選擇我們剛剛添加的Listeners

選擇後。點選View


就可以再New Flow裏面看到連線的Flow清單

當然剛剛可以看到篩選條件很多,就看自己要依據什麼設定。

有調整出自己喜歡的看法後,按下Save就可以開始把這種Filter方式紀錄下來。


 

除了Table的顯示方式外,還有圖表的產生方式



排成設定很簡單。但前題是要先有設置Filter。

新增排程


新增項目內可以看到有詢問Filter Name,開始時間&多久執行一次。

最下方有個E-mail的部份,表示運作為成後的報告要寄給誰。


 

之後就會依照排程進行運作。

關於FlowView Plugins的介紹就先到這邊。

<本篇完>


 

參考資料:

http://www.netadmin.com.tw/article_content.aspx?sn=1706070005&jump=2

http://www.linuxdiyf.com/linux/10378.html

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 IT001 的頭像
    IT001

    IT001

    IT001 發表在 痞客邦 留言(1) 人氣()

    E-mail轉寄