From a7a40dc150b30297888da95c5d95abb4679d6b21 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Sun, 2 Nov 2025 20:55:08 +0300
Subject: [PATCH] =?utf8?q?=D0=9F=D0=BE=D0=B4=D0=BD=D1=8F=D0=BB=20NetFlow?=
 =?utf8?q?=20=D1=81=D1=82=D0=B0=D1=82=D0=B8=D1=81=D1=82=D0=B8=D0=BA=D1=83?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

В ee00129d063fe568209abfe85fc8b19e92c02913 я пристальнее посмотрел
сколько на каких интерфейсах у меня трафика. И где-то было не очень
понятно что именно там такого большого проходит.

Поднял vnstatd для сбора просто статистики по прошедшим байтам. Чтобы
не на systat или collectd ориентироваться (его я, похоже, удалю за
ненадобностью).

Поднял softflowd на разные интерфейсы, чтобы он генерировал NetFlow v9
пакеты. Почему не ng_netgraph? Лень разбираться как прикрутить его к gif
или wg (вообще выйдет ли?) туннелям. Да и softflowd, насколько вижу,
вообще не видно чтобы отъедал на моих скоростях процессор. v9 вместо
IPFIX использую потому что в nfdump выводе вижу нулевое время, тогда как
на v9 пакетах время выставлено.

Для сбора поднял nfcapd. Увидел в Wikipedia, что для NetFlow, а особенно
для IPFIX, вообще по умолчанию любят применять аж SCTP протокол.
softflowd, судя по man, может по нему отправлять, но nfcapd слушает
только на UDP. Я то отправляю на ::1 адрес, так что пофиг, но для
эстетической красоты было бы прикольно SCTP хоть для чего то использовать.

nfdump-ом уже попросматривал создаваемые журналы, фильтруя по нужным мне
хостам и агрегируя по портам.

Файлы с данными, кстати, очень хорошо сжимаются на уровне ZFS.
-- 
2.52.0