traffic pro device und port erfassen, filtern ausgeben

[ThorstenS]

Hi Leute,
ich suche ein Programm, mit dem ich den traffic von vielen BYOD nach dst-Port Nutzung abspeichere und idealerweise endbenutzerfreundlich in einem webinterface auswertbar anzeigen lassen kann. ( date-range, top10 traffic-devices etc). Die Nutzer wissen von der Datenerhebung, eine Einverständiserklärung liegt natürlich vor.

Derzeit nutze ich darkstat, zum Aufzeichnen des Datenvolumens, habe dort aber keine Portzuordnung und speichere jeden Tag als eigene HTML-Seite ab…

Kennt/nutzt einer von euch so ein Programm?
(ntop ist viel zu mächtig und nicht endanwendertauglich)

[mistersixt]

Ein fertiges Tool fällt mir jetzt auch nicht ein, aber mit der "iftop"-Version in Jessie gibt es mittlerweile die Möglichkeit, mit der Option -t den Output als Text auszugeben (ohne ncurses), kombiniert mit -P zum Anzeigen der Ports und man hat schon mal recht viel an Rohdaten. Nun bräuchte man "nu" noch ein Perl-Auswertscript oder sowas, damit man das Ganze dann auch "aufhübschen" kann. Vielleicht hilft es Dir ja weiter...

Gruss, mistersixt.

[ThorstenS]

Danke dir -t kannte ich bis dato noch gar nicht - cool.
Unter jessie geht sowas hier iftop -P -t -s 10, aber ich habe wheezy. Ist keine Lösung für mich :-/

Zum Aufhübschen und Suchen soll man heutzutage Kibana nehmen, habe ich gehört.
Ist aber nicht mal eben gemacht

[mistersixt]

Vielleicht unter Wheezy einfach schnell selbst compilieren, das Tool ist jetzt nicht sooo umfangreich, so dass das normalerweise ohne Komplikationen möglich sein sollte:

http://www.ex-parrot.com/~pdw/iftop/

Gruss, mistersixt.

[ThorstenS]

Das wäre nicht das Problem, ist ja nur ein dget , build-dep und debuild im sauberen chroot entfernt.
Ich bin mer aber sicher, dass es noch bessere tools für diesen Zweck geben wird.

Ich habe in den >50 Netzen jeweils bis 850 devices täglich rumschwirren, da wäre mir ein zeilenweiser Log alle 5 Minuten schon lieber.

Den Einsatz von iftop schätze ich auf der Firewall aber sehr.

[mistersixt]

Vielleicht ist Dein Switch in der Lage, eine passende Auswertung zu liefern, schon mal da geschaut?

[ThorstenS]

autsch, du hast die Wunde erwischt
In einer perfekten homogenen, voll gemanagten Welt wäre das der richtige Weg. Ist hier nicht umsetzbar.

[ThorstenS]

pmacct ist die Lösung, das loggt von sich aus schon in mysql