forum.bitel.ru
http://forum.bitel.ru/

Timestamp
http://forum.bitel.ru/viewtopic.php?f=22&t=926		 Страница 1 из 1
Автор:  RnD [ 31 мар 2008, 17:18 ]
Заголовок сообщения:  Timestamp
Не совсем понимаю это в детализации.Почему бы при отправке не преобразовать это значение в приемлимый формат для абонента?В таком виде от него толку нет.

Timestamp
1206954000
1206954000
1206954000
1206954000
1206954000
1206954000
1206954000


И еще вопрос: Если поле Timestamp по какойто причине нельзя преобразовать в понятный вид,почему бы тогда не сделать подсуммировку данных с одинаковыми полями FromIp:FromPort и ToIp:ToPort ?
Автор:  RnD [ 01 апр 2008, 11:56 ]
Заголовок сообщения: 
up
Автор:  snark [ 01 апр 2008, 18:53 ]
Заголовок сообщения:  Re: Timestamp
RnD писал(а):
Почему бы при отправке не преобразовать это значение в приемлимый формат для абонента?
я думаю потому что форматов слишком много (HH:MM:SS DD.MM.YYYY, HH:MM (AM/PM) MM.DD.YYYY, YYYY-MM-DD HH-MM-SS и т.д. и т.п.) и пожалуй самое главное - это избыточная нагрузка на коллектор ... одно дело преобразовать бинарный файл в текстовый и совсем другое - разобрать этот файл и привести к удобоваримому виду ...
RnD писал(а):
В таком виде от него толку нет.
ну почему же? это стандартный unixtime который как раз и содержится, по стандарту, в каждом netflow пакете, Вам жеж собсно его и шлют, только не в бинарном а текстовом виде ...
RnD писал(а):
почему бы тогда не сделать подсуммировку данных с одинаковыми полями FromIp:FromPort и ToIp:ToPort ?
думаю что опять же из за нагрузки на коллектор ...

господа разработчики, а ведь действительно, дайте возможность самостоятельно формировать детализацию и тогда можно будет создавать детализацию любого требуемого формата ...
Автор:  Администратор [ 01 апр 2008, 22:13 ]
Заголовок сообщения: 
А можно выложить, что в письме приходит с детализацией?
Может вообще этот timestamp убрать..
Автор:  RnD [ 02 апр 2008, 10:03 ]
Заголовок сообщения: 
Администратор писал(а):
А можно выложить, что в письме приходит с детализацией?
Может вообще этот timestamp убрать..


На мой взгляд есть два варианта:

1. При формировании файла детализации привести поле Timestamp в понятный для абонента формат (например HH:MM:SS DD.MM.YYYY) и убрать полностью поля FromIface, ToIface (считаю что абоненту они без надобности).

2. Убрать поля Timestamp,FromIface, ToIface из детализации абонента и при формировании файла детализации производить подсуммировку поля Bytes для всех строк, в которых FromIp:FromPort и ToIp:ToPort одинаковы. (проще говоря если у нас не будет поля "время", то мы можем просто подсуммировать данные с одинаковыми исх и вх айпи....думаю было бы удобней иметь несколько уникальных записей в детализации с подсуммированными данными, чем так как сейчас)

Но это всего лишь имхо:)

Вложения:
file_detail1.jpg
file_detail1.jpg [ 199.37 КБ | Просмотров: 8569 ]
Автор:  snark [ 02 апр 2008, 11:59 ]
Заголовок сообщения: 
RnD писал(а):
При формировании файла детализации привести поле Timestamp в понятный для абонента формат (например HH:MM:SS DD.MM.YYYY) и убрать полностью поля FromIface, ToIface (считаю что абоненту они без надобности).
да, было бы неплохо иметь столбец с датами стандартного, российского формата, т.е. выдавать нечто следующее:
Код:
Time | FromIP | ToIP | FromPort | ToPort | Bytes
где Time - строка вида DD.MM.YYYY HH:MM, т.е. выводить вот так 02.04.2008 09:40 ...
RnD писал(а):
при формировании файла детализации производить подсуммировку поля Bytes для всех строк, в которых FromIp:FromPort и ToIp:ToPort одинаковы
т.е. производить минимальную агрегацию данных? думаю это излишне, т.к. лично Вам не всели равно посмотрит пользователь 100 строк или 97, это же его трафик, пусть смотрит ...

P.S. желательно иметь возможность установки символов разделителей полей (табы, пробелы, запятые), т.к. стандартный CSV подразумевает разделение данных запятыми и ендюзеру будет, возможно, проще ...
Автор:  RnD [ 02 апр 2008, 12:17 ]
Заголовок сообщения: 
snark писал(а):
RnD писал(а):
при формировании файла детализации производить подсуммировку поля Bytes для всех строк, в которых FromIp:FromPort и ToIp:ToPort одинаковы
т.е. производить минимальную агрегацию данных? думаю это излишне, т.к. лично Вам не всели равно посмотрит пользователь 100 строк или 97, это же его трафик, пусть смотрит ...


Вы выхватываете из всего текста кусок, и при этом теряете смысл всего предложения.... прочитайте внимательней оба предложенных мной варианта.

Если не будет столбца с датой и временем, смысл тогда делать файл детализации таким большим? При существовании столбца Date это будет невозможно сделать, так как время будет постоянно уникальным значением.

Вот как сейчас выглядит детализация из самописной проги, собирающей данные по нетфлоу.

На мой взгляд удобная.

Вложения:
file_detail2.jpg
file_detail2.jpg [ 191.59 КБ | Просмотров: 8556 ]
Автор:  snark [ 02 апр 2008, 13:51 ]
Заголовок сообщения: 
RnD писал(а):
На мой взгляд удобная.
да, но, IMHO, не отвечает на главный вопрос - во сколько? итоговая цифра байт есть в статистике юзера, он хочет знать как они набежали ну Вы ему и даете эту возможность, пусть не в столь изысканной форме но ... главное что даете! хотите чтобы было так же как у Вас сейчас - впихните данные о сесииях в мускул и парой запросов получите искомое ...
думаю не стоит просить сделать суммирование т.к. это будет излишняя нагрузка, пусть лучше разработчики отформатят время, уберут номера интерфейсов и вставят src port, т.к для ответа на вопрос "как я столько накачал?" желательно иметь и src и dst порты, а так же кол-во пакетов, т.к. вирусы оч. хорошо отлавливаются именно по кол-ву пакетов с/на опред. порты, т.е. пусть выдают просто детализированную статистику конкретной сесии безо всяких ухищрений в виде агрегации, ресолвинга имен (а ведь кто-то попросит ;)) и т.д и т.п. ... мне например вот такой отчет нравится - все просто и доступно ...
Автор:  RnD [ 03 апр 2008, 10:52 ]
Заголовок сообщения: 
Администраторы ответят?
Автор:  Администратор [ 03 апр 2008, 14:06 ]
Заголовок сообщения: 
Склоняюсь к мысли, что нужно слать 2 файла в аттаче: один полная статистика (как есть), другой - обработанный XSLT скриптом например. А там уж анализируйте и форматируйте как угодно, т.к. представление об удобстве уж очень у всех разное. Будем до следующей версии собирать предложения.
Автор:  snark [ 03 апр 2008, 14:47 ]
Заголовок сообщения: 
Администратор писал(а):
Склоняюсь к мысли, что нужно слать 2 файла в аттаче: один полная статистика (как есть), другой - обработанный XSLT скриптом например. А там уж анализируйте и форматируйте как угодно, т.к. представление об удобстве уж очень у всех разное. Будем до следующей версии собирать предложения.
Просто сделайте выборку доступным к изменению скриптом (на любом языке, главное чтоб он не в код был вшит) и пусть каждый сам ваяет его как хочет, захочет - будет юзать дефолтный, идущий в поставке, а захочет - перепишет под себя и будет иметь ту статистику которая ему по душе, думаю это самое верное решение ;)
Страница 1 из 1 Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/