ja hallo erstmal,... Am Donnerstag 26 Mai 2005 20:41 schrieb Gert Doering: > Hi, > > On Wed, May 25, 2005 at 07:06:20PM +0200, Florian Weimer wrote: > > Die vorgeschlagene Richtlinie scheinen mir vorzuschreiben, da? > > zumindest auf IP-Schicht Flow-Daten erfa?t werden, also Quadrupel > > (Quell-IP-Adresse, Ziel-IP-Adresse, Start-Zeit, End-Zeit). Es ist > > explizit von der Erfassung von "Data necessary to identify the routing > > and destination of a communication" die Rede. > > > > Meinen die das wirklich? Diese Datenmengen manipulationssicher und > > permanent ?ber mindestens 12 Monate zu speichern ist durchaus eine > > Herausforderung. > > Etwa 20 Gbyte pro Tag bei uns - als relativ kleinem ISP.
Wie weit komprimiert ihr eigentlich? Als Start und Endzeit d�rfte bei den meisten ISPs Sekunden nach Mitternacht reichen. (Wobei man durch ein Speichern der Dauer statt der Endzeit einiges Sparen k�nnte. Muss die Aufl�sung eigentlich 1sec betragen, oder reichen 10sec- Intervalle?) F�r Quelle und Ziel wird niemals der volle 32-Bit Adressraum ben�tigt. Durch geschickte Definition von Symbolen f�r Start und Quelle, kann nochmals stark komprimiert werden, bzw. ein Log pro IP erstellt werden - (was wieder 4-12 Bit (je nach Gr��e des Adressraums))weniger pro Eintrag bedeutet, da die Information nicht geloggt werden muss) Was den Speicherplatz angeht, so k�nnten Daten (+ 3 bis 6 Backups) auch dezentral im Firmennetzwerk aufgehoben werden. (Wenn z.B. jede Workstation �der eine 200 GB gro�e IDE-Festplatte verf�gt, kann schon einiges abgelegt werden). Zudem m�sste der eigene Quellport kaum mitgeloggt werden, f�r den Zielport reichen in den meisten F�llen wiederrum Wearte von < 1024... Wenn ich nun in dem Datenwust suchen will, so kann ich Daten zu einem gegeben Zeitintervall relativ effizient zur Verf�gung stellen. Keep smiling yanosz -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
