Не отображается необходимая информация

Коллектор работает, собирает фловы. Таблицы отстроены по мануалу, но при их просмотре отображается только анимация ожидания и ничего больше. С графиками тоже самое. Тестировалось на виртуальной машине, возможно дело в этом? Прошу дать рекоммендации.

В downloads довольно старая версия, лучше конечно собрать из исходников (http://xenoeye.com/cgi-bin/fossil.cgi/timeline - выбираете последнюю версию, Downloads: Tarball или ZIP archive) . Но вообще должно работать. По крайней мере в таблицах кнопка "Посмотреть" должна что-то показывать. Напишите, пожалуйста, какой вы сделали фильтр и какие поля для отображения?

Gremlin_groj's picture

Спасибо, что ответили так оперативно. Приятно осознавать, что с проблемой не один на одни. Итак... старая версия, печально. Собрать с исходников конечно можно, но я тестирую на windows платформе. Таблицы имеют вид как в мануале: tbl_main, tbl_datail, tbl_details_proto, tbl_details_sport

Надеюсь мы скоро выкатим бинарники следующей версии.

Но и со старой хоть что-то должно получиться.
Для начала попробуйте создать одну простую таблицу, название неважно, фильтр "daddr in 192.168.0.1/24" (без кавычек, вместо 192.168.0.1/24 - сеть/маска того что вы будете мониторить). Поля таблицы "octets desc, daddr", разбивать по месяцам

Он какое-то время посчитает, потом нажмите на кнопку "Посмотреть". Напишите, пожалуйста, что будет видно

Gremlin_groj's picture

Хоть что-то пошло. Вот что вижу http://radikal.ru/Img/ShowUploadedImg?id=f320c130c6ff43a48329da488bbb5ae5
Можно пробовать следующий этап, тк просто число откетов маловато будет для наглядного анализа. Но уже исходя из этого понятно кто больше всего сидит на линии.

Следующий этап - это сделать из этой таблицы диаграмму. Ткните в Отчеты - "Добавить отчет". Тип отчета - "Обычный", Комментарий - как будет называться отчет (можно ничего не писать), Отчет - напишите какой-нибудь текст (типа "входящий трафик", но можно тоже ничего не писать) и ткните в "Добавить диаграмму".

Тип диаграммы - любой (для начала пусть будет "Круговая"), Источник данных - та таблица которую вы смотрели, с данными, Количество записей - 0(будут выбраны все адреса. Если вы хотите видеть допустим только верхние 100, напишите там 100). Нажимайте "Вставить диаграмму", потом "Добавить отчет". И можете сразу же его посмотреть. Если все будет нормально, напишите что вы хотите увидеть в подробностях, я постараюсь написать как это сделать. Обычно смотрят откуда качал конкретный адрес, иногда порты-источники и протоколы. Но у вас могут быть какие-то свои пожелания.

Да, это вы сделали таблицу входящего трафика (то что летит в сторону вашей сети 192.168.34.0/24). Если нужен еще и исходящий, сделайте точно такую же таблицу, только в фильтре напишите "saddr in 192.168.34.0/24" (saddr вместо daddr, трафик который исходит из вашей сети)

Gremlin_groj's picture

Диаграмма нормально смотрится. Теперь в глубину. Я бы включил максимальный функционал, чтобы знать, что вообще можно, и по мере отсеял менее важные параметры. Тоесть для начала можно попробовать по каждому IP, то что обычно и смотрят: откуда качал конкретный адрес, порты-источники и протоколы.
За исходящий траффик тоже спасибо. Сделаю по аналогии

Gremlin_groj's picture

Упал модуль коллектора, и отказывается запускаться:
Can't read configuration file '/usr/local/etc/xenoeye.conf', line 21445033701933
055

О, интересно. Мы его под Windows не очень гоняли, спасибо за баг-репорт.

Похоже, он потерял ключ -c, там должен быть путь к конфигурационному файлу (не /usr/local/etc/xenoeye.conf). Вы его из служб перезапускаете? Там вроде бы должны быть видны все параметры командной строки. В крайнем случае его можно переустановить поверх (или вообще удалить и установить заново), данные не должны потеряться, их нужно удалять отдельно.

Напишите, если не сложно, больше подробностей, попробуем разобраться. Версию Windows, битность (32/64), в какой момент он упал, как вы его перезапускаете.

По поводу детализации отчетов. Сначала вам нужно сделать таблицы такого вида: фильтр такой же как и у "основной" таблицы (daddr in 192.168.34.0/24), поля "octets desc, daddr, saddr". Это заклинание обозначает что будут агрегироваться октеты, адреса на которые шел трафик и откуда шел. Если вам нужны порты, делаете еще одну таблицу, тот же фильтр, поля "octets desc, daddr, sport". Для подробностей по протоколам - еще одну таблицу, поля "octets desc, daddr, proto".

Потом делаете отчет, тип отчета "подотчет". В него вставляйте диаграммы, друг за другом. Источники данных - вот эти подробные таблицы. Для диаграммы с внешними адресами (да и портами) лучше ограничить количество записей (поставить не 0).

Следующий шаг - нужно изменить "основной отчет". Добавьте туда новую диаграмму (потом удалите старую). В новой оставьте те же параметры что и были в старой (тип, источник данных), но поставьте пипку "Интерактивная диаграмма" и укажите на отчет с подробными таблицами. После этого должны заработать двухуровневые отчеты. Тыкаете в адрес на основной таблице - переходите в отчет с подробностями по этому адресу (откуда шел трафик, порты и протоколы).

Можно сделать многоуровневый отчет. То есть тыкаете сначала в адрес, попадаете в подробности, тыкаете допустим в протокол, получаете подробности именно по этому протоколу (и адресу, который выбрали вначале). Но такое нужно в каких-то специальных случаях, наверное. Если вам нужно, напишите, я распишу логику подробнее.

Сейчас мы добавили еще немного возможностей, по тычку в адрес можно посмотреть во что он резолвится, или whois про него, но в той версии которая у вас этого вроде бы нет

Gremlin_groj's picture

Таки да. Запускал просто исполняемый модуль без ключей. Службой с ключём запустилось (отстрою автоматический перезапуск при падении).

Windows Server 2008 R2 x64. Упал где-то во время отстройки отчётов, точно не скажу. В один момент обновлял страницу в браузере и он перестал отвечать. Одним словом решение в службе (чесно говоря не обратил внимание, что он запускается в виде службы)

Добавляю. Еще одна мелкая бага. при добавлении новой таблици она сразу почему-то может не отображатся. Нужно или подождать, или перелогинится, либо перезапустить браузер, немного не удобно.
Всё сделал. Вродебы как более-менее, только протоколы отображаются цифровым индексом (6, 17), а не удобоваримым кэпшеном (наименованием)

С многоуровневым отчётом, да, можно было бы по подробнее. Лучше визуальным алгоритмом если есть.

Сейчас сложно тестировать, тк вышестоящие админы что-то намудрили с фловами, перестали сыпатся. Как возобновятся - продолжу.

Когда можно буде ждать новой версии, или же обновления под win?

Про многоуровневые отчеты и как они устроены наверное лучше будет написать отдельный текст. С неожиданными падениями пока сложно что-то сделать. Мы добавили подробное логгирование, со следующей версии возможно будет виднее когда что-то упало.

С новой версией мы пока не спешим, как будет так и будет. Если хотите, я могу попробовать собрать то что есть под Windows и выложить. Но там, конечно, полно недоделок

Gremlin_groj's picture

Я был бы не против даже побыть альфа-тестером, тк являюсь ведущим системным администратором предприятия на котором с недавних пор за интернет периметр отвечает другая, вышестоящая организация. И админы не дают ничего проме нэтфлоу потока и логов сквида. Кстати, возможно у Вас есть что-то подобное для анализа Squid.

Хорошо, попробую собрать Windows-версию где-то на следующей неделе.

Логи Squid'а мы не анализируем. Есть же анализаторы? Возможно мы будем делать какой-то очень простой DPI. Например, для подробного анализа того же http-трафика. Но это если и будет, то не скоро. Squid умеет (с некоторыми оговорками) заглядывать внутрь https-трафика, мы такое сделать не сможем

Gremlin_groj's picture

Ждем новой сборки. Спаисибо

Gremlin_groj's picture

Просматриваю этот пост как историю некого таска в хелпдеске. Может есть возможность поднять некую helpdesk ticket систему для отработки запросов? Что-бы видеть, что актулаьно и что нет. Тем самым выработать FAQ

dmesg