Daha önceki yazımızda, sFlow verisinin üretilmesini öğrenmiştik. Şimdi bu verinin veya kurumsal bir ürünün sFlow akışını kontrol etmek için bir yöntem uygulayacağız.
sFlow akışının yakalanması
sFlow akışının yakalanması için öncelikle sFlow trafiğinin doğru bir şekilde yönlendirilmiş olması gerekmektedir. Bu yönlenme doğru ise öncelikle nfdump-sflow paketinin yüklenmesi gerekmektedir.
sudo apt install nfdump-sflow
Bu paketin yüklenmesi ile birlikte artık trafik yakalanabilmektedir. Bunun için hangi port üzerinden trafik izleniyor ise aşağıdaki komut ile birlikte örneğin 6343 portundan izlenmeye başlanabilmektedir.
sudo mkdir -p /opt/nfdumps/
sudo sfcapd -w -D -l /opt/nfdumps/ -p 6343
Bu komut çalıştırılırken verilen yol, trafik akışının dosya olarak kaydedileceği bir yolu vermektedir.
Bu adımla birlikte sFlow akış verisi var ise dosya içerisine veriler yazılmaya başlanacaktır.
Akış verisinin okunması
Kaydedilen dosyaların okunabilmesi için aşağıdaki komut kullanılabilmektedir.
sudo nfdump -r /opt/nfdumps/nfcapd.202306212100
Bu komut ile birlikte UDP paketleri üzerinden trafik verileri izlenebilmekte ve kontrol edilebilmektedir.
2023-06-21 21:04:15.517 INVALID Ignore UDP 176.235.76.17:443 -> 192.168.1.43:56313 0.0.0.0:0 -> 0.0.0.0:0 1.3 M 0
2023-06-21 21:04:45.515 INVALID Ignore UDP 176.235.76.17:443 -> 192.168.1.43:56313 0.0.0.0:0 -> 0.0.0.0:0 1.3 M 0
2023-06-21 21:04:45.515 INVALID Ignore UDP 176.235.76.17:443 -> 192.168.1.43:56313 0.0.0.0:0 -> 0.0.0.0:0 1.3 M 0
Summary: total flows: 38, total bytes: 42.0 M, total packets: 38000, avg bps: 1.2 M, avg pps: 140, avg bpp: 1105
Time window: 2023-06-21 21:00:14 - 2023-06-21 21:04:45
Total flows processed: 38, Blocks skipped: 0, Bytes read: 5760
Sys: 0.002s flows/second: 17560.1 Wall: 0.000s flows/second: 51282.1
Top comments (0)