On Wed, Jan 23, 2002 at 05:06:34PM +0500, Viktor Vislobokov wrote: > > > >> Есть подозрение, что при довольно сильной нагрузке > > > >> ядро просто не успевает протоколировать. Я прав? > > > >> > > > > > > > > Прав. Там кольцевой буфер. Лог сообщения вполне могут теряться. Это by > > > > design, так сказать. > > > > > > Я не смотрел исходники, но исходя из общих соображений увеличение > размера > > > буфера раз в 20 может вылечить ситуацию... > > > > > > > Не вылечит, а отсрочит появление. Кажется мне, что traffic accounting > через > > анализ логов - затея странная. > > Хорошо, тогда посоветуйте. > Есть потребность иметь детальный протокол вида: > > SRC_IP SRC_PORT DEST_IP DEST_PORT SIZE > > Как это можно организовать на Linux-машине, если не анализировать логи? >
Есть net-acct. Сам я не пробовал, но отзывы о нем весьма положительные. Принцип функцонирования похож на trafd'шный, т.е. несколько более здравый, чем разбор логов пакетного фильтра. Но потеря статистики все равно не полностью исключена. -- dg
