Поднял NetFlow статистику
В
ee00129d063fe568209abfe85fc8b19e92c02913 я пристальнее посмотрел
сколько на каких интерфейсах у меня трафика. И где-то было не очень
понятно что именно там такого большого проходит.
Поднял vnstatd для сбора просто статистики по прошедшим байтам. Чтобы
не на systat или collectd ориентироваться (его я, похоже, удалю за
ненадобностью).
Поднял softflowd на разные интерфейсы, чтобы он генерировал NetFlow v9
пакеты. Почему не ng_netgraph? Лень разбираться как прикрутить его к gif
или wg (вообще выйдет ли?) туннелям. Да и softflowd, насколько вижу,
вообще не видно чтобы отъедал на моих скоростях процессор. v9 вместо
IPFIX использую потому что в nfdump выводе вижу нулевое время, тогда как
на v9 пакетах время выставлено.
Для сбора поднял nfcapd. Увидел в Wikipedia, что для NetFlow, а особенно
для IPFIX, вообще по умолчанию любят применять аж SCTP протокол.
softflowd, судя по man, может по нему отправлять, но nfcapd слушает
только на UDP. Я то отправляю на ::1 адрес, так что пофиг, но для
эстетической красоты было бы прикольно SCTP хоть для чего то использовать.
nfdump-ом уже попросматривал создаваемые журналы, фильтруя по нужным мне
хостам и агрегируя по портам.
Файлы с данными, кстати, очень хорошо сжимаются на уровне ZFS.