{"id":1772,"date":"2015-04-13T11:38:07","date_gmt":"2015-04-13T09:38:07","guid":{"rendered":"http:\/\/blog.sfsoft.it\/?p=1772"},"modified":"2016-01-28T17:24:53","modified_gmt":"2016-01-28T15:24:53","slug":"monitorare-il-traffico-di-rete-con-pmacct-su-ubuntu-aggiornamento-2","status":"publish","type":"post","link":"http:\/\/www.sfsoft.it\/blog\/2015\/04\/13\/monitorare-il-traffico-di-rete-con-pmacct-su-ubuntu-aggiornamento-2\/","title":{"rendered":"Monitorare il traffico di rete con pmacct su Ubuntu (aggiornamento 2)"},"content":{"rendered":"

Aggiornamento degli articoli Monitorare il traffico di rete con pmacct su Ubuntu<\/a> e\u00a0Monitorare il traffico di rete con pmacct su Ubuntu (aggiornamento)<\/a> procedendo all’installazione da sorgenti ed utlizzando la versione 9 della tabella.<\/p>\n

\n

Di sistemi per il monitoraggio della rete<\/a> ce ne sono molti ma alla fine ho optato per il programma che si chiama pmacct<\/em> che descritto molto grezzamente si tratta di uno sniffer di rete che registra il traffico su MySQL<\/em> o PostgreSQL<\/em> o SQLite<\/em>.<\/p>\n

Innanzi tutto si procede all’installazione di MySQL<\/em> se ancora manca ( o PostgreSQL<\/em> o SQLlite<\/em> ):<\/p>\n

sudo apt-get install mysql-server<\/pre>\n
Ora non sto a riprendere la configurazione di MySQL<\/em> in quanto in rete c’\u00e8 abbastanza documentazione in merito.<\/p>\n
Per avere le ultime versioni occorre installare da sorgenti, per\u00f2 per avere la comodit\u00e0 dei pacchetti .deb<\/em> si pu\u00f2 utilizzare il programma checkinstall<\/em> per creare un installazione personalizzata:<\/p>\n
sudo apt-get install build-essential checkinstall<\/pre>\n
Le dipendenze richieste per la compilazione:<\/p>\n
sudo apt-get install libpcap0.8-dev libmysqlclient-dev<\/pre>\n
Si scarica dal sito l’ultima versione e si estrae l’archivio, ad esempio:<\/p>\n
wget http:\/\/www.pmacct.net\/pmacct-1.5.1.tar.gz\r\ntar xzvf pmacct-1.5.1.tar.gz\r\ncd pmacct-1.5.1<\/pre>\n
Si procede alla preparazione dei sorgenti, ricordandosi di abilitare il plugin che ci interessa ( nel mio caso uso MySQL<\/em> ) e infine richiamando chackinstall<\/em> al posto di makeinstall<\/em> verr\u00e0 creato prima il pacchetto .deb<\/em> ed inseguito installato tramite dpkg<\/em>:<\/p>\n
sudo .\/configure --enable-mysql\r\nsudo make\r\nsudo checkinstall<\/pre>\n
Copiare a mano i file di esempio:<\/p>\n
sudo cp -R sql\/ \/usr\/share\/doc\/pmacct\/<\/pre>\n
E’ possibile ora cancellare i sorgenti in quanto se volessimo disinstallarlo essendo stato pacchettizzato .deb<\/em> basta usare dpkg -r<\/em><\/p>\n
Controllare per sicurezza che nel file \/etc\/init.d\/pmacct<\/em> ci sia il percorso giusto al demone, per controllarne l’ubicazione si richiama:<\/p>\n
whereis pmacctd<\/pre>\n
Se il processo \u00e8 avviato stoppare il demone per configurarlo:<\/p>\n
sudo service pmacct stop<\/pre>\n
Creare il database con la tabella versione 9 che al momento in cui scrivo \u00e8 l’ultima, se no basta cambiare il numero:<\/p>\n
mysql -h host -u root -p < \/usr\/share\/doc\/pmacct\/sql\/pmacct-create-db_v9.mysql<\/pre>\n
Impostare i permessi di default ( utente pmacct@localhost <\/em> ):<\/p>\n
mysql -h host -u root -p < \/usr\/share\/doc\/pmacct\/sql\/pmacct-grant-db.mysql<\/pre>\n
Cambiare la password:<\/p>\n
mysql -h host -u root -p<\/pre>\n
USE pmacct;\r\nUPDATE mysql.user SET Password=PASSWORD('nuova-password') WHERE User='pmacct';\r\nFLUSH PRIVILEGES;<\/pre>\n
Configurare il programma:<\/p>\n
sudo nano \/etc\/pmacct\/pmacct.conf<\/pre>\n
Un esempio di configurazione:<\/p>\n
! pmacctd configuration\r\n!\r\n!\r\n!\r\ndaemonize: true\r\npidfile: \/var\/run\/pmacctd.pid\r\nsyslog: daemon\r\n!\r\n! interested in in and outbound traffic\r\naggregate: src_host,dst_host,src_port,dst_port\r\n! on this network\r\npcap_filter: net 192.168.1.0\/24\r\n! on this interface\r\ninterface: eth0\r\n!\r\n! storage methods\r\nplugins: mysql\r\nsql_host: localhost\r\nsql_user: pmacct\r\nsql_passwd: nuova-password\r\nsql_db: pmacct\r\nsql_table: pmacct\r\nsql_table_version: 9\r\n!\r\n! refresh the db every 5 minutes\r\nsql_refresh_time: 300\r\n! reduce the size of the insert\/update clause\r\nsql_optimize_clauses: true\r\n! accumulate values in each row for up to 5 minutes\r\nsql_history: 5m\r\n! create new rows on the minute, hour, day boundaries\r\n!sql_history_roundoff: mhd\r\nsql_history_roundoff: m\r\n! in case of emergency, log to this file\r\n!sql_recovery_logfile: \/var\/lib\/pmacct\/recovery_log\r\n! try to use only INSERT\r\nsql_dont_try_update: true<\/pre>\n
Avviare il demone e controllare sul nostro database i record che vengono inseriti:<\/p>\n
sudo service pmacct start<\/pre>\n
Nota<\/strong>: ho notato che su reti diciamo discrete la mole di dati generata influisce notevolmente sulle prestazioni richieste dal server MySQL<\/em>, ogni tanto \u00e8 cosigliato spostare i dati storici su una copia della tabella meglio ancora su un altro database<\/em>\/host<\/em>.<\/p>\n
Nota 2<\/strong>: se il traffico \u00e8 elevato e si usa il raggruppamento \u00e8 possibile che venga richiesto un server MySQL<\/em> con alte prestazioni di CPU<\/em> e di I\/O<\/em> su disco in quanto le istruzioni di UPDATE<\/em> sono molte, in tal caso ridurre il periodo di raggruppamento ( es. da 30m a 5m ) e usare l’istruzione “sql_dont_try_update: true<\/em>” che usa la memoria per limitare al massimo le istruzioni di UPDATE<\/em>, appoggiandosi a versioni InnoDB<\/em> invece che MyISAM<\/em> delle tabelle.<\/p>\n
Nota 3<\/strong>: Nel caso servisse recuperare i dati dal file di recupero ( recovery_log<\/em> ) utilizzare il comando pmmplay<\/em>:<\/p>\n
pmmplay -d -f \/var\/lib\/pmacct\/recovery_log -U <utentemysql> -P <passwordmysql><\/pre>\n
Se serve solo testare cosa c’\u00e8 nel file senza fare modifiche al database aggiungere il parametro -t<\/em>.<\/p>\n
Sul wiki ufficiale<\/a> per\u00f2 sconsigliano di utilizzare il file di recupero dicendo che sar\u00e0 dismesso ma di urilizzare eventualmente un DB di backup:<\/p>\n
While planning for a recovery method, consider that the logfile method is being discontinued and you are encouraged to use the backup DB option.<\/p><\/blockquote>\n
Nota 4<\/strong>: Nel caso si utilizzi un server MySQL<\/em> esterno controllare che le due macchine abbiano lo stesso timezone<\/em> tramite il comando date<\/em>, in caso siano diversi occorre riconfigurarlo per impostarlo uguale, riavviare anche MySQL<\/em> dopo:<\/p>\n
sudo dpkg-reconfigure tzdata\r\nsudo service mysql restart<\/pre>\n
Nota 5<\/strong>: Nel caso servisse controllare eventuali errori fare riferimento al syslog<\/em>:<\/p>\n
# Gli ultimi log\r\nsudo tail \/var\/log\/syslog\r\n\r\n# Monitor realtime dei log (uscire con CTRL+C)\r\nsudo tail \/var\/log\/syslog -f<\/pre>\n
 <\/p>\n","protected":false},"excerpt":{"rendered":"
Aggiornamento degli articoli Monitorare il traffico di rete con pmacct su Ubuntu e\u00a0Monitorare il traffico di rete con pmacct su Ubuntu (aggiornamento) procedendo all’installazione da sorgenti ed utlizzando la versione 9 della tabella. Di sistemi per il monitoraggio della rete ce ne sono molti ma alla fine ho optato per il programma che si chiama […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[15,3,23],"tags":[16,8,205,20,5],"_links":{"self":[{"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts\/1772"}],"collection":[{"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/comments?post=1772"}],"version-history":[{"count":6,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts\/1772\/revisions"}],"predecessor-version":[{"id":1778,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts\/1772\/revisions\/1778"}],"wp:attachment":[{"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/media?parent=1772"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/categories?post=1772"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/tags?post=1772"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}