Strona 1 z 1

Historia polaczen IP i przegladania

: 20 sty 2017, 14:22
autor: qligowski
Witam,

Potrzebuje 'trackowac' caly ruch i najelpiej odwiedzane strony ktore przechodza przez jeden firewall. Obecnie testowalem zrobilem to tak:
SPAN port na switchu i mirrorowalem caly ruch do linuxowego serwera i tam robilem tcdpump na port 443 i 80 i ustawielm logrotate na caly tydzien. Wiadomo jest to srednio efektywne. Czy jest jakas lepsza i ladniejsza darmowa solucja tego problemu ?
Potrzebuje to w zwiazku z jakas regulacja tu w UK ze kazdy ISP musi logowac histore ruchu.

Re: Historia polaczen IP i przegladania

: 20 sty 2017, 16:06
autor: lxs
Możesz skonfigurować logowanie zaczynania i kończenia każdego połączenia do zewnętrznego serwera syslog. Widziałem już kilka takich implementacji. Do tego logowanie NATów.

Re: Historia polaczen IP i przegladania

: 20 sty 2017, 17:34
autor: psles
Netflow?

Re: Historia polaczen IP i przegladania

: 21 sty 2017, 15:39
autor: eljot
Netflow to podstawa. Jeżeli chcesz logować też http to np. justniffer/httpry. Co chcesz zbierać z ruchu https??

Re: Historia polaczen IP i przegladania

: 22 sty 2017, 15:38
autor: qligowski
a znacie jakas darmowa wersje netflow pod linuxa ? taka zeby mozna bylo tez logowac historie ruchu do jakiegos pliku .

Re: Historia polaczen IP i przegladania

: 22 sty 2017, 15:43
autor: psles
Bardzo fajny jest nfdump. Instalujesz to na linuxie jako collector. Co potem wybierzesz do obróbki, to inna sprawa. U mnie używamy Splunk, ale z tego co słyszałem, można tez użyć kombinacji logstash, elastic search i kibana.

Re: Historia polaczen IP i przegladania

: 24 sty 2017, 15:24
autor: qligowski
no i psikus skonfigurowalem nfdumpa razem z nfsen i okazuje i sie ze moj produkcjny 4506 nie obsluguje netflow :D

Re: Historia polaczen IP i przegladania

: 25 sty 2017, 15:58
autor: eljot
Możesz na tym linuxie co na niego ruch mirorujesz zainstalować np. YAF, który z capture sam wygeneruje netflow, następnie wyeksportuje do kolektora ( wygooglaj np. YAF + SiLK )

Re: Historia polaczen IP i przegladania

: 20 lut 2017, 11:49
autor: qligowski
Juz zrobilem po swojemu, troche 'dirty' ale dziala. Stworzylem serwis init.d i w niego wsadzielm swoj skrypt. Potem uzylem logrotate zeby przewracal logi i skrpyt ktory to wszsystko backupuje na rd1000 i mailuje rezultat backupu. Dzieki za pomoc i tak :D

Re: Historia polaczen IP i przegladania

: 21 lut 2017, 22:34
autor: wysoki
qligowski pisze:Juz zrobilem po swojemu, troche 'dirty' ale dziala. Stworzylem serwis init.d i w niego wsadzielm swoj skrypt [cut]
no to chwal się tym skryptem...