---

Jeg savner et "best practice"-forslag til hvordan man samler
trafikinformation for al trafik, der løber igennem et givent netkort.

Jeg skal bruge afsender og modtager-IP/port samt tidspunkt. Evt. også
"flag" som SYN, RST, ACK etc.

Det skal køre altid (som i døgnet rundt til faciliteten ikke ønskes
længere) og plads er der i princippet nok af.

Tcpdump og tethereal understøtter at skrive til filer fortløbende, men
er det /måden/ at gøre det på?

Nogen gode forslag ellers?

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

---

Steen Suder <sfs_news_spam@suder.dk> writes:

> Jeg savner et "best practice"-forslag til hvordan man samler
> trafikinformation for al trafik, der løber igennem et givent netkort.

Hvad med at bruge iptables' log target? Så vidt jeg kan forstå det du
skriver, så har du ikke brug for payload, men blot nogle informationer
fra headerne.

--
Jacob - www.bunk.cc
Is there life before breakfast?

---

Jacob Bunk Nielsen wrote:

> Steen Suder <sfs_news_spam@suder.dk> writes:
>
>> Jeg savner et "best practice"-forslag til hvordan man samler
>> trafikinformation for al trafik, der løber igennem et givent netkort.
>
> Hvad med at bruge iptables' log target? Så vidt jeg kan forstå det du
> skriver, så har du ikke brug for payload, men blot nogle informationer
> fra headerne.

Det har jeg også overvejet, men så skal jeg lave noget mekanik til at
håndtere rotering af log-filer mv.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

---

I dk.edb.system.unix, skrev Steen Suder:
> Jacob Bunk Nielsen wrote:
> > Steen Suder <sfs_news_spam@suder.dk> writes:
> >
> >> Jeg savner et "best practice"-forslag til hvordan man samler
> >> trafikinformation for al trafik, der løber igennem et givent netkort.
> >
> > Hvad med at bruge iptables' log target? Så vidt jeg kan forstå det du
> > skriver, så har du ikke brug for payload, men blot nogle informationer
> > fra headerne.
>
> Det har jeg også overvejet, men så skal jeg lave noget mekanik til at
> håndtere rotering af log-filer mv.

Du kan bruge ULOG som target og logge til en SQL-database.

Jesper

--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk

---

Hej,

Jesper Krogh <jesper@krogh.cc> writes:
> I dk.edb.system.unix, skrev Steen Suder:
>> Jacob Bunk Nielsen wrote:
>> > Steen Suder <sfs_news_spam@suder.dk> writes:
>> >
>> >> Jeg savner et "best practice"-forslag til hvordan man samler
>> >> trafikinformation for al trafik, der løber igennem et givent netkort.
>> >
>> > Hvad med at bruge iptables' log target? Så vidt jeg kan forstå det du
>> > skriver, så har du ikke brug for payload, men blot nogle informationer
>> > fra headerne.
>>
>> Det har jeg også overvejet, men så skal jeg lave noget mekanik til at
>> håndtere rotering af log-filer mv.
>
> Du kan bruge ULOG som target og logge til en SQL-database.

Men ULOG får man også muligheden for at logge dele af eller hele
payload, hvis der nu skulle være brug for det. Se evt følgende side for
eksempler:

http://www.stearns.org/doc/iptables-ulog.current.html


/Claus A

---

Jesper Krogh wrote:

<KLIP>

> Du kan bruge ULOG som target og logge til en SQL-database.

ULOG er nice og jeg har set på det tidligere.
Dog er SQL-support ikke på tale her.
Hvis "nogen" skulle have interesse i de opsamlede data... ja; så er de
opsamlet og de må så selv søge i dem.
Jeg vil blot nøjes med en stak filer af en given størrelse, som så
ligger på en dertil indrettet disk.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

---

Steen Suder skrev:

> Det har jeg også overvejet, men så skal jeg lave noget mekanik til
> at håndtere rotering af log-filer mv.

Er det et problem? Logrotate klarer det for dig med en minimal
opsætningsfil. Eller er Logrotates rotering af logfiler ikke god nok
til dit formål?

Jacob
--
Der findes kun 10 slags mennesker: Dem der kender til binære
tal og dem der ikke kender til binære tal.

---

Som sagt så er det meget nemt med ulog :)

I iptables for at logge alle nye forbindelser:
$ipt -t filter -A FORWARD -i eth1 -p ! icmp -m state --state NEW -j ULOG
--ulog-prefix "NEW: "

Specificer logfilen i ulogd.conf:
logfile="/var/log/ulog/ulogd.log"

Sæt logrotate op (her gemmer den daglige filer i et år -
/etc/logrotate.d/ulogd)
/var/log/ulog/*.log {
missingok
daily
rotate 365
sharedscripts
olddir /var/log/ulog/old
compress
delaycompress
create 640 root adm
postrotate
/etc/init.d/ulogd restart
endscript
}

Og det er det - jeg har nu en fil for hvert døgn med alle nye forb. med
source ip, dest. ip, sport, dport osv...

/Anders

Steen Suder wrote:
> Jeg savner et "best practice"-forslag til hvordan man samler
> trafikinformation for al trafik, der løber igennem et givent netkort.
>
> Jeg skal bruge afsender og modtager-IP/port samt tidspunkt. Evt. også
> "flag" som SYN, RST, ACK etc.
>
> Det skal køre altid (som i døgnet rundt til faciliteten ikke ønskes
> længere) og plads er der i princippet nok af.
>
> Tcpdump og tethereal understøtter at skrive til filer fortløbende, men
> er det /måden/ at gøre det på?
>
> Nogen gode forslag ellers?
>

---

Anders Bystrup wrote:

> Som sagt så er det meget nemt med ulog :)

Tak for løsningen!

Den vil jeg gerne give en øl for; hvor bor du?

NB
Min email virker.

<KLIP>

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.