Документация NetAMS

• Создается запись о компьютере с IP–адресом 192.168.0.1, ведется учет всего IP–трафика с/на этот адрес

• auto–units 1 type user naming prefix2 «IP — " group CLIENTS

• unit group name CLIENTS acct–policy ip

• unit net name LAN ip 192.168.0.1/24 auto–units 1 acct–policy ip www

• Производится «автодобавление» в конфигурацию всех работающих в сети ip 192.168.0.1/24 юнитов. Юниты получают свои имена на базе двух последних октетов адреса, политики учета ip и www, и помещаются в группу CLIENTS.

• restrict all drop local pass

• unit net name LAN ip 192.168.0.1/24 no–local–pass

• acct–policy ip www

• unit host name pupkin ip 192.168.0.18 acct–policy ip www

• Пользователь Пупкин будет иметь доступ наружу с адреса 192.168.0.18. При этом если юнита с адресом, например, 192.168.0.19, в системе не прописано, этот юнит будет блокирован несмотря на то что адрес проходит по юниту типа «сеть» (192.168.0.1/24). Причина — параметр «no–local–pass».

• unit host name pupkin ip 192.168.0.18 mac 00:03:47:c5:81:33

• acct–policy ip

• Задает MAC–адрес юниту. Если включена проверка соответствия MAC–адресов, то при появлении в сети «вредителя» с другим MAC–адресом, поставившим себе IP–адрес Пупкина, юнит будет блокирован. Также, если пользователи выходят в сеть через PPPoE и RADIUS, то возможно организовать дополнительную проверку на основе этого адреса.

• unit host name pupkin ip 192.168.0.18

• description «Вася Пупкин, д.32 кв.169, тел. 333–22–77»

• email pupkin@gmail.com acct–policy ip

• Значение параметра «description» будут появляться в HTML–страницах со статистикой, что добавляет удобства администратору. Адрес электронной почты юнита используется для сообщения тому о, например, превышении квоты.

• unit host name pupkin ip 192.168.0.18 bw 64K in acct–policy ip

• Пупкин не сможет ничего скачать со скоростью более чем 64 килобита в секунду.

• ВАЖНО! Чтобы ограничение скорости работало, необходимо пересобрать NeTAMS с включенной опцией HAVE_BW. Это делается так: make distclen && FLAGS=-DHAVE_BW make

• unit user name pupkin ip 0.0.0.0 password ABCDEF

• acct–policy ip parent CLIENTS

• Пупкин, имея пустой IP–адрес по умолчанию, может использовать сервис логинов со включенным параметром set–user–ip, для выхода в сеть с любого локального компьютера, используя веб–интерфейс и указанный пароль.

• policy name ip target proto ip

• policy name russian target file /etc/ru–networks.txt

• policy name www target proto tcp port 80 81 8080 3128

• policy name non–www1 target proto ip

• policy name non–www2 target proto tcp port 80 81 8080 3128

• unit host name pupkin ip 192.168.0.18

• acct–policy ip !russian %www non–www1

• Для Пупкина будем считать статистику по IP–трафику, по разубежному трафику, по WWW–трафику, и по всему остальному кроме WWW. Обратите внимание на политику учета non–www1: на самом деле это «весь IP–трафик», однако до учета дойдет только не–WWW–трафик из–за флага "%". Аналогичного эффекта можно добиться, если применить политику «non–www2». Это такая же по сути политика, что и www, однако применена в инвертированном ("!») виде:

• unit host name pupkin ip 192.168.0.18

• acct–policy ip !russian www !non–www2

• Обратите внимание на то что нельзя указывать одно и то же имя политики два раза с разными флагами (например «acct–policy www !www» — неправильно), так как в базе данных статистика сохраняется на основании policy oid, которые должны быть разными

Поддержка этой долгожданной возможности появилась в NeTAMS 3.3.3

При работе ряда сервисов data–source (кроме netflow) есть возможность «заглянуть» вовнутрь IP–пакета и проанализировать протоколы «выше» чем TCP/IP. Так, к примеру, пользовательский запрос к веб–сайту происходит согласно спецификации протокола HTTP/1.1. При должном анализе проходящих пакетов средствами NeTAMS стало возможным «запоминать» запрашиваемую ссылку и сохранять ее в таблице monitor. В комплекте поставки NeTAMS идет «недоразвитый» скрипт, позволяющий как–то просматривать собранную информацию.

Собрать и поставить новую версию NeTAMS

Скачать, как обычно, дистрибутив, распаковать, скомпилировать, установить. При компиляции по умолчанию сборка будет вестись с ключом–DLAYER7_FILTER. Не забудьте установить новые CGI–скрипты, особенно monitor.cgi.

Настроить сервис data–source

Пропишите в конфигурацию нужного сервиса новый параметр: layer7–detect urls

Создать новую политику учета

В конфигурации сервиса processor добавьте описание новой политики:

policy name urls target layer7–detect

Указать политику учета для тех юнитов, которые надо отслеживать

В конфигурации сервиса processor для нужных юнитов добавьте новую политику учета:

unit host name pupkin ip 172.16.1.3 acct–policy urls

или, для всех юнитов

default acct–policy urls

Настроить сервис мониторинга

Как описано в этом документе. Дополнительных действий не требуется. Специально указывать юниты, которые хочется мониторить на layer7, не требуется. Если же вас интересует полный мониторинг какого–то юнита (по–старому), тогда такой юнит указывать все же необходимо.

(Опционально) обновить SQL–таблицу сервиса monitor

Если вы использовали мониторинг ранее (таблица monitor уже существует), ее необходимо обновить:

mysql netams

alter table monitor add column layer7 varchar(80);

Запустить NeTAMS

Работоспособность механизма мониторинга ссылок можно проверить командами:

#netamsctl show ds

host: localhost port: 20001 login: anton password: aaa

cmd: show ds

Data–source ID=1 type LIBPCAP source xl1:0 loop 82356480 average 35 mcsec

Perf: average skew delay 2676 mcsec, PPS: 1060, BPS: 904985

IP tree: 258 nodes [12] + 4 dlinks [1024] + 254 unodes [20] = 12272 bytes

Flows: 1644/2507 act/inact entries (796992 bytes), 3332872 flows sent

HASH: size=65536, 1644 flows hashed, 1622 nodes used, max chain= 2

FIFO: 0/1871 used/ready messages, each 152, total 284392 bytes

Libpcap xl1 : EN10MB: 83735013 packets received, 488394 dropped

Эта команда показывает, что data–source действительно получает трафик и выдает сервису processor информацию о прошедших потоках.

#netamsctl show monitor

host: localhost port: 20001 login: anton password: aaa

cmd: show monitor

service monitor 1

Monitoring to storage: 1

Units:

Packets monitored: 1985769

Эта команда показывает, что сервис мониторинга получает информацию о потоках и пишет ее в базу.

debug ds_ip

debug monitor

Покажет, определяются ли ссылки в проходящем трафике и идет ли присвоение атрибута LAYER7 информации о потоках.

mysql netams

select count(*) from monitor where layer7 != NULL;

Показывает, сколько строк собралось в таблице мониторинга с информацией о ссылках.

• Мониторинг в SQL базу активно пожирает дисковое пространство! Например, за неделю работы программы, при общем количестве прошедшего трафика порядка 40 гигабайт (82 миллиона пакетов), в таблице мониторинга образовалось 2 миллиона записей). Размер SQL–таблицы и индекса составляет 240 мегабайт.

• Статистика по трафику для записанных в мониторинге ссылок относится не с скаченной информации, а к запросам на скачивание. Т.е. не надо обращать на цифры большого внимания. К сожалению, это обусловленно нессимитричностью хэш–функции преобразования данных IP–заголовка в индекс потока, т.е. трафик «запроса» и «ответа» попадет в разные потоки и длина «ответа», т.е. фактически скаченной по данному запросу информации, в таблице мониторинга не учтется. Изменить такое поведение технически очень непросто.