Получение информации из netflow логов в консоли Linux.

Как-то к нам поступил запрос из отдела К на тему раскрытия данных по IP-адресу и времени. Так как у нас в сети используется NAT и отсутствует дополнительное соединение для доступа в Интернет (без VPN, по типу IPoE) я запросил информацию по тому, куда был осуществлен доступ с этих адресов. Пользователь совершал действия в системе webmoney. Все программы находятся в пакете flow-tools.

Правим файл настроек filter.cfg для фильтрации информации:

# mcedit /etc/flow-tools/cfg/filter.cfg

Копируем следующие строки:

filter-primitive hosts_source
  type ip-address-prefix
  permit 10.0.0.0/8
  default deny
 
filter-primitive hosts_destination
  type ip-address-prefix
  permit 212.118.48.0/24
  permit 212.158.173.0/24
  permit 91.200.28.0/24
  permit 91.227.52.0/24
  default deny
 
filter-primitive start_time
  type time-date
  permit ge November 25, 2012 13:00:00
 
filter-primitive end_time
  type time-date
  permit le November 25, 2012 13:30:00
 
filter-definition my_search
  match ip-destination-address hosts_destination
  match ip-source-address hosts_source
  match start-time start_time
  match end-time end_time

Переходим в каталог где лежат netflow файлы и запускаем:

# flow-cat ./* | flow-nfilter -F my_search | flow-print -f5

Получаем следующий вывод на консоль:

Start             End               Sif SrcIPaddress SrcP  DIf DstIPaddress    DstP P Fl Pkts Octets
1125.13:00:36.648 1125.13:00:36.965 4   10.0.16.15   65535 5   212.118.48.201  80   6 2  5    632
1125.13:00:45.868 1125.13:00:45.905 4   10.0.32.20   65535 5   212.158.173.110 443  6 1  3    143

Дата (месяц и число до точки) и время (после точки) начала соединения:

Start
1125.13:00:36.648
1125.13:00:45.868

Дата (месяц и число до точки) и время (после точки) окончания соединения:

End
1125.13:00:36.965
1125.13:00:45.905

IP-адрес источника соединения:

SrcIPaddress
10.0.16.15
10.0.32.20

Порт источника соединения:

SrcP
65535
65535

IP-адрес назначения соединения:

DstIPaddress
212.118.48.201
212.158.173.110

Порт назначения соединения:

DstP
80
443

Количество переданных байт за соединение:

Octets
632
143