Разбор файла syslog
 

Решил я тут на досуге трафик посчитать, да что то не сходится у меня с результатом провайдера :(
Может я чего не учитываю в анализе лога, мож у кого где завалялось описание полей и чего надо считать для получения исходящего/входящего трафика. Роутер - d-link dfl200, syslog сервер - kiwi syslog daemon, разбираю все это безобразие на php (1C было сначала - ф топпку этого тормоза)

Строка лога выглядит как(жирынм выделены поля, по которым считаю):
Возможно, надо считать еще что то кроме закрытых соединений (conn=close)?

ЗЫ. На форуме d-link народ тож жаждет информации по логам, длинки молчат, хатты.

э-э-э... AFAIK на блинковском форуме проскакивала софтина для анализа логов... в принципе, не могли бы Вы выложить сюда кусок лога чтобы там были не только ТСР соединения, потому что я думаю что вы таки что-то не учитывате при разборе и поэтому получаетенапример очень хотелось бы на UDP и ICMP траффик посмотреть ;) кстати, Вы привели кусок лога исходящего трафикаа проавйдер же Вам считает входящий или как?

snark
>а проавйдер же Вам считает входящий или как?
Входящий. Строку я как пример привел.

Тулза проскакивала, но под линух, да и не нужна она, мне бы чуть поподробнее про параметры услышать хочется.

Кiwi в лог поставил писаться только закрытые соединения (conn=close), на все остальное вроде не ограничивал...

э-э-э... у UDP же AFIAK не сущестует такого понятия (/me думает что он 100% прав, т.к. UDP протокол без контроя соединений ;)) поэтому лично я на Вашем месте писал бы _все_, а потом уже решал что стоит учитывать, а что нет...м-м-м... тогда, если Вас не напрягают секьюрные обязательства, включите пожалуйста логирование абсолютно всего и пришлите мне на мыло (дам в ПМ) лог файл... думаю разберемся что к чему ;) я конечно могу взять на "пощупать" оный DFL-200 и на нем сам посмотреть логи, но мое первое знакомство с ним прошедшее под знаменем "хочу фильтровать!" как то не удалось, в отличие от блинковских же свичей, впрочем это уже совсем другая история...

snark
>поэтому лично я на Вашем месте писал бы _все_
Хм, кстати да, отключу-ка я все фильтры на недельку посмотреть что оно там налогирует :)

>у UDP же AFIAK не сущестует такого понятия (/me думает что он 100% прав, т.к. UDP протокол без контроя соединений :))
А как его тогда считать? Все пакеты UDP суммировать? В TCP оно писало в лог, насколько я помню, сначало отдельные пакеты, а потом с conn=close в termsent уже итоговую сумму передачи, вот ее я и беру, а с udp тада как, все считать? Че то не соображу :(

ага ага агаСчитать _все_ пакеты, т.к. используемая Вами методика на мой взгляд не верна... Почему? Потому что...
ТСР - Вы считаете только закрытые соединения, т.е. как я понял те что с флагом FIN, а как же неустановленные соединения, т.е. те которые пришли с флагом SYN и не получили ACK (а пакет то Вам пришел и пров его посчитал, уж будьте уверены, сам такой ;)) или например текущее соединение aka established, т.е. с установленым АСК, но без FIN, например скачивание файла с FTP в процессе оного скачивания, тут я правда бОльше ориентируюсь на netflow и не знаю как логирует это DFL :( но думаю что в Вашем варианте он Вам отдает в акурат последние переданные байты...
UDP - тут надо логировать все пакеты, т.к. некий удаленный сервер только отправляет вам пакеты, а дошли они до Вас или нет - это его ниипет, так же там нет флагов и невозможно узнать состояние соединения. Кстати DNS запросы - это в аккурат UDP траффик ;)
ICMP - тот самый ping и traceroute которым Вы пользуетесь тоже гоняет Вам пусть небольшой, но траффик. Например винда при простом ping imho.ws отправит и примет минимум 4 пакета * 32 байта*=*128 байт, а если при этом еще учесть оверхеды, то траффика будет еще бОльше, впрочем это уже совсем другая история... ;)
В общем - считайте _все_ и кладите все в базу, потом запросами разгребете что надо, а что нет ;)

snark
Ко мне на ты можно ;)
Где udp и icmp используется я в курсе, спасиб за напоминание :)
Щас отключил фильтр по conn=close, появились еще conn=open, их все суммировать получается надо?

Разница в подсчитанном трафике с провайдером разнится от 200 метров до 3 гигов :( При общем где-то 15-20 гигов (все указано за месяц). Не пинги же на столько набежали... :idontnow:

учитывая ник - не удивительно ;) просто это для тех кто читать будет...ну дык я о том и писал в общем то... ведь оно как робит:
запрос на соединение (syn) -> соединение (ack) -> работа (established) -> закрытие соединения (fin)
и IMHO(.ws) надо их все суммировать, а то пулучается что ты считал только последний шаг, а все остальные проходили мимо...сдается мне что из за разной активности юзеров так получается ;) в общем давай ты посчитаешь _все_ за некий N-й период и там посмотрим... кстати, пров статистику что, раз в месяц только предоставляет? неужто почасовой/подневной нету? ведь так проще считать будет... взять допустим лог за 1 сутки (с 00:00:01 и по 23:59:59) и сравнить посчитанное с тем что пров насчитал, тут и выяснится что считать надо...

All
Кто-нить может проверить правильность php скрипта на своем логе?

snark
Маленький кусок лога. Вроде попали все события которые фиксируются, большего нету :(
>запрос на соединение (syn) -> соединение (ack) -> работа (established) -> закрытие соединения (fin)
Похоже все в conn=close суммируется или вообще не показывается :(

Насчет UDP - в логе видно что оно тоже как conn=close может быть посчитано.
+ скрипт от d-link( в винде оказывается оно работает) считает тоже по conn=close:Логи у прова суточные некорректные :(
Эх, поругаться пойти чтоль...

2 Madness - на днях, как разгребу завал на работе _обязательно_ буду ковырять... посмотрим чего можно достать из этого лога ;) скорее всего свой скрипт напишу, пусть будет...

snark
Мой вот.
Юзать: php _traffic.php >result.txt