Последний отсчет

Дмитрий Докучаев aka Forb

Xakep, номер #052, стр. 052-068-3

ARGUS_DEBUG_LEVEL=0

ARGUS_GENERATE_RESPONSE_TIME_DATA=no

ARGUS_GENERATE_JITTER_DATA=no

ARGUS_GENERATE_MAC_DATA=no

ARGUS_CAPTURE_DATA_LEN=0

ARGUS_FILTER_OPTIMIZER=yes

ARGUS_FILTER=""

Небольшие комментарии к настройке для понимания того, как все работает:

ARGUS_DAEMON: эквивалентно параметру -d к бинарнику argus, запускает его в качестве демона, рекомендую поставить;

ARGUS_BIND_IP: можно при желании прибиндить аргус к определенному ip-адресу, делая приложение гибким и удобным для пользователя. В моем случае - нет явного прикрепления;

ARGUS_INTERFACE: параметр прослушиваемого интерфейса, так как у меня FreeBSD, я установил его на глобальный fxp1;

ARGUS_OUTPUT_FILE: путь к файлу, в котором будут сведения о трафике, заснифанном аргусом (впоследствии тулзы аргуса будут обращаться к этому файлу);

ARGUS_SET_PID: создавать pid файл для контроля над аргусом;

ARGUS_GO_PROMISCUOUS: опция для так называемого смешанного режима интерфейса. Устанавливается для корректного сбора трафика.

Я привел наиболее важные опции с их описаниями. Для более полного описания этих и других параметров - man argus.conf. После составления конфы можно стартовать argus. По умолчанию он будет находиться в /usr/local/sbin/argus. После запуска не жди ничего нового, тебя будет ждать только сообщение о (не)успешном запуске демона. От тебя требуется лишь обеспечить автозагрузку демона после ребута системы. Далее тебе нужно освоить функции важных бинарников от argus. Это, в первую очередь, racount, который выводит подробную статистику в байтах для всех протоколов. Выглядит это примерно следующим образом:

[root@stat argus]# racount -r /usr/local/argus/argus.out

racount records total_pkts src_pkts dst_pkts total_bytes src_bytes dst_bytes

sum 7296 208963 101067 107896 101305772 12228304 89077468

Нет, я не оговорился про протоколы :). Используй ключик -a, чтобы вывести статистику по каждому протоколу, а именно tcp, udp, icmp, arp, non-ip и sum. Как переводить из байтов в мега/гигабайты, я надеюсь, ты знаешь. В качестве учебника можешь использовать скрипт, который я описывал чуть выше.

Утилиты ramon, ra и rasort выводят подробный отчет по каждому запросу к серверу. Это может послужить легким инструментом для составления лог-файлов на разный вкус и цвет. Конкретно по тулзам:

ramon - выводит все обращения к интерфейсу, синтаксис ramon -M режим -r файл, где режим может быть TopN или Matrix, а файл - data-файл аргуса. Эта программа похожа на работу top (то есть отслеживание пакетов в real-time);

ra - работает как ramon, только в конце выводит статистику пакетов (как racount). Используй ключик -n, чтобы не резолвить ip-адреса (работает намного быстрее);

rasort - позволяет сортировать запросы по определенному полю (тип пакета, dst, src, протокол). Иногда бывает полезной.

Вот основные утилиты, которые могут тебе понадобиться. Что дальше? Дальше на выбор: либо ты обращаешься к racount за данными для статистики, либо дампишь эти данные ежедневно, например, в sql-базу. Как это сделать, я думаю, ты сообразишь без моей помощи и гибко все настроишь. Я лишь помогаю тебе в верном выборе софта.