Argus-clients:racluster
Jump to navigation
Jump to search
racluster
Description
Racluster est nouvellement introduit dans la version 3 de argus-clients. Il remplace les programmes ramon() et ragator(), anciennement disponibles dans la version 2.
Racluster permet d'approfondir l'analyse en regroupant les paquets par session. Racluster est capable de produire de nombreux rapports, tels que les utilisations MPLS LSP, les comportements des groupes de VLAN, des mesures relatives aux distances IP, la détection de routage en boucle, des chemins traceroute, ainsi que des rapports de disponibilité.
Paramétrage
Vous trouverez dans le répertoire "support/Config/" situé à la racine des sources argus-clients-3.0.0, un fichier racluster.conf que vous pourrez copier dans le répertoire /etc.
Ce fichier de configuration permet de définir, par protocole, l'ordre de tri. Il a l'allure suivante :
filter="icmp" filter="arp" model="proto saddr" filter="tcp or udp" model="saddr daddr proto dport" status=120 idle=3600 cont filter="host 1.2.3.4" model="saddr daddr proto" status=0 idle=3600 filter="dst port http" model="saddr daddr proto dport" status=0 idle=3600 filter="" model="saddr daddr proto" status=0 idle=3600
Utilisation
Paramètres
-m <aggregation object>
Les critères d'agrégation (aggregation object) sont les suivants :
none aucun
srcid identifiant argus source
smac adresse mac source
dmac adresse mac destination
smpls Label source mpls
dmpls Adresse de l'étiquette de destination
svlan Adresse du vlan source
dvlan Adresse du vlan de destination
saddr/[l|m] Adresse IP source (syntaxe CIDR acceptée [l] ou utilisation de masque[m])
daddr/[l|m] Adresse IP de destination (syntaxe CIDR acceptée [l] ou utilisation de masque[m])
matrix/l Adresses IP source et de destination triées / longueur
proto Protocole
sport Port source
dport Port de destination
stos Valeur de byte TOS source
dtos Valeur de byte TOS destination
sttl src -> dst valeur de TTL
dttl dst -> src valeur de TTL
stcpb src -> dst TCP numéro de séquence de base
dtcpb dst -> src TCP numéro de séquence de base
inode Noeud intermédiaire, source des événements ICMP
-M <modes>
Avec la liste des modes supportés suivante :
norep Ne génère pas de statistique d'agrégation pour tous
les flux. Utilisé principalement lorsque la sortie
s'effectue dans un objet unique. Utilisé principalement
pour fusionner des statuts afin de générer des flux
représentant des transactions individuelles
rmon Présente les données sous un format exploitable pour
produire des métriques de type RMON
ind Traite chaque fichier individuellement (sortie immédiate
après chaque traitement de fichier)
replace Remplace le contenu des fichiers fournis en entrée par les
résultats des traitements
-V
Active le mode verbeux. Pour chaque fichier traité, une ligne est affichée
Exemples
Synthèse des flux filtrée sur un hôte
La commande qui suit permet de filtrer les enregistrements de l'hôte 192.168.100.15 (host 192.168.100.15) et au protocole TCP (and tcp).
# racluster -L0 -M norep -u -n -r /nsm/argus/capture.argus - host 192.168.100.15 and tcp | head -n 5
StartTime Flgs Proto SrcAddr Sport Dir DstAddr Dport TotPkts TotBytes State
1254198323.111459 e s tcp 192.168.100.1.3128 <?> 192.168.100.15.46455 39948 27375114 CON
1254198379.970723 e tcp 192.168.100.1.3128 <?> 192.168.100.15.58037 4 264 FIN
1254198500.862148 e i tcp 192.168.100.15.45569 -> 192.168.100.1.3128 26 14721 FIN
1254198500.955578 e tcp 192.168.100.15.45570 -> 192.168.100.1.3128 11 1772 FIN
Synthèse par protocole
La commande suivante permet d'afficher un résumé par protocole :
# racluster -L0 -m proto -r aldeid.ra -s proto spkts dpkts sbytes dbytes Proto SrcPkts DstPkts SrcBytes DstBytes udp 1871 672 164715 89222 tcp 3532952 3685966 1707995754 2143714377 icmp 2080 0 568340 0 arp 1423 1421 62286 82776
Elle fait appel aux paramètres suivants :
- L0 : pour afficher les en-têtes de colonnes
- -m proto : pour agréger les données par protocole
- -r aldeid.ra : lecture du fichier aldeid.ra
- -s proto spkts dpkts sbytes dbytes : spécification des colonnes à afficher (protocole, paquets source et destination, nombre de bytes source et de destination)
Top 10 des flux les plus longs
# racluster -M rmon -L0 -s stime dur proto saddr daddr spkts -nr aldeid.ra | head -n 10
StartTime Dur Proto Host DstAddr OutPkts
06:08:58.918562 2101.42016 tcp 192.168.*.* 64.12.*.* 21279
06:08:58.918562 2101.42016 tcp 64.12.*.* 192.168.*.* 31763
06:09:16.243224 50114.0742 arp 192.168.*.* 192.168.*.* 1139
06:09:16.243224 50114.0742 arp 192.168.*.* 192.168.*.* 1139
06:09:36.846478 0.000551 tcp 192.168.*.* 192.168.*.* 1
06:09:36.846478 0.000551 tcp 192.168.*.* 192.168.*.* 1
06:09:36.850093 0.001421 tcp 192.168.*.* 192.168.*.* 1
06:09:36.850093 0.001421 tcp 192.168.*.* 192.168.*.* 1
06:09:36.855306 0.001686 tcp 192.168.*.* 192.168.*.* 1
Autre exemple
# racluster -M rmon -m saddr -r aldeid.ra -w - | rasort -L0 -r - -m pkts | head
StartTime Flgs Proto SrcAddr Sport Dir DstAddr Dport TotPkts TotBytes State
06:08:58.918562 eI ip 192.168.1.12 <-> 0.0.0.0 7223526 3852527422 CON
08:07:37.256225 eI ip 89.224.6.131 <-> 0.0.0.0 1579619 1073088844 CON
06:33:32.950526 eI ip 88.140.224.214 <-> 0.0.0.0 876702 291257303 CON
06:12:53.728801 e ip 88.162.255.230 <-> 0.0.0.0 785196 90045438 CON
08:07:39.259480 e ip 86.66.176.191 <-> 0.0.0.0 452185 152790379 CON
06:34:18.996382 e ip 94.108.215.28 <-> 0.0.0.0 409343 259316727 CON
06:29:06.608873 eI ip 85.68.111.156 <-> 0.0.0.0 376650 207477555 CON
06:34:45.014069 e ip 84.102.241.39 <-> 0.0.0.0 243026 183421792 CON
09:58:51.267253 e ip 81.66.194.179 <-> 0.0.0.0 222878 111870312 CON