Tutorial sobre NeTraMet

4. Dados de Arquivos de Fluxos

Como padrão, NeMaC produz arquivos contendo informações de dados de fluxos com nomes do tipo srvpel-2.flow.007. Este seria o sétimo arquivo de fluxo coletado pelo Netramet a partir do host srvpel-2. Antes de abrir um arquivo de dados de fluxos, Nemac examina o diretório corrente de trabalho e seleciona a última seqüência de números não usada para este fim. Alternativamente o usuário pode especificar o(s) nome(s) do(s) arquivo(s) de dados de fluxo que o Nemac vai escrever.

Há dois tipos de registros em um arquivo de dados de fluxo: registros de fluxo e registros de informação. Cada registro de fluxo é simplesmente uma seqüência de valores de atributos divididos por separadores (se este tenha sido especificado - ver na seção "Sentença Format" mais adiante) ou espaços, e terminado por uma nova linha.

A partir da versão 2.2, a distribuição do Netramet inclui dois utilitários que processam dados de arquivos de fluxos, são eles:

fd_filter Calcula as taxas dos dados. Exemplo, as diferenças entre sucessivas amostras em arquivos de dados de fluxos.

Fd_extract Cria um arquivo simplificado em formato de listas de colunas a partir dos dados de um arquivo de fluxo para utilizar com entrada em outros programas analisadores dos dados. (Ex. GNUPLOT)

Registro de Informações

Todas informações de registros começam com uma carquilha (#). O primeiro registro do arquivo começa com ‘##’, e identifica-o como um arquivo de dados do Netramet. Este registro contém os parâmetros do Nemac e o horário que o coletor começou a execução.

O segundo registro do arquivo começa com ‘#Format:’ e representa a forma como as instruções são representadas no Nemac para coletar dados. Lembrar que qualquer separador especificado na sentença Format aparece no arquivo de dados diretamente, não como strings em linguagem C.

O resto do arquivo é uma seqüência de dados coletados. Cada um destes iniciam com um registro ‘#Time:’, dando a hora do dia que a coletagem iniciou., o nome do medidor e a faixa de tempo que o medidor usa para coletar. Estes tempos ‘from’ e ‘to’ são medidos por UpTimes, por exemplo, estão sendo medidos em centésimos de segundos desde o começo da operação de medição.

Se uma estatística do medidor é requisitada, ela aparece em um registro ‘#Stats:" seguindo o ‘#Time’. As estatísticas são dadas como uma lista de nomes de variáveis e seus valores correspondentes. Os nomes de variáveis são:

aps	= média de pacotes/segundo	frc	= fluxos recuperados
apb	= média de pacotes backlog (reserva)	gci	= intervalo de coleção de lixo
mps	= máximo de pacotes/segundo	rpp	= regras utilizadas por pacote
mpb	= máximo de pacotes backlog (reserva)	tpp	= contagem por pacote
lsp	= número de pacotes perdidos	cpt	= comparações por pacote
avi	= média de processos IDLE %	tts	= total tabelas contagem alocada
mni	= mínimo de processos %	tsu	= tabelas de contagem em uso
fiu	= fluxos em uso

4.2 Exemplo de arquivo de dados de fluxo

Uma amostra dos dados de um arquivo de fluxo é apresentado à seguir. Muitos dos fluxos gravados foram excluídos, mas linhas com pontos exibem onde eles se localizavam.

##NeTraMet v3.2: -c300 -r rules.lan -e rules.default

test_meter -i eth0 4000 flows starting at 12:31:27 Wed 1 Feb 95

#Format: flowruleset flowindex firsttime sourcepeertype sourcepeeraddress destpeeraddress topdus frompdus tooctets fromoctets

#Time: 12:31:27 Wed 1 Feb 95 130.216.14.251 Flows from 1 to 3642

#Stats: aps=478 apb=11 mps=636 mpb=48 lsp=0 avi=97.3 mni = 93.4 fiu=44 frc=0 gci=5 rpp=1.9 tpp=0.0 cpt=1.0 tts=1024 tsu=38

1 2 13 5 31.32.0.0 33.34.0.0 1138 0 121824 0

1 3 13 2 11.12.0.0 13.14.0.0 4215 0 689711 0

1 4 13 7 41.42.0.0 43.34.0.0 1432 0 411712 0

1 5 13 6 21.22.0.0 23.24.0.0 8243 0 4338744 0

3 6 3560 2 130.216.14.0 130.216.3.0 0 10 0 1053

3 7 3560 2 130.216.14.0 130.216.76.0 59 65 4286 3796

3 8 3560 7 0.0.255.0 1.144.200.0 0 4 0 222

3 9 3560 2 130.216.14.0 130.216.14.0 118 1 32060 60

3 10 3560 6 130.216.0.28 130.216.0.192 782 1 344620 66

3 11 3560 7 0.0.255.0 0.128.113.0 0 1 0 73

3 12 3560 5 59.3.13.0 4.1.152.0 1 1 60 60

3 13 3560 7 0.128.94.0 0.129.27.0 2 2 120 158

3 14 3560 5 59.3.40.0 4.1.153.0 2 2 120 120

3 15 3560 5 0.0.0.0 4.1.153.0 0 1 0 60

3 16 3560 5 4.1.152.0 59.2.189.0 2 2 120 120

. . . . . . . . .

3 42 3560 7 0.128.42.0 0.129.34.0 0 1 0 60

3 43 3560 7 0.128.42.0 0.128.43.0 0 1 0 60

3 44 3560 7 0.128.42.0 0.128.41.0 0 1 0 60

3 45 3560 7 0.128.42.0 0.129.2.0 0 1 0 60

3 46 3560 5 4.1.152.0 59.2.208.0 2 2 120 120

3 47 3560 5 59.3.46.0 4.1.150.0 2 2 120 120

3 48 3560 5 4.1.152.0 59.2.198.0 2 2 120 120

3 49 3560 5 0.0.0.0 59.2.120.0 0 1 0 60

3 50 3664 5 4.1.152.0 59.2.214.0 0 1 0 60

3 51 3664 5 0.0.0.0 4.2.142.0 0 1 0 60

3 52 3664 5 4.1.153.0 59.3.45.0 4 4 240 240

#Time: 12:36:25 Wed 1 Feb 95 130.216.14.251 Flows from 3641 to 33420

#Stats: aps=349 apb=16 mps=1357 mpb=537 lsp=0 avi=97.3 mni = 93.4 fiu=480 frc=0 gci=5 rpp=2.4 tpp=1.2 cpt=1.2 tts=1024 tsu=328

3 6 3560 2 130.216.14.0 130.216.3.0 0 21 0 2378

3 7 3560 2 130.216.14.0 130.216.76.0 9586 7148 1111118 565274

3 8 3560 7 0.0.255.0 1.144.200.0 0 26 0 1983

3 9 3560 2 130.216.14.0 130.216.14.0 10596 1 2792846 60

3 10 3560 6 130.216.0.28 130.216.0.192 16589 1 7878902 66

3 11 3560 7 0.0.255.0 0.128.113.0 0 87 0 16848

3 12 3560 5 59.3.13.0 4.1.152.0 20 20 1200 1200

3 13 3560 7 0.128.94.0 0.129.27.0 15 14 900 1144

3 14 3560 5 59.3.40.0 4.1.153.0 38 38 2280 2280

3 15 3560 5 0.0.0.0 4.1.153.0 0 30 0 1800

3 16 3560 5 4.1.152.0 59.2.189.0 20 20 1200 1200

3 17 3560 5 0.0.0.0 59.2.141.0 0 11 0 660

. . . . . . . . .

3 476 26162 7 0.129.113.0 0.128.37.0 0 1 0 82

3 477 27628 7 0.128.41.0 0.128.46.0 1 1 543 543

3 478 27732 7 0.128.211.0 0.128.46.0 1 1 543 543

3 479 31048 7 0.128.47.0 2.38.221.0 1 1 60 60

3 480 32717 2 202.14.100.0 130.216.76.0 0 4 0 240

3 481 32717 2 130.216.76.0 130.216.3.0 0 232 0 16240

#Time: 12:41:25 Wed 1 Feb 95 130.216.14.251 Flows from 33419 to 63384

#Stats: aps=415 apb=17 mps=1780 mpb=542 lsp=0 avi=97.3 mni = 93.4 fiu=567 frc=0 gci=5 rpp=1.8 tpp=1.0 cpt=1.3 tts=1024 tsu=372

3 6 3560 2 130.216.14.0 130.216.3.0 51 180 3079 138195

3 7 3560 2 130.216.14.0 130.216.76.0 21842 18428 2467693 1356570

3 8 3560 7 0.0.255.0 1.144.200.0 0 30 0 2282

3 9 3560 2 130.216.14.0 130.216.14.0 24980 1 5051834 60

3 10 3560 6 130.216.0.28 130.216.0.192 20087 1 8800070 66

3 11 3560 7 0.0.255.0 0.128.113.0 0 164 0 32608

3 12 3560 5 59.3.13.0 4.1.152.0 41 41 2460 2460

3 14 3560 5 59.3.40.0 4.1.153.0 82 82 4920 4920

3 15 3560 5 0.0.0.0 4.1.153.0 0 60 0 3600

. . . . . . . . .

Características dos dados de fluxos.

Algumas características dos dados de fluxos são importantes para serem descritas:

Muitas vezes o tempo de coletagem coincide entre amostras. Isto acontece em razão dos fluxos que foram criados após o coletor ter iniciado, e certamente estes fluxos não são perdidos de um coletor.

Uma regra pode ser alterada durante sua execução. E após exibir o fluxo da regra preparada 1 (default) na primeira coletagem, seguida pelo primeiro fluxo criado pela regra preparada 3 (a qual acabou de ser carregada pelo NeMaC).

FlowIndexes podem ser reusados pelo medidor uma vez que seu fluxo tenha sido recuperado pelo coletor de lixo. A combinação do FlowRuleSet, FlowIndex e StartTime serão necessárias para identificar um único fluxo.

Contadores de pacotes e bytes são inteiros sem sinal (não apresentam números negativos) de 32 Bits, e nunca são reinicializados pelo servidor. O processamento do contador ocorre quando um intervalo no coletor é requerido, buscando a diferença entre a contagem coletada e o valor do fluxo desde a última coleta.

Na amostragem de dados do arquivo de fluxo (sample flow) tem se usado espaços duplos como separadores entre os identificadores de fluxos, endereços pares, contadores PDU e contadores de pacotes.

Márcia G. Baltar