A chaque service netMAT correspond un répertoire d'activation contenant les fichiers et répertoires propres à ce service, en particulier les fichiers de configuration. Ce répertoire contient aussi des liens vers les éléments communs, par exemple les fichiers exécutables. Il est ainsi possible de disposer de plusieurs services netMAT sur une même machine.
L'architecture du répertoire d'activation calque les diverses étapes d'un service et à chaque phase correspond un sous-répertoire : duplication
, collection
, exploitation
. Le répertoire initng
contient quant à lui les commandes utilisées par le programmateur de tâches du système (fcron
). Chaque répertoire y compris le répertoire d'activation contient un fichier README.txt
décrivant son contenu.
Figure 23
Le fichier httpd_include.conf
Le fichier httpd_include.conf
est un exemple des directives à ajouter au fichier de configuration Apache du serveur sur lequel est installé le service netMAT (cf. Configuration du serveur Apache). Il n'est pas utilisable en l'état et il faut au minimum remplacer les notations de la forme __XXX__
par des valeurs effectives. Il faut consulter la documentation Apache pour plus de détails sur la signification des diverses directives et pour la mise en place éventuelle d'un mécanisme d'authentification.
Une façon simple d'utiliser le fichier fourni après l'avoir complété est de placer une directive d'inclusion
Include .../httpd_include.conf
dans le fichier /etc/httpd/conf/httpd.conf
.
Lorsque plusieurs services netMAT, correspondant à plusieurs «VirtualHost» sont implantés sur la même machine hôte la directive ExtFilterDefine
ne doit figurer que dans un seul fichier httpd_include.conf
. Si les différents services correspondent à des distributions différentes de netMAT il est préférable de ne conserver que la dernière définition du filtre (compatibilité ascendante).
Le répertoire initng
Le répertoire initng
contient les scripts permettant de lancer automatiquement ou manuellement les diverses tâches nécessaires au service .
Le fichier initng/NETMAT_DUPstart.sh
permet de lancer le duplicateur. La commande est conforme à l'exemple du paragraphe Activation du collecteur : la lecture des netflows s'effectue sur le port 8080 et la duplication sur les ports 8081 et 8082. Si un seul service netMAT est activé, l'utilisation du duplicateur n'est pas indispensable. Il est toutefois souhaitable de l'utiliser pour dupliquer les informations de flux même lorsqu'un seul service est installé et ainsi disposer d'un port pour des tests et prêt pour l'installation de services supplémentaires.
Le fichier initng/NETMAT_DUPstart.sh
doit être complété. Dans les lignes
# ----- DEBUT - CONFIGUREZ-MOI --------------
dup="--listen x.y.z.t/8080 \
-d x.y.z.t/8081 \
-d x.y.z.t/8082"
# ----- FIN - CONFIGUREZ-MOI --------------
la notation x.y.z.t
doit être remplacée par l'adresse IP de la machine recevant les informations de flux et sur laquelle s'exécutent le duplicateur et le collecteur. Comme dans l'exemple du paragraphe Activation du collecteur l'hypothèse est faite que les routeurs exportent les datagrammes sur le port 8080 (--listen ...
) et que ceux-ci sont dupliqués sur les ports 8081 et 8082 de la même machine (-d ...
). Il est bien sûr possible d'ajouter autant d'options -d
que nécessaire et d'utiliser d'autres numéros de ports. Il est aussi possible de dupliquer les informations de flux vers des ports d'une autre machine pour "alimenter" une autre collecte/exploitation des mêmes données.
Le fichier initng/NETMAT_DUPstop.sh
permet d'arrêter le duplicateur.
Le fichier initng/NETMAT_CLLstart.sh
est la commande de démarrage de la collecte. Le processus de lecture et d'analyse des informations de flux (nm_collector_n°_cll/MainThread
) commence son exécution et la «crontab» de l'utilisateur qui exécute la commande est modifiée. Les lignes du fichier collection/cron.modele
sont ajoutées à la «crontab» de manière à provoquer le vidage de la table comptabilisant le trafic par tranches de cinq minutes à raison d'un fichier pour chaque tranche.
Le fichier initng/NETMAT_CLLstop.sh
est la commande d'arrêt de la collecte. Elle retire les lignes relatives à la collecte dans la «crontab» puis arrête le collecteur.
Le fichier initng/NETMAT_EXPLstart.sh
est la commande de démarrage de l'exploitation des données collectées. Elle ajoute à la «crontab» de l'utilisateur les lignes du fichier exploitation/cron.modele
. Dès lors les graphes traçant les débits entrants/sortants sont mis à jour toutes les cinq minutes et les pages de la veille sont générées chaque matin.
Le fichier initng/NETMAT_EXPLstop.sh
est la commande d'arrêt de l'exploitation. Elle supprime de la «crontab» de l'utilisateur les lignes qui y ont été placées par initng/NETMAT_EXPLstart.sh
.
Si vous utilisez ining
(http://www.initng.org) vous pouvez définir un service Flux
en copiant ~/Metrologie/Flux/initng/Flux.i
dans /etc/initng/service/
, il reste alors à activer le service en utilisant la commande ngc ad-hoc :
ngc --start service/Flux
L'arrêt du service s'effectue avec
ngc --stop service/Flux
Si vous n'utilisez pas initng
vous devez activer successivement, le duplicateur
~/Metrologie/Flux/initng/NETMAT_DUPstart
le collecteur
~/Metrologie/Flux/initng/NETMAT_CLLstart
et l'exploitation
~/Metrologie/Flux/initng/NETMAT_EXPLstart
L'arrêt s'effectue en utilisant
~/Metrologie/Flux/initng/NETMAT_EXPLstop
~/Metrologie/Flux/initng/NETMAT_CLLstop
~/Metrologie/Flux/initng/NETMAT_DUPstop
Bien entendu les routeurs devront avoir été configurés pour exporter les informations de flux sur le "bon" port de la "bonne" machine. Nous vous renvoyons à la documentation de vos routeurs pour cette opération.
Le répertoire duplication
Il est relatif à l'étape de duplication et contient (un lien vers) l'exécutable du duplicateur ainsi qu'un fichier README.txt
et un répertoire run
utilisé pour conserver des informations lors de l'exécution.
Le répertoire collection
Il est relatif à l'étape de collection des informations de flux et contient :
- (des liens vers) les exécutables et scripts nécessaires à la collecte, en particulier un lien nommé
netmatDumper.sh
vers le script exécuté toutes les cinq minutes pour « vider » la table du collecteur et le réinitialiser,
- un répertoire
etc
où est placé le fichier de configuration du collecteur
- un répertoire
run
utilisé pour conserver les informations nécessaires à l'exécution (tube de communication entre le collecteur et son "moniteur", fichier d'identification)
- un fichier
cron.modele
qui contient le modèle des directives à placer dans la «crontab» pour sauvegarder périodiquement les mesures extraites des informations de flux collectées et analysées, en l'occurrence une directive de lancement du script netmatDumper.sh
toutes les cinq minutes à partir de minuit,
- un fichier
README.txt
.
Le fichier de configuration du collecteur est collection/etc/netmat.conf
(cf. Configuration du collecteur). Après l'installation du service ce fichier contient des commentaires présentant la syntaxe à utiliser. Il doit impérativement être renseigné.
Le répertoire exploitation
Il est relatif à l'étape de génération des pages XML et contient :
- des liens vers les scripts
doDebitGraph.pl
et cronForYesterday.pl
nécessaires à la génération des pages,
- un lien vers le script
doMaintenance.pl
,
- un répertoire
etc
où sont placés les fichiers de configuration explt.conf
et organismes.def
(cf. Les fichiers de configuration de l'exploitation),
- un fichier
cron.modele
contenant le modèle des directives à placer dans la «crontab» pour générer périodiquement les pages et graphiques requis, plus précisément l'appel de doDebitGraph.pl
toutes les cinq minutes à partir de 00h01mn et l'appel de cronForYesterday.pl
chaque matin,
- un fichier
mkOrgaFile.pl
,
- un fichier
README.txt
,
- des liens vers les scripts
getActivesIPs.pl
et mkConfFiles.pl
(à partir de la version 3.0_xml).
Le fichier exploitation/etc/organismes.def
décrit l'association entre sous-réseaux et organismes. Après l'installation ce fichier ne contient que des commentaires et doit être impérativement construit.
Le fichier exploitation/etc/explt.conf
doit être mis à jour en remplaçant __netmat_html_url__
(paramètre NETMAT-HTML-URL
) par l'URL complet du serveur (http://__SERVER_NAME__
) conformément à la directive ServerName
du fichier httpd_include.conf
.
Le script doMaintenance.pl
permet comme son nom l'indique d'effectuer des opérations de maintenance en cas de problème de fonctionnement du service. Son utilisation est décrite au paragraphe Le script doMaintenance.pl.
Le script mkOrgaFile.pl
est une copie de celui figurant dans le répertoire scripts
de la distribution. Il n'est pas opérationnel en l'état (cf. Les scripts lstOrgaFile.pl ...).
<< Installation d'un service netMAT | Documentation | Mise à jour d'un service >>