Blog

Monitorare il traffico di rete con pmacct su Debian 10 “Buster”

Date 3 febbraio 2020 Author By Category Debian, HowTo, Linux

Adattamento dell’articolo Monitorare il traffico di rete con pmacct su Ubuntu 18.04 per Debian 10 “Buster” procedendo all’installazione da sorgenti della versione 1.7.4 ed utlizzando la versione 9 della tabella.

Le seguenti operazioni vanno eseguite tramite account di root.

In questo esempio si utilizza un server MySQL esterno quindi se ne esclude la parte di installazione, occorre quindi installare solo la parte client:

Per avere le ultime versioni occorre installare da sorgenti, per avere però la comodità dei pacchetti .deb si può utilizzare il programma checkinstall per creare un installazione personalizzata (sono richiesti i repo backports):

Le dipendenze richieste per la compilazione:

Si scarica dal sito l’ultima versione e si estrae l’archivio, ad esempio:

Si procede alla preparazione dei sorgenti, ricordandosi di abilitare il plugin che ci interessa ( nel mio caso uso MySQL ) e infine richiamando checkinstall al posto di makeinstall verrà creato ed installato il pacchetto .deb:

L’installazione potrebbe fallire non riuscendo a creare le directory in /usr/local/lib/ (vedere gli errori a schermo se ci sono), basta crearle a mano e rilanciare l’installazione:

Copiare a mano i file di esempio:

E’ possibile ora cancellare i sorgenti in quanto se volessimo disinstallarlo essendo stato pacchettizzato .deb basta usare dpkg -r pmacct

Se sul server MySQL manca il database si deve creare con la tabella versione 9, che al momento in cui scrivo è l’ultima, se esiste già un database basta proseguire alla sezione ‘Configurare il programma‘:

Impostare i permessi di default ( utente pmacct@localhost ):

Cambiare la password:

Configurare il programma:

Un esempio di configurazione:

Avviare il demone e controllare sul nostro database i record che vengono inseriti:

E’ anche possibile creare il file di avvio, si crea ad esempio uno script /etc/init.d/pmacctd:

E lo si abilita:

Nota: ho notato che su reti diciamo discrete la mole di dati generata influisce notevolmente sulle prestazioni richieste dal server MySQL, ogni tanto è cosigliato spostare i dati storici su una copia della tabella meglio ancora su un altro database/host ed è comunque consigliato avere MySQL impostato con l’opzione di creare le tabelle su singoli files.

Nota 2: se il traffico è elevato e si usa il raggruppamento è possibile che venga richiesto un server MySQL con alte prestazioni di CPU e di I/O su disco in quanto le istruzioni di UPDATE sono molte, in tal caso ridurre il periodo di raggruppamento ( es. da 30m a 5m ) e usare l’istruzione “sql_dont_try_update: true” che usa la memoria per limitare al massimo le istruzioni di UPDATE, appoggiandosi a versioni InnoDB invece che MyISAM delle tabelle.

Nota 3: Nel caso servisse recuperare i dati dal file di recupero ( recovery_log ) utilizzare il comando pmmplay:

Se serve solo testare cosa c’è nel file senza fare modifiche al database aggiungere il parametro -t.

Sul wiki ufficiale però sconsigliano di utilizzare il file di recupero dicendo che sarà dismesso ma di utilizzare eventualmente un DB di backup:

While planning for a recovery method, consider that the logfile method is being discontinued and you are encouraged to use the backup DB option.

Nota 4: Nel caso si utilizzi un server MySQL esterno controllare che le due macchine abbiano lo stesso timezone tramite il comando date, in caso siano diversi occorre riconfigurarlo per impostarlo uguale, riavviare anche MySQL dopo:

Per tenere anche sincronizzati gli orari tramite un NTP server:

Nota 5: Nel caso servisse controllare eventuali errori fare riferimento al syslog:

Nota 6: Se sul gateway ci sono configurate più interfacce di rete da monitorare ho notato che conviene far girare un processo distinto per ogni scheda, quindi creare una copia del file di configurazione:

Modificare il nuovo file di configurazione che legga sulla seconda interfaccia e cambiare lo script di avvio in maniera che mandi in esecuzione due processi distinti, quindi aprire /etc/init.d/pmacctd e nella procedura start() modificare in:

 

Tag:, , , , ,