Linux流量日志

Question

我正在寻找一种通过Linux路由器记录IP标题信息(带有时间戳的src/dest IP )的好的免费方法。

我知道我可以用

tcpdump -i eth0 > log.txt

然而，我正在寻找一些更实质性的东西，因为这将一直运行。

Answer 1

如果你想要详细的日志记录，我建议ulogd。

Answer 2

iptables可以在本地完成这一任务。只要在链的早期放置一个LOG或ULOG目标即可。您还必须使用rsyslogd才能将iptables日志从内核日志流中移出并放入您选择的文件中。这就需要在您使用iptables规则(类似于":FW:")选择的日志文本中添加一些独特的字符，这样您就可以告诉rsyAdd.1-d根据该字符串进行筛选，并将其放入自己的文件中。

Answer 3

为此，我非常喜欢使用阿格斯。它是一个软件包，它杂乱无章地监听一个接口，并写出类似于(Net)流的流数据。它使用客户机/服务器模型，其中服务器守护进程执行捕获和写入数据文件，客户端工具用于读取和分析数据文件。输出文件被写入二进制格式，因此在所包含的工具中需要一些学习曲线。

使用(几乎)默认配置，下面是基本输出的匿名版本：

StartTime            Proto    SrcAddr  Sport          Dir   DstAddr  Dport       SrcPkts  DstPkts     SrcBytes     DstBytes State  
31 Jan 11 23:20:07   icmp     10.8.23.225             ->    10.28.5.232               1        0           60            0   ECO
31 Jan 11 23:48:07    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 01:10:59   icmp      10.15.36.226           ->    10.28.5.232               1        0           60            0   ECO
01 Feb 11 01:11:00   icmp      10.15.36.226           ->    10.28.5.232               1        0           60            0   ECO
01 Feb 11 01:13:45    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 01:36:13    udp      10.18.16.98.5060       ->    10.28.5.232.5060          1        0          454            0   INT
01 Feb 11 03:22:34    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 04:05:51    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ
01 Feb 11 04:48:32    tcp     10.10.238.252.12200     ->    10.28.5.232.27977         1        0           60            0   REQ

它被设计为作为一个服务运行，但是您必须根据系统、存储和吞吐量来找出旋转文件的最佳方法。你应该能够把它指向你的路由器的一个接口，并获得所有你想要的信息。

值得注意的是，tt还附带了大量的助手实用程序，您可以使用这些工具进行有趣的工作，如流量图表、会计和其他类型的分析。有关可以运行的分析类型的详细信息，请参阅NSMWiki页面。