Как читать логи ?
Модератор: Модераторы
Сообщений: 3
• Страница 1 из 1
Димадим » 12 дек 2005, 16:30
Купил маршрутизатор с брандмауэром. Продавец заверил, что с его помощью можно подсчитывать трафик. После установки выяснидось, что железка скидывает логи по UDP протоколу на 514 порт. В справочнике выяснил, что это зарегистрированный прорт для системных логов в Unix системах, а у меня кругом Windows.
Вопрос 1 Может ли WinXP/2003 получать логи на этом порту?
Я написал програмку которая принимает эти логи. Они такого вида:
<132>EFW: SYSTEM: prio=3 action=info logcnt=1 reason=log_messages_lost_due_to_throttling</Log>
<Log><133>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=81.19.66.19 destip=83.237.71.132 ipproto=TCP ipdatalen=20 srcport=80 destport=2492 rst=1 ack=1</Log>
<Log><133>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=194.67.23.104 destip=83.237.71.132 ipproto=TCP ipdatalen=20 srcport=80 destport=1763 rst=1 ack=1
Я понимаю что они стандартного вида и их можно программно разбирать. Проблема в том что я не знаю значения ключей. Конечно смысл некоторых понятен из названия: destport=2492 - порт назначения. Но вот какие ключи обозначают трафик?
Можно ли где-нибудь найти описание для чтения логов?
Вопрос 1 Может ли WinXP/2003 получать логи на этом порту?
Я написал програмку которая принимает эти логи. Они такого вида:
<132>EFW: SYSTEM: prio=3 action=info logcnt=1 reason=log_messages_lost_due_to_throttling</Log>
<Log><133>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=81.19.66.19 destip=83.237.71.132 ipproto=TCP ipdatalen=20 srcport=80 destport=2492 rst=1 ack=1</Log>
<Log><133>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=194.67.23.104 destip=83.237.71.132 ipproto=TCP ipdatalen=20 srcport=80 destport=1763 rst=1 ack=1
Я понимаю что они стандартного вида и их можно программно разбирать. Проблема в том что я не знаю значения ключей. Конечно смысл некоторых понятен из названия: destport=2492 - порт назначения. Но вот какие ключи обозначают трафик?
Можно ли где-нибудь найти описание для чтения логов?
- biruk
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 12 дек 2005, 18:35
может.
только надо поставить этот демон, например kiwi syslog daemon
или tftpd32, этот провда не демон, а просто утилита. найдешь как ее запустить без юзера - будет демоном.
только надо поставить этот демон, например kiwi syslog daemon
или tftpd32, этот провда не демон, а просто утилита. найдешь как ее запустить без юзера - будет демоном.
Trust me - i know what i’m doing © Sledge Hummer
Димадим » 12 дек 2005, 19:08
Программу UDP-Клиента я написал. Она принимает лог, парсит его и сваливает инфу на SQL server. Мне нужны значения ключей в логах. Например в логе:
<134>EFW: CONN: prio=1 rule=allow_standard conn=close connipproto=TCP connrecvif=LAN connsrcip=192.168.0.49 connsrcport=2397 conndestif=WAN conndestip=217.112.42.215 conndestport=110 origsent=370 termsent=432
Ключи origsent и termsent - похожи на переданные данные и возможно в байтах. Есть ещё такой пример
<133>EFW: USAGE: conns=115 if0=core ip0=127.0.0.1 tp0=0.00 if1=LAN ip1=192.168.0.1 tp1=0.13 if2=WAN ip2=83.237.71.132 tp2=0.02 if3=DMZ ip3=127.0.0.1 tp3=0.00 if4=l2tpServer ip4=192.168.0.1 tp4=0.00
Сдесь похоже if - это интерфейсы ip - соответственно их адреса а tp - Похоже на объём данных переданных через порт ( от английского throughput наверно) только вот в каких единицах?
Вобщем продадут железку, понапишут что может всё, а как ей пользоваться сами не знают. Беда.
К стати пробовал искать в RFC и ничего не нашёл.
<134>EFW: CONN: prio=1 rule=allow_standard conn=close connipproto=TCP connrecvif=LAN connsrcip=192.168.0.49 connsrcport=2397 conndestif=WAN conndestip=217.112.42.215 conndestport=110 origsent=370 termsent=432
Ключи origsent и termsent - похожи на переданные данные и возможно в байтах. Есть ещё такой пример
<133>EFW: USAGE: conns=115 if0=core ip0=127.0.0.1 tp0=0.00 if1=LAN ip1=192.168.0.1 tp1=0.13 if2=WAN ip2=83.237.71.132 tp2=0.02 if3=DMZ ip3=127.0.0.1 tp3=0.00 if4=l2tpServer ip4=192.168.0.1 tp4=0.00
Сдесь похоже if - это интерфейсы ip - соответственно их адреса а tp - Похоже на объём данных переданных через порт ( от английского throughput наверно) только вот в каких единицах?
Вобщем продадут железку, понапишут что может всё, а как ей пользоваться сами не знают. Беда.
К стати пробовал искать в RFC и ничего не нашёл.
Сообщений: 3
• Страница 1 из 1
Вернуться в Сетевые операционные системы
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0