Linux RH: статистика трафика по процессам (кто-то жрёт много?)
От: Mr.Delphist  
Дата: 13.08.18 12:05
Оценка:
Коллеги, встретилась задача из параллельной вселенной (ибо я всё ж по винде живу)


Есть RedHat-сервачок, на нём бегает какое-то легаси. И вот возникло у ответственных товарищей подозрение, что расход трафика слишком велик для зашедуленых задач, попросили помочь ибо сами вовсе ни в зуб ногой (а те кто ставил это изначально — давно уж где-то).

Хочется получить статистику трафика по процессам или хотя бы по IP/port.

Вариант "посмотреть на раутере" отпал сразу — там тупой DLink-свитчок на приходящем WAN-шланге и всё, никакой маршрутизации акромя статических IP. Провайдер не сильно лучше — умеет выдавать статистику "всего пришло N, всего ушло M" с разбивкой по дням. Поэтому сильное подозрение, что надо разворачивать что-то на самом сервачке (их на самом деле несколько, но по конфигу всё более-менее одинаково). Начал гуглить и чего-то расстроился — всякие collectd умеют не больше чем тот горе-провайдер: "всего пришло на интерфейс, всего ушло с интерфейса". Неужто WireShark придётся юзать? Или я просто не догуглил ещё, ввиду Linux-неопытности? Какие ключевики тут феншуй?
Re: Linux RH: статистика трафика по процессам (кто-то жрёт много?)
От: Слава  
Дата: 13.08.18 12:16
Оценка:
Здравствуйте, Mr.Delphist, Вы писали:

MD>Вариант "посмотреть на раутере" отпал сразу — там тупой DLink-свитчок на приходящем WAN-шланге и всё, никакой маршрутизации акромя статических IP. Провайдер не сильно лучше — умеет выдавать статистику "всего пришло N, всего ушло M" с разбивкой по дням. Поэтому сильное подозрение, что надо разворачивать что-то на самом сервачке (их на самом деле несколько, но по конфигу всё более-менее одинаково). Начал гуглить и чего-то расстроился — всякие collectd умеют не больше чем тот горе-провайдер: "всего пришло на интерфейс, всего ушло с интерфейса". Неужто WireShark придётся юзать? Или я просто не догуглил ещё, ввиду Linux-неопытности? Какие ключевики тут феншуй?


У роутеров бывает возможность зеркалировать весь трафик куда-то. А там где-то уже будет стоять WireShark или его аналоги. Еще хорошо бы взять и настроить на сервере доступ к сети на уровне самих исполняемых файлов/процессов.
Re: Linux RH: статистика трафика по процессам (кто-то жрёт много?)
От: reversecode google
Дата: 13.08.18 12:24
Оценка:
https://www.ntop.org/products/netflow/nprobe/
netflow коллектор и генераторы,
один будет генерить что там на интерфейсе
второй собирать статистику в какую нибудь бд
дальше всякие мордочки которые это все рисуют или анализируют

netstat -anp по моему по процессам посмотреть


вообще трафики уже давно никто не считает
а клиенту мог прийти ддос и он зачитался за трафик, если он на белом айпи
Re: Linux RH: статистика трафика по процессам (кто-то жрёт м
От: vsb Казахстан  
Дата: 13.08.18 12:28
Оценка:
Я не делал, но в iptables можно накрутить много чего. Например создать пустые правила по конкретным программам и смотреть, сколько трафика по этим правилам прошло. тут пример для IP-адресов, но по идее аналогично и для конкретных программ можно сделать. А лучше всего по умолчанию запретить весь исходящий трафик и разрешать для конкретных программ. Потом будет видно, какое правило сколько раз выполнилось.
Отредактировано 13.08.2018 12:29 vsb . Предыдущая версия .
Re[2]: Linux RH: статистика трафика по процессам (кто-то жрёт много?)
От: Mr.Delphist  
Дата: 13.08.18 14:19
Оценка:
Здравствуйте, Слава, Вы писали:

С>У роутеров бывает возможность зеркалировать весь трафик куда-то. А там где-то уже будет стоять WireShark или его аналоги. Еще хорошо бы взять и настроить на сервере доступ к сети на уровне самих исполняемых файлов/процессов.


А вот нету там маршрутизаторов. Тупой свитч: mirror-портов нет, полезных ископаемых нет, населена роботами...
Re[2]: Linux RH: статистика трафика по процессам (кто-то жрёт м
От: Mr.Delphist  
Дата: 13.08.18 14:23
Оценка:
Здравствуйте, vsb, Вы писали:

vsb>А лучше всего по умолчанию запретить весь исходящий трафик и разрешать для конкретных программ. Потом будет видно, какое правило сколько раз выполнилось.


Не вариант ни разу — система продакшн, плюс и так на ладан дышит. Когда там что-то в очередной раз упадёт, толком и не поймёшь — то ли траф отрезали, то ли само померло, ибо "спагетти под линуксом".
Re[3]: Linux RH: статистика трафика по процессам (кто-то жрё
От: Mihas  
Дата: 13.08.18 14:26
Оценка:
Здравствуйте, Mr.Delphist, Вы писали:

MD>А вот нету там маршрутизаторов. Тупой свитч: mirror-портов нет, полезных ископаемых нет, населена роботами...

А на самом сервачке нельзя запустить tcpdump? Собрать результаты в файл и открыть их в WireShark. Я в последем не силен, но кто-то тут намекал, что им можно статистику посчитать.
Отредактировано 13.08.2018 14:27 Mihas . Предыдущая версия .
Re[2]: Linux RH: статистика трафика по процессам (кто-то жрёт много?)
От: Mr.Delphist  
Дата: 13.08.18 14:27
Оценка:
Здравствуйте, reversecode, Вы писали:

R>https://www.ntop.org/products/netflow/nprobe/


Оно платное, и с какой-то хитрой лицензией — пока такое по бюрократическим кругам протащишь, бабушкой станешь.

R>netflow коллектор и генераторы,

R>один будет генерить что там на интерфейсе
R>второй собирать статистику в какую нибудь бд
R>дальше всякие мордочки которые это все рисуют или анализируют

R>netstat -anp по моему по процессам посмотреть


Вот что-то на тему netflow надо будет гуглить дальше, да.

R>вообще трафики уже давно никто не считает

R>а клиенту мог прийти ддос и он зачитался за трафик, если он на белом айпи

Там вроде бы DDoS-протектор у провайдера есть, должно было срезать на подходах. Может, ломанули их и майнят — хз, надо будет копать.
Re: Linux RH: статистика трафика по процессам (кто-то жрёт много?)
От: vopl Россия  
Дата: 13.08.18 14:34
Оценка:
Здравствуйте, Mr.Delphist, Вы писали:

MD>Хочется получить статистику трафика по процессам или хотя бы по IP/port.


https://www.atoptool.nl/index.php, но не из коробки, придется вручную добавлять в систему их модуль ядра netatop.

The command atop has some major advantages compared to other performance monitoring tools:

... много фичей поскипано ...

Network activity per process
In combination with the optional kernel module netatop, it shows process-level counters concerning the number of TCP and UDP packets transferred, and the consumed network bandwidth per process.

Re: Linux RH: статистика трафика по процессам (кто-то жрёт много?)
От: vopl Россия  
Дата: 13.08.18 14:56
Оценка:
Здравствуйте, Mr.Delphist, Вы писали:

MD>Хочется получить статистику трафика по процессам или хотя бы по IP/port.


еще можно посмотреть nethogs https://github.com/raboof/nethogs, есть в репах центоси
yum install nethog
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.