pmacct是一个开源和免费分发的软件项目,其中包含一个小集合的命令行无源网络监控实用程序,它允许用户导出,测量,分类,账户和总IPv6和IPv4流量。它包括nfacctd,pmacct,pmacctd,sfacctd和uacctd tools.Features在glanceKey功能包括思科NSEL和思科NEL的CGNAT,隧道交通检查的支持,MPLS / BGP VPN的rfc4364的支持,GeoIP的查询,对SQL的支持(触发器,数据预处理,动态表命名),用于通过libpcap的库收集数据,以及通过网络链路/ ULOG,sFlow支持V2 / V4 / V5,NetFlow的V1 / V5 / V7 / V8 / V9和IPFIX。
此外,该软件还能够将数据导出到外部的实用程序,如GNUPLOT,RRDtool的,Net-SNMP的,仙人掌和MRTG的,它适用于IP承载,ISP,CDN,IXP,热点和数据中心环境,可以将数据保存到不同的后端,包括MySQL和PostgreSQL,SQLite的,MongoDB的,BerkeleyDB的,RabbitMQ的,内存中的表和平面文件。
在其他有趣的功能,我们可以提到的BGP ADD-的路径,现场BGP消息记录,通过IS-IS / IGP守护,分类业务流,域间路由平面的可视化倾销BGP表,内部路由的可视化支持通过BGP后台程序,来料的NetFlow,sFlow的和IPFIX数据包复制和可插拔architecture.Getting开始pmacctBeing命令行软件,该pmacct项目只能从控制台/ CLI环境。在你的GNU / Linux发行版安装它,您可以使用内置的操作系统(如Ubuntu软件中心在Ubuntu)或源代码包,这是免费发放的Softoware和软件中心应用项目大局;官方网站(见本文末尾的网页链接)。
如果你决定使用源码包安装pmacct,下载它,将它保存在你的主文件夹,使用存档管理器工具来解压,打开一个终端仿真器应用程序转至您&rsquo的位置,已经提取的存档文件(如CD /home/softoware/pmacct-1.5.0)。然后,运行&lsquo的; ./配置&&让&rsquo的;命令配置和编译程序,其次是&lsquo的;须藤使安装&rsquo的;命令宽安装工具系统。
安装完毕后,添加“ - 帮助 - rdquo;的选择每个包括工具(详见第一款),以查看他们的命令行选项,用法消息,以及各种现实生活中的例子,这将有助于你更好地了解他们的工作和如何使用它们在你的工作。请注意,pmacct在Linux,BSD,Solaris和嵌入式系统上运行
什么在此版本中是新的:
- 介绍bgp_daemon_msglog_file配置指令启用BGP消息/事件流记录。每个日志条目设有一个时间基准,对等体的IP地址,事件类型和序列号(订购事件时的时间基准是不足够的粒状)。 BGP更新消息还包含完整的前缀和BGP属性信息。在QUICKSTART文件示例给出,章XIIf。
- 的BGP表中的规则的时间间隔引入转储。的文件名,它可以包括变量,是由bgp_table_dump_file指令设置的。输出格式,目前仅JSON,可以在将来通过bgp_table_dump_output指令进行设置。转储之间的时间间隔可以通过bgp_table_dump_refresh_time指令进行设置。在QUICKSTART文件示例给出,章XIIf。
- 在对内部变长元介绍支持(可能的候选人都是字符串)。还推出了“标签”原始这是一个可变长度的字符串等价的标记和标签2元。它的值是通过在pre_tag_map一个'set_label'语句设置(见例子/ pretag.map.example)。如果,即。作为JEQ在一个pre_tag_map结果,多个“set_label'应用,然后默认操作是用逗号追加标签和独立的。
- 在pmacct项目已分配PEN#43874。 nfprobe插件:标签,标签2,标签元,现在编码IPFIX利用的pmacct PEN的
- 在移植了预处理功能,打印,MongoDB的和AMQP插件。预处理允许(通过逗号分隔的条件和检查清单)加工聚集,而清除数据,从而导致了强大的一线选择后端。 MINP,minb,MINF,minbpp,minppf检查已经移植目前。作为移植一组新的配置指令的结果相加,即print_preprocess和print_preprocess_type。
- 打印的MongoDB&AMQP插件:如果数据(启动/碱)时间大于提交时间然后在未决队列和缓存清除事件重新插入后放置。从SQL插件的概念移植。
- 在MySQL和PostgreSQL插件:sql_locking_style现在支持关键字"没有"禁用锁定。这种方法可以帮助在某些情况下,例如当补助对整个数据库(要求"表"锁定在MySQL中)不可用
- 在util.c:open_logfile()现在调用mkdir_multilevel(),允许建立中间目录的水平,如果不存在。这使符合所有日志文件print_output_file指令的能力。
- 在介绍[U |分] acctd_flow_tcp_lifetime来定义一个TCP流可以多久仍然无效。这是除了[U |分] acctd_flow_lifetime,允许定义相同的通用的,也就是说,非TCP,流。感谢的Stathis Gkotsis对他的支持。
- 在介绍nfacctd_account_options:如果设置为true账户的NetFlow / IPFIX选项记录以及流动的。 pre_tag_map提供'选项'sample_type值现在选择数据记录从流动的人分裂。
- 在nfprobe插件:用于自定义的原语的支持与其他插件线被引入。利用这种特性,将有可能以增加的NetFlow V9 / IPFIX记录带定制字段(在IPFIX还支持使用PEN)。
- 内置一个最小的API,仅供内部使用,各地AMQP。目标是使重复使用于不同的目的(日志,BGP守护进程转储,AMQP插件等)相同的AMQP结构。 !修复,BGP守护:介绍bgp_peer_info_delete()后,BGP对等体断开,删除/免费BGP信息。 !修复,打印,AMQP,存储器plguins:选择JSON输出,当Jansson的文库json_decref()用于代替游离由JSON对象()分配,以释放存储器。使用免费的()是原产内存泄漏。 !固定,AMQP插件:与其它插件QN(查询号或在箱子AMQP messagess数)在日志消息线现在反映发送到的RabbitMQ消息交换的消息的实数,而不仅仅是在该队列中的所有消息。由于加布里埃尔斯努克报告的问题。 !修复,IMT插件:因未接来电内存泄漏free_extra_allocs()的情况下,所有extras.off_ *为空。感谢蒂姆·杰克逊对他的支持解决的问题。 !修复,pmacctd:如果从pcap_savefile阅读,引进短usleep()函式每个数据缓冲区的价值后,所以有时间的插件来处理/缓存它。 !修复,SQL插件:SQL处理器类型,现在包括原语注册表指数!修复,打印,AMQP和MongoDB的插件:无添加()为empty_pcust allocs!修复,插件钩子:改进检查,以防止管道中的最后一个缓冲区,以插件(plugin_pipe_size)可以去部分出界。 !修复,nfacctd:对IPFIX VLEN纪录提高了操控性。 !修复,nfprobe:SEGV如果定制原语的定义,但阵列结构不分配。 !修复,nfprobe:错误的长度计算在IPv6的模板与PEN领域= 0!修复,plugin_common.c:在P_cache_insert_pending声明结构pkt_data由prim_ptrs指出。 primptrs_set_all_from_chained_cache()现在是安全的,如果prim_ptrs为null。 !修复,nfprobe:解决的情况下共存1)PEN和非PEN定制的原语和2)可变和固定自定义原语。 !修复,plugin_common.c:在P_cache_insert_pending声明结构pkt_data由prim_ptrs指出。 primptrs_set_all_from_chained_cache()现在是安全的,如果prim_ptrs为null。 !修复,lofging:现在登录所选配置文件。 cfg_file通过真实路径(),以便始终记录的绝对路径通过。 !修复,打印的MongoDB和AMQP插件:pm_setproctitle()在分叉作家流程对准SQL插件调用。 !修复,pmacct客户端:它现在可以查询和通配符的原语内部分配了what_to_count_2注册表
什么是新的版本1.5.0 RC1:
- 在介绍自定义的聚集原语:原语经指出了aggregate_primitives配置指令文件中定义。该特征适用于的NetFlow V9 / IPFIX字段只,并用一个预先定义的长度。支持语义是:'u_int'(无符号整数,表示为十进制数),“六角”(无符号整数,表示为十六进制数),“IP”(IP地址),'MAC'(MAC地址)和'STR '(字符串)。随着例子语法都可以在“示例/ primitives.lst'文件。
- 在介绍JSON输出除了表格和CSV格式。适用于注射的第三方工具,JSON已经成为一名自由格式的优势(即相对于CSV不需要表题)。图书馆利用是杨松,请访问:http://www.digip.org/jansson/
- 在介绍的RabbitMQ / AMQP pmacct插件的网络流量数据发布到信息交流。单播,广播,被支持的负载均衡方案。 amqp_routing_key支持动态元素,如peer_src_ip和标签元或配置post_tag值的值,从而实现有选择性的数据传递给消费者。消息编码JSON格式。
- 在pre_tag_map(以及其他地图):“IP”键,这是比较反对的IP地址发起的NetFlow / IPFIX或AGENTID领域的sFlow,现在可以是IP前缀,即。 XXX.XXX.XXX.XXX/NN,所以申请标签报表设置出口商或0.0.0.0/0的适用于任何出口国。非常感谢斯特凡诺Birmani对他的支持。
- 在思科ASA NSEL出口重新引入的支持。以前它只是一个黑客。现在最让思科NEL做正确的工作是被重用:post_nat_src_host(字段类型#40001),post_nat_dst_host(字段类型#40002),post_nat_src_port(字段类型#40003),post_nat_dst_port(字段类型#40004),fw_event(变种nat_event,字段类型#40005)和timestamp_start(以毫秒观测时间,字段类型#323)。
- 在介绍MPLS相关的聚集原语从NetFlow的V9 / IPFIX,mpls_label_top mpls_label_bottom和mpls_stack_depth解码,这样一来就给能见度出口情况在朝着核出口,MPLS接口。
- 在mpls_vpn_rd:原始值现在可以从NetFlow的V9 / IPFIX字段类型#234(ingressVRFID)和#235(egressVRFID)采购。这是除了从flow_to_rd_map文件现有方法来源的值。
- networks_file:AS场现在可以定义为" _",也有用定义(或重写)的内部端口到端口的流量矩阵elments
- 在打印插件:现在支持创建中间目录水平;目录可以因此包含动态的基于时间的元素的变量的数量在给定的路径也被提升至32 8。
- 在打印插件:介绍print_history配置指令,它支持相同的语法,例如,sql_history。当启用时,动态print_output_file名时间相关的变量替换正在使用的print_refresh_time的这个值,而不是确定的。
- 在介绍IP前缀的标签,即。为自己的IP地址空间的自定义分组。该功能可以通过--enable-PLABEL编译配置包时被激活。标签可以通过networks_file来定义。
- 在mongo_user和mongo_passwd配置指令已以支持与MongoDB的认证增加。如果两者都省略了,为了向后兼容,不进行认证;如果只指定了两个中的一个代替,另外被设置为它的默认值。
- 在介绍mongo_indexes_file配置指令集合具有动态名称定义索引。如果集合不存在,它会被创建。指数名称由MongoDB中挑选出来的。
- 在打印插件:介绍print_output_file_append配置指令:如果设置为true允许插件添加到一个输出文件,而不是覆盖
- 在bgp_agent_map:添加bgp_port关键还查找一个NetFlow的代理对一个BGP会话端口(除了BGP会话的IP地址/路由器ID):它的目的是支持场景BGP会话做NAT traverals
- 在peer_dst_ip(BGP下一跳)现在可以通过MPLS_TOP_LABEL_ADDR推断(的NetFlow V9 / IPFIX字段中键入#47)。这个领域可能会取代BGP下一跳时的NetFlow出口出口在支持MPLS的核心接口。
- 在介绍[NF |分| SF | U] acctd_proc_name配置指令来定义核心流程(默认情况下总是设置为“默认”)的名称。这是相当于实例命名插件,但核心进程。感谢Brian泰爱泰为使这件事。
- pre_tag_map:引进关键“flowset_id'标记的NetFlow V9 / IFPIX数据记录基础上的flowset ID值时,flowset头的一部分
- 在pmacct客户:推出“-V”命令行选项来验证版本,建立信息和编译传递到配置脚本选项;也是一个新的-a选项现在允许检索支持聚集原语及其说明。
- 在检查mallopt()已添加的配置时间。 mallopt()调用,以禁用glibc的malloc()的边界检查介绍。
- ! flow_to_rd_map取代iface_to_rd_map,扩大其范围:现在可以映射夫妇BGP / MPLS VPN路由识别(RD)。这是除了现有映射方法基础上。
- !修复,nfacctd,sfacctd:Setsocksize()调用的有效性,现在是通过后续的getsockopt验证()。如果结果不同的是比预期的,则发出一个信息日志消息。
- !修复,建设系统:拆除陈旧检查FreeBSD4并介绍了检查BSD系统。如果在一个BSD系统,-DBSD现在转给编译器。
- !修复,三通插件:现在透明模式的工作在FreeBSD系统。补丁是礼貌由尼基塔V.施罗科夫。
- !修复,peer_dst_ip:未初始化的指针变量是导致意外行为。由于马腾博伦对他的支持解决了。
- !修复,IMT插件:与验证工作不正常-M和-N开关选择性查询。由于Acipia组织提供了一个补丁。
- !修复,sql_common.c:如果配合使用BGP原语拼写正确src_port和dst_port元。由于布伦特凡Dussen和ELISA Jasinska为标记的问题。
- !修复,建设系统:添加库检查在/ usr / lib64下的地方没有链接到需要的/ lib目录OS的
- !修复,打印的MongoDB和AMQP插件:P_test_zero_elem()过时。取而代之的是,高速缓存结构“有效”字段用于提交条目到后端。
- !修复,nfacctd:在NetFlow的V9 / IPFIX,如果没有时间基准指定为记录的一部分,回落到时间基准的数据报头
- !修复,MongoDB的插件:mongo_insert_batch()现在捞出用MONGO_FAIL如果出事了,而在处理该批次的元素,并且发出错误消息。典型的原因,这样的条件是批过大的资源,主要是内存,可用。非常感谢马腾博伦对他的支持。
- !修复,cfg_handlers.c:所有功能解析配置指令,并期望字符串参数,现在呼吁lower_string(),所以作为不区分大小写
- !修复,IPv6的&NetFlow的出口IP地址:在启用IPv6,NetFlow的出口IP地址写为IPv4映射的IPv6地址。这是创作的地图时,由于根据IPv6功能是否启用与否的“IP”字段将发生变化造成混乱。这是现在固定,并映射IPv4的IPv6地址,现在内部转换为普通的IPv4的。
- !修复,nfacctd:NetFlow的V9 / IPFIX源/目的节点ASN信息元素已发现混合起来,现在在正确的顺序
什么的0.14.0版本是新的:
- 在该版本集成了IS-IS守护进程正在运行作为集电极芯的过程中的并行线程。
- 在它实现了一个单一的L2 P2P邻居关系,即通过GRE隧道,P2P您好,CSNP,PSNP和,不发送任何LSP的信息出来。
- 在一个新的聚集原始“VLAN时”是为了支持对会计以太网帧的EtherType字段介绍。
- 在支持ACL的生成样品博科匹配(sFlow的样本类型:企业:#1991年,格式:#1),现在也推出了
- 在一些错误修正也包含在这个版本。
什么是版本0.14.0 RC3新:
- 在该BGP守护现在拥有BGP的实现/ MPLS的VPN(rfc4364):它相关情侣路由标识符(RD)值 。
- 在打印插件现在可以编写网络流量数据平面文件(print_output_file)担纲格式化或CSV输出,动态文件名,历史故障和触发器。
- 在pmacctd现在支持DLT_LOOP链路类型(即OpenBSD的通道接口)。
- 在一些增强功能uacctd守护程序和其他次要的新功能和杂项修正都包括在内。
什么是版本0.14.0 RC2新:
- 系统sampling_map功能已经出台,允许定义静态流量采样映射。
- 在的NetFlow v9的进一步工作/ IPFIX抽样包括16位SAMPLER_IDs支持(针对看到IOS-XR),支持(FLOW)_SAMPLING_INTERVAL领域的的NetFlow V9 / IPFIX数据记录的一部分。
- [NS] facctd_as_new和[NS] facctd_net均配备了新的"后备"选项查找BGP有关的原语对BGP第一,如果没有成功,对出口的协议。
- 在其他次要的新功能和杂项。
- 在修复也包含在这个版本。
什么的0.12.5版本是新的:
- 在nfacctd的pmacct NetFlow采集器,得到了增强以支持NAT L3 / L4字段(IPFIX字段类型225,226,227,228,281,和282),思科ASA的NetFlow V9 NSEL(字段类型40001,40002,40003,40004 152,153和323)和应用程序分类(调心思科NBAR,NetFlow的V9集成)。
- 在该探头的NetFlow插件,nfprobe,引入了出口的IPv4 / IPv6的NetFlow V9模板。
- 在该BGP线程现在支持IPv6传输和映射到的sFlow / NetFlow的代理商; BGP对等体的信息被链接到用于高速缓存目的的状态表,这导致良好的CPU积蓄在更大的部署。
什么的0.12.4版本是新的:
- 在BGP守护进程:一个新的存储模式由介绍其中IP前缀作为BGP共享同行肋骨 - 领先的一贯节省内存,每当多个BGP对等的出口全表由于信息几乎完全重叠。所需的IP查找的最长匹配的性质,提高查找算法的BGP对等意识。
- 在更新INTERNALS文件,支持估计守护进程的内存占用。
- 在BGP守护:新bgp_table_peer_buckets配置指令介绍:每对路由信息连接到IP前缀,现在散列到桶冲突链。此参数设置,例如哈希结构桶的数量;该值直接关系到预期的BGP对等体的数量,不应该超过该数额,并最好设置为同龄人的预期数量的1/10。
- 在nfprobe:支持已经加入到出口的方向场(NetFlowv9字段类型#61);它的值,0 =入口1 =出口,通过nfprobe_direction配置指令来确定。
- 在nfacctd:思科ASA推出支持字节计数,NetFlow的V9字段类型#85。由于拉尔夫赖纳茨对他的支持。
- nfacctd:改进的流动识别试探法的情况下,其中PV4 / IPv6的/输入/输出数据的相同NetFlowv9模板中被合并。感谢卡斯滕SCHOENE对他的支持。
- 修正,BGP守护程序:如果指向一个不存在的下一跳bgp_nexthop_followup不正常工作
- 修正,nfv9_template.c:忽略不支持的NetFlow v9的字段类型;改进模板记录。由于拉尔夫赖纳茨对他的支持。
- 在修复,打印插件:接口和网络掩码的支持已经增加。从签约。数值变量输出转换为无
什么是0.12.3版本,新的:
- 在'导向'聚集原始已实施提供支持为802.1p优先级。集合是通过sFlow的,libpcap的和ULOG支持;出口是通过sFlow的支持。
- 在BGP守护进程:TCP MD5签名来实现。新的“bgp_daemon_md5_file”配置指令被添加定义同行的目的和他们各自的MD5密钥,每行一个,CSV格式。该地图是增值在运行时:现有的MD5键通过使用setsockopt(),新的安装按新提供的地图上删除。添加“的例子/ bgp_md5.lst.example”样图。
- 在BGP守护程序:为RFC3107(SAFI = 4标签信息)增加了支持,使接收带标签的IPv4 / IPv6单播前缀
- 在nfprobe,sfprobe:推出交通方向的概念。其结果是,[NS] fprobe_direction和[NS] fprobe_ifindex配置指令已得到执行。
- [NS] fprobe_direction定义通信方向。它可以通过静态'的'或'出来'的关键字定义;值也可动态地通过一个pre_tag_map(1 =输入,2 =输出)由“标记”和“TAG2”的关键字来确定。
- [NS] fprobe_ifindex无论是静态地“标签”和“标签2”的关键字手段接口索引(ifIndex的)给定的[NS] fprobe通过对一个pre_tag_map查找插件或半动态关联。
- sfprobe:sfprobe_ifspeed配置指令介绍,旨在静态的接口速度关联到一个sfprobe插件
- 在sfprobe:交换机扩展头的支持增加。促成这种发展是'导向'和输入/输出方向的支持。而VLAN信息已经支持为聚集原始的。
- 在sfprobe:用于反样本的多个接口添加支持。采样功能已经被带到了插件,使反样品可填充实际字节/包的流量水平。 ! nfprobe,sfprobe:发送缓冲区大小现在对齐plugin_pipe_size,如果指定,提供一种方式来调整缓冲区的情况下持续出口。 !修复,addr.c:pm_ntohll()和pm_htonll()程序改写。这些旨在改变64位变量字节顺序。 !修复,BGP守护程序:为IPv6全局地址/链路本地地址的下一跳为MP_REACH_NLRI解析的一部分支持。 !修复,cfg_handlers.c:bgp_daemon和bgp_daemon_msglog分析是不正确的,即。如果指定为'假'启用。由于布伦特凡Dussen报告的问题。 !修复,bgp.c:发现造成丢失选择清理一个CPU猪的问题()描述符向量。 !修复,pmacct.c:in_iface / out_iface并错误地倒在&QUOT保护的部分在里面; - 禁用-12"开关。由于布伦特凡Dussen报告了问题。
什么的0.12.1版本是新的:
- 在输入/输出接口(SNMP索引)现在已经本地实现的;它因此不需要再穿过(预)标签的基础设施。作为结果的两个聚集元正介绍:“in_iface'和'out_iface” 。
- 支持源/目的IP前缀口罩是通过两个新的聚集元介绍:src_mask和dst_mask。这些人口的定义[NF |科幻|发短消息| U] acctd_net指令:的NetFlow / sFlow的协议,BGP,网络文件(networks_file)或静态(networks_mask)是有效的数据源
- 在一个普通的隧道检查的基础设施已经发展到双方受益pmacctd和uacctd守护进程。处理程序通过配置文件中定义。一旦启用守护进程将占到在隧道头,而不是信封基础。目前唯一支持的隧道协议是GTP,所述的GPRS隧道协议(其可以被配置为:" tunnel_0:GTP,&QUOT)。多达8个不同的隧道栈和高达每堆4层隧道的支持。首先匹配栈,第一匹配层获胜。
- uacctd:为MAC层支持已经增加了对网络链路/ ULOG Linux的数据包捕获框架
- 在“nfprobe_source_ip”功能介绍:它允许选择的IPv4 / IPv6地址用于数据包的NetFlow出口集
- 在nfprobe,sfprobe:网络掩码现在通过NetFlow和sFlow的出口。 “pmacctd_net'和它的等效指令定义如何填充src_mask和dst_mask值。 !清理,nfprobe / sfprobe:数据源'src_as'和'dst_as“元现预计将始终明确地定义(符合怎样”src_net'和'dst_net“原语的工作)。看到升级文档的(有限)的向后兼容性的影响。 !更新SQL文档:SQL / README.iface指导对“in_iface'和'out_iface'元; SQL / README.mask指导对“src_mask'和'dst_mask'元; SQL / README.is_symmetric指导对“is_symmetric”原始。 !修复,nfacctd.h:源和目的网络面具被扭曲了的NetFlow V5出口结构的定义。受影响的版本是:0.12.0rc4和0.12.0。 !修复,nfprobe_plugin.c:l2_to_flowrec()缺少了一些变量声明时,包被配置为编译与--disable-12。由于布伦特凡Dussen报告的问题。 !修复,bgp.c:bgp_attr_munge_as4path()返回代码是没有定义的一些情况。这是导致一些BGP消息被标记为畸形。 !修复,sfprobe:创建一个虚拟MAC层每当这是不包括作为捕获分组的一部分。此行为已更改和头协议,现在设置为11(的IPv4)或12(IPv6)的相应。感谢尼尔·麦基为指向的问题。 !解决方法是,建立子系统:PF_RING启用的libpcap是不是由于pcap_dispatch缺少公认的()。这已经得到解决。
评论没有发现