Nodes Traffic
In diesem Moduls werden die Informationen aus der Netflow-Integration von NeDi dargestellt. Die Netflow-Integration basiert auf dem Tool "nfdump" von Peter Haag. Vorkenntnisse über nfdump und die darin genutzte, an tcpdump angelehnte Filtersyntax, sind sehr hilfreich.
Die Netflow-Daten werden unter Verwendung der lokalen Unix-Zeitstempel gespeichert. Wenn es Abweichungen geben sollte, erfolgt kein Abgleich mit der Zeitzone des Clients!
- Die erste Auswahl-Box erlaubt die Selektion der Spalte, über die aggregiert wird (im Standard sind dies die Felder "proto", "src/dst" und "src/dst Port")
- Die zweite Auswahl bestimmt die Sortierung
- Mit Hilfe der dritten Box kann die Quelle (source) des Flows ausgewählt werden
- Die Textbox ermöglicht die Eingabe eines Filters (einige Beispiele finden sich darüber)
- IP-Adressen werden mit den Tabellen "dns", "arp", "nodes", "network" und "devices" verglichen. Wenn ein Eintrag gefunden wird, wird das Icon entsprechend gesetzt
- Mit Hilfe des Schiebers kann die Startzeit angepasst werden. Der Zeitpunkt kann alternativ auch durch Doppelklick auf das Feld "Start" in dem sich öffnenden "Kalender" gesetzt werden
- Es können Graphen wie Tortendiagramme, Sankey oder RRDs angezeigt werden (die letzten passen sich nicht an den angezeigten Traffic an)
- Durch das Aktivieren der Namensauflösung mit Hilfe von
wird DNS und WHOIS verwendet (die Ergebnisse werden in der Tabelle "netinfo" gespeichert, was einen Moment dauern kann)
- Durch das Klicken auf die Quelle und das Ziel werden die verschiedenen Filter ("src/dst ip", "ip", "src/dst net", "net") durchlaufen
- Eine neue Alert-Policy kann einfach aus einem bestehenden Filter durch Klick auf das
Icon erstellt werden (diese Funktion erfordert das Pro-Modul "System-Policy")
NeDi Hilfe