22.08.07, Mikolaj Golub <[EMAIL PROTECTED]> написал(а): > > > On Tue, 21 Aug 2007 19:29:48 +0400 Sapytsky Ilya wrote: > > SI> Сам fprobe запущен так: > SI> /usr/sbin/fprobe -ieth0 localhost:555 > SI> но когда делаешь > SI> flow-receive 0/0/555 | flow-print > > SI> flow-receive: setsockopt(size=4194304) > SI> flow-receive: New exporter: time=1187723114 > src_ip=127.0.0.1dst_ip= > SI> 127.0.0.1 d_version=5 > SI> srcIP dstIP prot srcPort dstPort octets > SI> packets > SI> тишина и покой, как будто нет ничего, хотя tcpdump показывает всё как > надо. > > SI> Настройку фактически никакую не делал, в дефолте наверное должно > работать? > SI> Подскажите чего я делаю не так? > > В общем, все скорее-всего работает, а проблема в том, что flow-receive > использует буферизацию вывода. Размер буфера довольно большой -- 32768 > байт. Если пробуете не на реально работающем маршрутизаторе, то нужно > довольно > долго ждать пока он заполнится данными. Для эффективного пополнения буфера > нужно чтоб было много различных соединений.
У меня не маршрутизатор, а fprobe-ng, но наверное это не важно. Проверить, что это действительно проблемы буферизации, можно либо подождав > значительно долго, либо кильнув flow-receive (но не с помощью Ctr-C, > т.к. тогда сигнал посылается и flow-print и он не успевает вывести на > экран, > что ему flow-receive посылает перед смертью). да, так и есть, killall flow-receive и он показал чего-то. :) Теперь буду разбираться чего он там пишет и где там трафик. Кстати, я пользуюсь flow-capture вместо flow-receive, поэтому с такими > проблемами не сталкивался. > Надо попробовать... Вообще flow-tools очень гибкая штука и всех фич еще не прочуствовал... Спасибо!
