Traffic Logger v1.0
何杰
jack.237@163.com
一、概述
部署到终端主机上,监控单个主机的所有网络流量,以 flow 为单位统计这些流量的各
类信息,并将它们以 syslog 的格式记录到日志文件中,以待下一步处理。
系统设置了两个特征库。
一是以 flow 为单位的 flow_based 特征库,这个特征库统计单条 flow 的各类详细信息,
并在该 flow 结束后将这些信息记录到 flow.log 文件中去。
二是以主机位单位的 node_based 特征库,这个特征库统计一个时间窗口内所有 flow 总
结信息,并将这些信息记录到 stat.log 文件中去,一条该日志称为一条 stat。
二、操作流程
1、首先设置本机的 IP 地址,例如 172.26.75.114:
2、设置统计 node_based 特征的时间窗口大小,以秒为单位:
3、设置网络数据包的来源,从网卡实时捕获选择 1,如果终端有多个网卡,则继续指
定一个采集网卡,若只有一个网卡,则系统自动选定该网卡;从离线 PCAP 文件读取选
择 2,然后输入要处理的文件名。
4、若选择从网卡实时捕获流量,可以设定系统定时器。定时器以秒为单位,定时器时
间到达后,系统自动停止,比如若需 1 个小时后停止,则输入 3600。输入 0 表示不设
定定时器。
5、系统开始捕获并处理网络报文。每 2s 显示一次状态信息,信息包括:目前 flow 链
表中有多少条 flow,已有多少条 flow 被记录到日志 flow.log 中。当有一条 flow 结束并被记
录下来时,显示一个“[+]”。当一个设定的时间窗口到达时,显示有多少信息被记录到日志
stat.log 中。