Відстеження статистики для кожного правила за допомогою міток (Labels)

Послідовну інформацію ви отримуєте з відповідних даних журналу

заснованих на відстеженні руху пакета в часі В інших контекстах, послідовність або історія сполук менш важлива, ніж агрегація, так як кількість пакетів або байтів, відповідних правилу, надалі очищаються Наприкінці глави 2, ви бачили, як використовувати pfctl-s info для перегляду глобальних лічильників, поряд з іншими даними Для докладної розбивки даних, відстеження глобального трафіку грунтується на правилі з дещо іншою формою команди pfctl, такий як pfctl-vs rules, для відображення статистики правила, як показано далі:

$ pfctl -vs rules

pass inet proto tcp from any to 19202225 port = smtp flags S/SA keep state label &quotmail-in&quot [ Evaluations: 1664158 Packets: 1601986 Bytes: 763762591 States: 0 ]

[ Inserted: uid 0 pid 24490 ]

pass inet proto tcp from 19202225 to any port = smtp flags S/SA keep state label &quotmail-out&quot [ Evaluations: 2814933 Packets: 2711211 Bytes: 492510664 States: 0 ]

[ Inserted: uid 0 pid 24490 ]

Такий формат виведення легко читаємо, і, очевидно, призначений для контексту в якому ви хочете отримати уявлення про те, що відбувається на перший погляд Якщо вказати ще більш докладний висновок з pfctl -Vvc rules, ви побачите той же висновок, з доданими номерами правил З іншого боку, висновок цієї команди не дуже підходить для передачі в сценарій чи програми для подальшої обробки Для вилучення даних в форматі більш зручному для обробки використовуйте правило labels

labels роблять більше, ніж просто визначають правила обробки окремих видів трафіку, вони полегшують вилучення статистики трафіку Додавши labels до правил, ви можете зберегти деякі додаткові дані про частину вашого набору правил

Наприклад, ви можете використовувати маркування (labeling) для вимірювання пропускної здатності в цілях обліку У наступному прикладі ми приєднаємо labels mail-in і mail-out на ваші правила pass для вхідного і вихідного поштового трафіку, відповідно

pass log proto { tcp, udp } to $emailserver port smtp label &quotmail-in&quot

pass log proto { tcp, udp } from $emailserver to port smtp label &quotmail-out&quot

Після завантаження набору правил з мітками, можна перевірити дані використовуючи команду pfctl-vsl:

$ sudo pfctl -vsl

1             2             3                4              5

6             7

8

mail-in   1664158 1601986 763762591 887895

682427415 714091

81335176

mail-out 2814933 2711211 492510664 1407278

239776267 1303933

252734397

Цей висновок містить наступну інформацію:

1 мітка

2 Скільки разів оцінювалися правила

3 Загальна кількість минулих пакетів

4 Загальне число минулих байт

5 Кількість пакетів пропущених в (in)

6 Кількість байт пропущених в (in)

7 Кількість пакетів пропущених з (out)

8 Кількість байт пропущених з (out)

Формат вельми добре підходить для розбору скриптами і додатками

labels накопичує дані з моменту завантаження набору правил до моменту скидання лічильників У багатьох контекстах, має сенс створити завдання cronа яке буде читати значення міток через фіксовані проміжки часу, а потім поміщати їх у постійне сховище

Якщо ви вирішили запустити збір даних через певні проміжки часу, для підрахунку зібраних даних використовуйте команду pfctl-vszl Опція z скидає лічильники після їх підрахунку pfctl, в результаті чого ваш збирач даних матиме періодичні вибірки даних, накопичені останньої запущеної командою або сценарієм

Правила з макросами і списки розширюються до декількох правил Якщо ваш набір правил містить списки або макроси, що мають мітки, результатом в памяті буде ряд правил, поділюваних однаковими іменами міток прикріплених до них Хоча

це може призвести до несподіваних висновків sudo pfctl-vsl, це не повинно стати проблемою до тих пір, поки додаток або скрипт одержує дані може їх правильно интерпритировать шляхом підсумовування підсумків для ідентичних міток

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*