Ubuntu 12.04 install Netflow Note

這篇必要條件防火牆是:pfSense,作業系統是:Ubuntu12.04,接著所有的心得筆記雖然力求完美但不保證Netflow或相關套件改版後有什麼變化,最後你想提問可以,但是我不會回答任何問題與留言.

校正時間指令,當然你不想看到正確的log分析請無視
sudo ntpdate time.stdtime.gov.tw

進行安裝Netflow前先更新系統
sudo apt-get update

安裝Netflow相關套件:apache2,php5,nfdump跟perl套件
sudo apt-get -y install nfdump apache2 libapache2-mod-php5 
php5-common rrdtool librrds-perl librrdp-perl librrd-dev

測試防火牆上的設定是否正確,Netflow能不能接收到防火牆的記錄檔案
sudo tcpdump udp port 9995

切換目錄進行安裝
cd /usr/src/

取得Netflow的檔案
sudo wget http://freefr.dl.sourceforge.net/project/nfsen/stable/nfsen-1.3.5/nfsen-1.3.5.tar.gz

解開tar檔案
sudo tar zxvf nfsen-1.3.5.tar.gz

切換到安裝目錄
cd nfsen-1.3.5/etc

把原始設定檔複製到/etc底下並更名,等等直接使用
sudo cp nfsen-dist.conf /etc/nfsen.conf

先把設定檔要設定的資料夾建立起來
sudo mkdir -p /var/www/nfsen & sudo mkdir -p /usr/local/nfsen

編輯設定檔
sudo vi /etc/nfsen.conf
內容修改如下:
$USER    = "www-data"
$BASEDIR=/usr/local/nfsen
$WWWUSER=www-data
$WWWGROUP=www-data
$HTMLDIR=/var/www/nfsen
$PREFIX=/usr/bin
%sources=(
 'Device' => {'port'=>'9995','col'=>'#0000ff','type'=>'netflow'},
);

新增一個www-data的使用者來執行Netflow
sudo useradd -d /home/netflow -G www-data -m -s /bin/false netflow

切換路徑
cd ..

執行Netflow安裝程式
sudo ./install.pl /etc/nfsen.conf

如果出現下列錯誤
error line 633
請安裝相關套件
sudo perl -MCPAN -e 'install Socket6'
如果出現下列錯誤
Can't locate Mail/Header.pm
請安裝下列套件
sudo apt-get install rrdtool \
>libmailtools-perl librrds-perl libio-socket-ssl-perl

跳回上層目錄準備安裝圖形界面
cd /usr/src

下載檔案
sudo wget http://sourceforge.net/projects/nfdump/files/stable/nfdump-1.6.4/nfdump-1.6.4.tar.gz

解開Tar檔案
sudo tar zxvf nfdump-1.6.4.tar.gz

切換到目錄去進行安裝
cd nfdump-1.6.4/

先安裝必要的套件
sudo apt-get -y install flex byacc 

建立設定檔內對應的目錄夾
sudo mkdir -p /usr/local/nfdump

編譯程式1.
sudo ./configure --prefix=/usr/local/nfdump --enable-nftrack

編譯程式2.
sudo make

這裡的bin是nfdump-1.6.4/的bin資料夾
cd bin

複製需要的檔案到對應資料夾
sudo cp nftrack /usr/bin/

安裝封包解析套件
cd /usr/src/nfsen-1.3.5/contrib/PortTracker/

封包解析檔案放置到對應的資料夾
sudo cp PortTracker.pm /usr/local/nfsen/plugins/

同上
sudo cp PortTracker.php /var/www/nfsen/plugins/

建立放置log檔的資料夾
sudo mkdir -p /var/log/netflow/porttracker

設定www-data對應/var/log/netflow/porttracker權限
sudo chown www-data /var/log/netflow/porttracker

同上
sudo vi /usr/local/nfsen/plugins/PortTracker.pm

修改內容如下:
my $PORTSDBDIR = "/var/log/netflow/porttracker";

編輯設定檔
sudo vi /usr/local/nfsen/etc/nfsen.conf

修改內容如下:
@plugins = (
        [ 'live',       'PortTracker'],
);

設定porttracker擁有者是www-data
sudo -u www-data nftrack -I -d /var/log/netflow/porttracker

設定權限
sudo -R netflow:www-data /var/log/netflow/porttracker

同上
sudo -R 755 /var/log/netflow/porttracker

啟動Netflow程式
sudo /usr/local/nfsen/bin/nfsen start

開啟瀏覽器確認整個過程完成

http://你的netflow主機ip/nfsen/nfsen.php

參考連結:http://www.netadmin.com.tw/article_content.aspx?sn=1111030003