netflow v9 存 nfdump
发送源========>nfcapd========>nfcapd.XXXXX(自己格式)========>排序,聚合结果
||
||nfdump -I -r nfcapd.XXXX
||
\/
traffic,flows,packets等结构体
||
||rrdtool update
||
\/
rrd database
||
||php
||
\/
nfsen前端页面显示
nfdump安装比较简单,关键就注意两点:
(1)安装一些依赖,比如flex,bison等等
(2)configure的时候需要enable带上你所需要的插件或者是nfsen需要的东西
nfsen安装其实也不难,关键很多依赖的模块都要check:
(1)rrdtool
ubuntu,fedora,centos直接yum或者apt-get安装即可,当然除了fedora其他版本可能比较旧
redhat就直接光盘挂载本地yum源,然后再yum安装
假如是想编译源代码安装,大概就先安装以下依赖:
yum install cairo-devel libxml2-devel pango-devel pango libpng-devel freetype freetype- devel libart_lgpl-devel
重要的一点:
rrdtool默认是300S的时间频率,原始nfcapd和nfsen也是300S,所以假如nfsen修改了这个时间的话, rrdtool源代码一定要先修改成300S再安装
(2)MailTools
这是perl的一个模块,用途是alert的时候会发邮件给管理人员,起个报警功能
假如要安装就直接下载source code然后编译安装,或者直接perl -eshell -MCPAN进行安装
假如不想安装就把install.pl里对这个的检查给注释掉,反正也没啥实际好用的
(3)nfsen.conf
这才是安装nfsen最关键的东西,配置了不仅仅是nfsen的东西,而且配置了nfcapd存文件的时间,数据 库目录,文件目录,端口,用户,组,这个没配置对,其他不用搞了,还有比如你要用到 porttracker,surfmap,nfsight这一堆plugin的时候,都必须在这里进行添加,总之把这个文件弄明 白了,基本安装使用没啥问题
(4)web server
nfsen没内置web server,所以必须自己开一个apache或者nginx,配置文件里当然也要指定www目录,将一堆php文件都copy到这个目录下
