[technology]備忘録: OpenWRT上でNetflowを動かす情報
今日のところは単なる個人的ブクマ代わりの記事です。
自分では全然試してません。
ちょっとタイトルの様な事がやりたくて調査中です。
理由はJubatusのアノマリ検知に食わせて実験するためのデータが何か欲しいからです。
OpenWRTにはsoftflowdというnetflow互換の通信フロー情報収集デーモンがあります。
が、これは収集したフロー情報を定期的にnetflow collectorと呼ばれる情報収集ツールに投げつける仕組み(netflow exporterと呼ぶ)なので受け止める側のnetflow collectorが必要です。
netflow collectorは世の中に色々出ているのですが、たいてい有償の製品で、オープンなものもありますが、カジュアルに動かすには色々面倒そう。
今回はWeb UIとか不要で、集めたフロー情報をテキストベースのログに落とすが期待値。
と思って調べてみると、どうやらnfdumpのいうものを使うと、CLIでnetflow情報を拾って、解析が出来るみたいです。
github.com
mattjhayes.com
softflowdもnfdump(nfcapd)もOpenWRT上で完結して動けると良いのですが、OpenWRT向けのnfcapdのバイナリはなさげなので、上記のWebサイトの如く、別のUbuntuサーバーでnfcapdを動かすしかなさ気です。うちには24H稼働のUbuntuサーバーは立ててないので、とりあえずNote PCにUbuntu Serverを仮想マシンで動かして試すしか無いかな?今晩は遅いので明日以降。
