Что я могу использовать для мониторинга и регистрации входящего / исходящего трафика на / с удаленных хостов?

13

Я запускаю веб-сервер (Debian Squeeze на VPS), и графики, предоставленные хостинговой компанией, показывают, что примерно вдвое больше трафика поступает на сервер по сравнению с исходящим трафиком. Меня это немного смущает, поэтому я хотел бы запустить какую-нибудь утилиту регистрации на компьютере, которая будет не только подтверждать цифры загрузки / выгрузки, но и разбивать их по задействованному удаленному хосту, чтобы я мог видеть, Большая часть входящего трафика поступает из одного конкретного источника.

Я подозреваю, что большая часть исходящего трафика проходит через Apache, но входящий трафик может быть в основном через Apache или доминировать над другими скриптами и заданиями cron, поэтому я бы предпочел инструмент, который бы отслеживал трафик на уровне интерфейса, а не что-то внутри Apache ,

В идеале мне нужен инструмент, который я могу оставить включенным на несколько дней, а затем вернуться и получить выходные данные «байтов на удаленный хост» как для входящего, так и для исходящего трафика.

Возможно ли это с помощью стандартного инструмента Linux и небольшого количества настроек (если да, то как?) Или с помощью специальной программы (если да, то какая?)

Ян Рентон
источник

Ответы:

11

Ntop , вероятно, является вашим лучшим решением для этого. Он предназначен для долгосрочной работы и захвата именно того, что вы ищете.
Он может показать вам, какие удаленные адреса используются чаще всего, сколько трафика отправлено в / из, какие протоколы и порты использовались и т. Д. Он может сделать то же самое для исходных хостов, если вы запустите его на маршрутизаторе, чтобы вы могли видеть такая же статистика по местным клиентам.
Затем он использует веб-интерфейс для навигации и отображения этой информации.

NTOP

Патрик
источник
Вау. Все эти годы я использовал ntopкак и topя, я понятия не имел, что у него был режим демона и встроенный веб-интерфейс! В предложении @ ckhan нет ничего плохого, но я приму его, так как считаю, что ntopвстроенный веб-интерфейс проще в использовании, чем tcpdumpWireshark.
Ян Рентон
9

Если у вас есть root, вы можете просто использовать tcpdumpи захватить все. Затем вы можете найти его в Wireshark и проанализировать, сколько душе угодно.

$ sudo tcpdump -i <interface> -w mycapture.tcpdump  

... а затем нажмите Ctrl-C, когда вам будет достаточно. Запустите screenсеанс, если вам нужно отключиться и т. Д.

По умолчанию, он будет захватывать только первую часть каждого пакета, но так как вы в основном заинтересованы в анализе источника, это должно быть хорошо. Тонны других опций tcpdump, если вы чувствуете себя предприимчивым.

РЕДАКТИРОВАТЬ : На самом деле, после загрузки в Wireshark, вы можете просто использовать пункт меню Статистика | IP-адреса ... и получите хорошую сводку трафика по количеству / ставке / процентам:

введите описание изображения здесь

ckhan
источник
Спасибо, это похоже на разумный путь. Знаете ли вы, может ли Wireshark автоматически генерировать вывод, который мне нужен (например, «1000 подключений к серверу A, 967 подключений к серверу B ...»), или мне нужно было бы написать сценарий для создания этой информации из дампа TCP себя?
Ян Рентон
@IanRenton - я думаю, что это будет именно то, что вы хотите, см. Отредактированный ответ. Я считаю , что tcpdumpтакже может выплюнуть пакетные сводки , которые вы могли бы легко grep, wcи т.д.
ckhan
4

А для более сложных метрик вы можете использовать что-то вроде monitorix, в котором есть модули для наиболее распространенных сервисов, и это просто:

apt-get install monitorix

Также у вас есть кактусы с полным графическим интерфейсом RDDtool, но не в режиме реального времени.

И в топ-1 для меня это многофункциональная графана . Его немного сложнее установить и настроить, но он просто идеален, вы можете измерить все в деталях и в режиме реального времени. Нужны некоторые зависимости JVM, графит, шепот, ... немного знаний о JSON, но это работает как очарование, я действительно рекомендую это!

Может быть, хороший конфиг для вашего случая должен быть:

collectd + graphite + whisper + grafana

На самом деле графана изменила мою жизнь в офисе.

Gxt
источник
Шепот вызывает много хитов, ни один из которых не кажется актуальным. За исключением брандмауэра для Android ... Не могли бы вы дать URL? Может быть, у вас есть GitHub репо с вашей настройкой.
oligofren
0

конечно ;)

https://github.com/graphite-project/whisper

Также, если вы хотите получить мини-инструкции по подключению всего: https://linuxboss.wordpress.com/2015/12/03/graphite-grafana/

Питер. К
источник
1
Привет Питер К - добро пожаловать в U & L! Мы предпочитаем объединять ответы по ссылкам, чтобы ответ оставался актуальным, даже если внешняя веб-страница перемещается или удаляется. Можете ли вы предоставить больше информации в качестве ответа?
Джефф Шаллер