Le script testCollector.sh (dans le répertoire scripts du service netMET) permet de tester les collecteurs ; il faut auparavant démarrer le duplicateur.
Démarrage du duplicateur
La commande
netmet# init.d/NETMET_DUPstart
démarre le duplicateur qui écoute les NetFlow sur le port 8080 et les renvoie sur les ports des collecteurs.
Pour vérifier le bon déroulement de la commande il faut lister le fichier de log.
Les messages notés [I] sont des messages d'information, ceux notés [W] des avertissements et ceux notés [E] des messages d'erreurs
(pour faciliter la lecture nous avons remplacé /home/netmet/netMET_de_test/ par /xxx/).
netmet# sudo grep duplicator /var/log/syslog.log
May 23 16:29:26 local@... /xxx/duplicator/netMETdup[2928]: [I] - Socket opened listener - 192.168.200.200/8080
May 23 16:29:26 local@... /xxx/netMET_de_test/duplicator/netMETdup[2928]: [I] - Socket opened duplicator - 0.0.0.0/33917
May 23 16:29:26 local@... /xxx/duplicator/netMETdup[2928]: [I] - netMETdup duplicate 192.168.200.200/8080 to 192.168.200.200/8081
May 23 16:29:26 local@... /xxx/duplicator/netMETdup[29282]: [I] - Socket opened duplicator - 0.0.0.0/33872
May 23 16:29:26 local@... /xxx/duplicator/netMETdup[2928]: [I] - netMETdup duplicate 192.168.200.200/8080 to 192.168.200.200/8082
May 23 16:29:26 local@... /xxx/duplicator/netMETdup[29282]: [I] - Duplicator netMETdup started
netmet#
Pour s'assurer que la duplication vers les ports 8081 et 8082 est effective, il faut utiliser la commande tcpdump :
netmet# sudo tcpdump -c 3 -n -i lo dst port 8081
Password:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 65535 bytes
17:13:43.155833 IP 192.168.200.200.33917 > 192.168.200.200.8081: UDP, length 1469
17:13:43.155887 IP 192.168.200.200.33917 > 192.168.200.200.8081: UDP, length 1469
17:13:43.155952 IP 192.168.200.200.33917 > 192.168.200.200.8081: UDP, length 1277
3 packets captured
74 packets received by filter
42 packets dropped by kernel
netmet# sudo tcpdump -c 3 -n -i lo dst port 8082
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 65535 bytes
17:13:56.976022 IP 192.168.200.200.33872 > 192.168.200.200.8082: UDP, length 1469
17:13:56.976068 IP 192.168.200.200.33872 > 192.168.200.200.8082: UDP, length 1469
17:13:56.976110 IP 192.168.200.200.33872 > 192.168.200.200.8082: UDP, length 1277
3 packets captured
4138 packets received by filter
4102 packets dropped by kernel
netmet#
Test des collecteurs
Une fois le duplicateur démarré il est possible de tester successivement chaque collecte.
La commande scripts/testCollecteur.sh permet de tester le collecteur dont le nom est fourni en argument («stats» ou «secure»).
Un deuxième argument facultatif permet de spécifier la durée de collecte en secondes.
Pour utiliser cette commande il faut que duplicateur s'exécute (cf. ci-dessus).
La commande lance l'exécution du collecteur, lance l'exécution d'un des scripts provoquant le «vidage» des netflows collectés dans un fichier de collecte
(scripts/STATS4Json_cron4dump.pl pour le collecteur «stats» ou scripts/SECURE4Json_cron4dump.pl pour le collecteur «secure»), puis arrête l'exécution du collecteur.
Une fois la commande testCollecteur.sh terminée il reste à vérifier qu'un fichier de collecte a bien été construit au «bon» endroit en utilisant la commande bin/netMETexp puis vérifier que le collecteur a bien été arrếté.
Une séquence de test du collecteur «stats» est par exemple :
netmet# cd /home/netmet/netMET_de_test
netmet# scripts/testCollector.sh stats
C'est fini, il faut vérifier le contenu du fichier de collecte (avec bin/netMETexp ...)
netmet# ls DATA/2018-11/2018-11-15/
STATS_RENATER todo4netMET_de_test.txt zzaccounting.dmp
netmet# ls -l DATA/2018-11/2018-11-15/
total 856
drwx------ 2 netmet netmet 4096 mai 25 10:28 STATS_RENATER
-rw-r--r-- 1 netmet netmet 89 mai 25 10:28 todo4netMET_de_test.txt
-rw-r--r-- 1 netmet netmet 865402 mai 25 10:28 zzaccounting.dmp
netmet# ls -l DATA/2018-11/2018-11-15/STATS_RENATER/
total 848
-rw------- 1 netmet netmet 865402 mai 25 10:28 zzaccounting.dmp-10-23
netmet# bin/netMETexp -i DATA/2018-11/2018-11-15/STATS_RENATER/zzaccounting.dmp-10-23
-------------------------------------------------------------------------
Metrology IPv4 from Wed-25/05/2016 10:27:51 to Wed-25/05/2016 10:28:01
--
Nb of differents hosts : 17001
Nb of differents bidirectionals communications : 20328
Accounting info. memory size : 1272016
Average memory size of accounting info. by bidirectionals comm. : 54
Average Number of [serv/prot] by bidirectionals comm. : 1.91
-------------------------------------------------------------------------
-------------------------------------------------------------------------
Metrology IPv6 from Wed-25/05/2016 10:27:51 to Wed-25/05/2016 10:28:01
--
Nb of differents hosts : 0
Nb of differents bidirectionals communications : 0
Accounting info. memory size : 96
Average memory size of accounting info. by bidirectionals comm. : -
Average Number of [serv/prot] by bidirectionals comm. : -
-------------------------------------------------------------------------
netmet# bin/netMETexp -H DATA/2018-11/2018-11-15/STATS_RENATER/zzaccounting.dmp-10-23 | head -n 5
1464164871
1464164881
10
193.51.181.109 195.221.83.158 [1900/17](118)
193.51.181.109 147.99.214.5 [6000/6](40)
netmet# bin/netMETexp -H DATA/2018-11/2018-11-15/zzaccounting.dmp | head -n 5
1464164871
1464164881
10
193.51.181.109 195.221.83.158 [1900/17](118)
193.51.181.109 147.99.214.5 [6000/6](40)
netmet# ps -u netmet
PID TTY TIME CMD
netmet#
La commande
netmet# netMETexp –i nom_du_fichier_de collecte
affiche les caractéristiques du fichier de collecte en argument (DATA/2018-11/2018-11-15/STATS_RENATER/zzaccounting.dmp-10-23. dans l'exemple).
La commande
netmet# netMETexp –H nom_du_fichier_de collecte
visualise le contenu du fichier de collecte dont le nom est en argument.
Les trois premières lignes contiennent :
- la date de début de collecte (Unix time)
- la date de fin de collecte (Unix time)
- la durée de la collecte en secondes.
Les suivantes sont de la forme
@src @dst [port dest / protocole] ( nb d'octets ) …
Vous pouvez vérifier qu'il y a bien agrégation sur la source ou la destination.
Il ne faut pas oublier de détruire le fichier de collecte. Ces fichiers peuvent être très volumineux.
netmet# rm nom_du_fichier_de collecte
Il reste à tester le collecteur «secure» :
netmet# scripts/testCollector.sh secure
C'est fini, il faut vérifier le contenu du fichier de collecte (avec bin/netMETexp ...)
netmet# ls -l SECURE/2018-11/2018-11-15
total 2904
-rw------- 1 netmet netmet 2970130 mai 25 11:45 zzaccounting.dmp-11-35
netmet# bin/netMETexp -i SECURE/2018-11/2018-11-15/zzaccounting.dmp-11-35
-------------------------------------------------------------------------
Metrology IPv4 from Wed-25/05/2016 11:45:25 to Wed-25/05/2016 11:45:35
--
Nb of differents hosts : 38377
Nb of differents bidirectionals communications : 102042
Accounting info. memory size : 5011024
Average memory size of accounting info. by bidirectionals comm. : 41
Average Number of [serv/prot] by bidirectionals comm. : 1.07
-------------------------------------------------------------------------
-------------------------------------------------------------------------
Metrology IPv6 from Wed-25/05/2016 11:45:25 to Wed-25/05/2016 11:45:35
--
Nb of differents hosts : 0
Nb of differents bidirectionals communications : 0
Accounting info. memory size : 96
Average memory size of accounting info. by bidirectionals comm. : -
Average Number of [serv/prot] by bidirectionals comm. : -
-------------------------------------------------------------------------
netmet# bin/netMETexp -H SECURE/2018-11/2018-11-15/zzaccounting.dmp-11-35 | head -n 5
1464169525
1464169535
10
152.81.x.y 93.184.x.y [443/6](40)
193.50.x.y 149.5.x.y [80/6](104)
netmet#
Arrêt du duplicateur
netmet# init.d/NETMET_DUPstart
<< Vérification des fichiers de configuration | Documentation | Utilisation de init System V >>
