2022年Panabit开发指南 .pdf

《2022年Panabit开发指南 .pdf》由会员分享，可在线阅读，更多相关《2022年Panabit开发指南 .pdf（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1. 硬件问题及评估系统诊断命令主要用来对硬件配置及性能进行诊断，目前主要提供以下诊断功能：1） HT（Hyper Threading）问题诊断2） 硬件性能评估1.1 HT 问题诊断（ jflow stat）Panaos在某些打开了CPU HT （Hyper Threading）选项主机上CPU 调度功能不能正常工作，主要表现为数据处理CPU 不能正确切换，因此，要想确保Panaos 的调度能正常工作，一般需要在BIOS 里关闭HT。通过 jflow stat 命令可以发现Panaos 的调度是否正常工作。下面是执行一次该命令的屏幕输出：# floweye jflow stat jflow_

2、pkt_count=0 jflow_loop_count=404695071 jflow_mbuf=0 x0 jflow_stage=21 event_qsize=2047 event_count=0 event_reader=0 event_writer=0 主要看 jflow_loop_count这个计数器，如果在两次命令执行之间，这个参数一直没有变化，或者第一次执行时，这个参数为0，那么就表示Panaos的调度没有正常工作，HT肯定被打开了，需要在BIOS 里将 HT 关掉。1.2 硬件性能评估（if sendpkt）为了方便合作伙伴快速并方便的诊断自己采购的硬件设备的性能，Panabi

3、t 在 10.04 版本中集成了一个用来测试设备网络性能的工具，这个工具由if sendpkt来触发。下面先介绍一下如何构建测试的环境。构建测试环境的工作很简单，只需要被测试机和一根或几根网线即可。假如想测试设备上 em0 和 em1 两个网络端口之间的性能，可以如下实现：1） 将 em0 和 em1 设置成网桥模式（注意：必须属于同一个网桥）2） 将 em0 和 em1 用网线连接起来3） 使用 if sendpkt命令发种子包4） 使用 if stat命令查看实时em0 和 em1 上的实时统计结果If sendpkt命令格式如下：If sendpkt if-name packet-num

4、 packet-size 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 17 页 - - - - - - - - - 其中：1） if-name ：网卡的名称，比如em0 或 em1 2） packet-num ：发送种子包的个数，一般使用32 或 64 3） packet-size ：发送种子包的长度，比如64 、128 和 256 等等例如： if sendpkt em0 32 64，就表示发送32 个长度为64 字节的 UDP 数据包（注意，Panabit使用 U

5、DP 数据包作为测试种子包，目前还不支持其它类型的数据包）。使用这个命令后，就可以测试从em0 到 em1 方向上的 64 字节数据包时的性能。如果想同时测试两个方向的性能，只需要执行一次if sendpkt em1 32 64命令即可， if stat 命令会显示两个方向上的统计结果。如果只想测试硬件的裸体性能（就是不经过Panabit 业务逻辑），可以在执行if sendpkt命令之前，先将网卡设置成软件bypass 模式（注意不是硬件bypass ） ，具体命令如下：# floweye if set name=em0 bypass=1 # floweye if set name=em1

6、bypass=1 2. 对象统计分析根据对象类型，网络流量统计命令可以分为几个大类：1） 网卡流量统计：统计网卡流量以及收发包信息2） 应用流量统计：统计应用或应用组流量信息3） IP 流量统计：统计某个内网IP 流量信息4） 应用对象统计：统计QQ 号码， MSN 账号和共享用户等信息5） 数据库信息显示2.1 网卡流量统计（if stat, if get）If stat 命令主要用来查看网卡数据速率(bps) ，收发包速率 (pps) 和 TCP 、UDP 以及网卡上面的寄存器信息，它的格式为：If stat if-name 如果指定网卡名称（if-name ） ，则显示该网卡内部驱动所统

7、计到的信息，比如寄存器信息，网卡队列信息等等。如果不指定任何网卡，则显示所有网卡的统计信息，下面是一个统计例子：ix3 9823.46M 9823.48M 959322 959324 0 0 9823.46M 9823.48M 0 0 959322 959324 0 0 ix1 9823.48M 9823.46M 959324 959322 0 0 9823.48M 9823.46M 0 0 959324 959322 0 0 上面输出总共有15 列，每列顺序如下：name bps-in bps-out pps-in pps-out bps-tcpin bps-tcpout bps-udpin

8、 bps-udpout pps-tcpin pps-tcpout pps-udpin pps-udpout pps-syn pps-synack 其中：1） name表示网卡名称2） bps 是 bit per second的简写名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 17 页 - - - - - - - - - 3） pps 是 packet per second的简写4） in 表示输入， out 表示输出5） syn 表示 TCP 的 SYN 包6） syn

9、ack 表示 TCP 的 SYN-ACK 包if get命令用来获取某个网卡上的统计信息，比如下面的输出：quota=20 mtu=1500 zone=inside mode=0 ifdesc=82545EM_COPPER peer=none driver=PANAOS link-state=up macaddr=00:0C:29:67:51:F7 rx-byte=185973 rx-pkt=1417 rx-tcp-byte=168970 rx-tcp-pkt=1328 rx-udp-byte=14543 rx-udp-pkt=48 tx-byte=0 tx-pkt=0 tx-tcp-byte

10、=0 tx-tcp_pkt=0 tx-udp-byte=0 tx-tcp-pkt=0 invalid-pkt=0 no-buffer=0 tx-drop=0 watchdog-events=0 big-packets=0 bps-in=0 bps-out=0 bps-tcp-in=0 bps-tcp-out=0 bps-udp-in=0 bps-udp-out=0 pps-in=0 pps-out=0 pps-tcp-in=0 pps-tcp-out=0 pps-udp-in=0 pps-udp-out=0 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - -

11、- - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 17 页 - - - - - - - - - 上面每一行的输出含义自明，这里不再赘述。2.2 应用流量统计（app stat ）应用流量统计命令可以根据用户指定的参数或选项显示对应的应用流量统计信息，这些统计信息包括如下内容：1） 当前连接数2） 当前节点数3） 累计上下行流量和总流量4） 最近 10 分钟上下行流量和总流量5） 流量所占列表项的百分比6） 当前的上下行速率和总速率下面是 app stat的命令格式：app stat app=XXX sort=xxx bridge=xxx showsum 其中

12、：1） app 表示应用名称或应用组名称。比如app=p2p表示显示P2P 协议组里的所有应用统计信息；2） sort 表示排序方式。 sort=all 表示按照累计总流量排序；sort=last表示按照最近10分钟总流量排序；sort=bpsup表示按照当前上行速率排序；sort=bpsdn表示按照当前下行速率排序；sort=bps表示按照当前总速率排序；sort=allup表示按照累计上行流量排序；sort=alldn表示按照累计下行流量排序；sort=lastup表示按照最近10 分钟上行流量排序；sort=lastdn表示按照最近10 分钟下行流量排序；sort=flow表示按照当前连

13、接数排序；3） bridge 表示网桥编号。0 表示整个系统；14 分别表示网桥1 至网桥 4；58 表示虚拟链路1 至 4；4） showsum表示是否在最后显示一行汇总信息，如果没有这个参数，则表示不显示汇总信息；下面是一次输出结果：default 未知应用0 0 155.18K 0 155.18K 81.66 135.78K 0 135.78K 87.61 0 0 0 https HTTPS 8 0 584.43K 0 584.43K 3.16 124.89K 0 124.89K 4.36 0 0 0 . thunder 迅雷0 0 0 0 0 0.00 0 0 0 0.00 0 0 0

14、 每列的含义依次如下：应用英文名；应用中文名；应用连接数；应用节点数；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 17 页 - - - - - - - - - 累计上行流量；累计下行流量；累计上下行流量之和；累计流量所占百分比；最近10分钟上行流量；最近10分钟下行流量；最近10分钟累计上下行流量之和；最近10分钟累计流量所占百分比；上行速率；下行速率；上下行总速率。2.3 内网 IP 流量统计（ipobj get,ipobj listflow,ipobj listi

15、pa, ipobj list）当打开“内网IP 统计”选项后，Panabit 就会记录并统计每个它所检测到的内网IP 的相关信息，这些信息包括：1） 汇总信息（比如流入和流出速率，TCP 和 UDP 连接数）2） 身份信息（比如QQ 号码， MSN 账号， POP3 账号）3） 共享用户信息4） 连接数信息5） 当前应用流量信息Ipobj ge t 命令用来获取汇总信息，它的格式为：ipobj get ip-address# floweye ipobj get 192.168.0.2addr=192.168.0.2 ttl=600 life=6181 inbytes=692.30K outby

16、tes=1.04M bpsin=0 bpsout=0 flowcnt=2 tflowpassed=0 uflowpassed=0 bindmac=0 mac=00.1c.bf.83.26.57其中 ttl 表示该 IP 的生存期，如果在这个时间内没有流量的话，该IP 对象就会从系统那个中删除掉；bindmac表示是否做IP 和 MAC 地址绑定（目前这个字段只是保留，并没有实现）；life 字段表示该IP 从第一次检测到现在所存在的时间；其它字段不言自明，这里就不赘述了。 ttl 和 life 的单位均为秒。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - -

17、- - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 17 页 - - - - - - - - - Ipobj listflow命令用来列出某个IP 地址当前所有的TCP 和 UDP 连接信息， 它的格式为： ipobj listflow ip-addr app。app 为可选参数，如果指定app ，则只显示属于该app 的连接，app 可以是一个单独的应用，也可以是一个应用组比如ipobj listflow 192.168.0.2 p2p显示 192.168.0.2的所有 p2p 连接。下面是一条连接的信息：67 HTTPS tcp 192.168.0.2:2

18、855-192.168.0.20:443 1624 3040 83 4664 0 0 其中：1）67 表示这条连接从创建到现在存在了67 每秒；2）HTTPS 表示这是一条HTTPS 应用连接；3）tcp 表示这是一条TCP 连接；4）192.168.0.2:2855-192.168.0.20:443包含连接的IP 地址和端口信息；5）1624 和 3040 为连接正反两个方向的流量分别为1624Bytes和 3040Bytes ，4664是这两个数之和；6）83 表示该连接的剩余生存期为83 秒身份信息和共享用户信息使用appobj list命令显示，请参考它的使用说明。Panabit会实时

19、记录分析内网IP 的当前流量信息，用户可以使用ipobj listipa命令，命令使用方式如下：ipobj listipa ip xxx.xxx.xxx.xxx s in|out|all app app-name 其中：1）-ip 参数表示指定IP 地址，可以指定某个IP 地址，也可以指定一段IP 地址或一个子网段；2）-s 参数指定排序方式，in 表示按照应用流入速率排序，out 表示按照应用流出速率排序， all 表示按照应用总速率排序。3）-app 指定应用或应用组ipobj listipa命令输出的每一行格式如下：ip地址 应用英文名称应用中文名称应用流入速率应用流出速率应用总速率那么

20、，用户如何能得到目前在线的内网IP 列表呢？这可以使用ipobj list 命令， ipobj list 命令格式如下：ipobj list -ip ip-addr -s all|in|out|allbps|inbps|outbps|flowcnt|ipaddr|account|natip -n xx 其中：1）-ip 参数指定要显示的IP 地址及其范围，比如10.1.1.1-10.1.1.255，也可以指定单个 IP 地址；2）-s 参数指定如何对显示结果排序，all、in 和 out 分别对应总流量、流入流量和流出流量； allbps 、inbps 和 outbps 分别对应总速率、流入速

21、率和流出速率；flowcnt 指按照连接数排序； ipaddr 表示按照 IP 地址排序； account表示按照身份信息个数排序；natip 表示按照共享用户数排序；3）-n xx 参数表示只显示前xx 项；Ipobj list 命令针对每个IP，输出一行信息，每行信息对应的字段含义从前到后依次为：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 17 页 - - - - - - - - - 1）IP地址2）在线时间（以秒为单位）3）TTL 4）连接数5）MAC地址6）流

22、入流量7）流出流量8）流入速率9）流出速率10）身份信息数11）共享用户数2.4 应用对象统计（appobj list）在 Panabit中，像 MSN 账号、 QQ 号码、 POP3 账号以及共享用户等信息都是作为应用对象（ Application Object）来管理的。可以使用appobj list命令来显示系统中的所有应用对象。需要注意的是，这个命令没有提供过滤功能，所以需要自己使用grep 或其它的方式进行过滤。 appobj list命令显示的每一行为一个对象，每行格式如下：type type-description object-id ip-address last-time 其

23、中：1） type 为对象的类型.qq 表示对象为QQ 号码； msn 表示对象为MSN 账号； lip 表示共享用户；2） type-description是对对象类型的描述性信息；3） object-id 根据对象类型不同，内容也不一样。如果type 为 qq，那么 object-id 就是QQ 号码，其它类推；4） ip-address为该对象所属的内网IP 地址；5） last-time 为该对象最后一次检测到的时间；2.5 数据库信息显示（chart dump，chart rowlist）Panabit有一个进程叫ipe_datamon ，这个进程主要功能就是维护Panabit 数据

24、库，它主要负责下面的事情：1）定期从 Panaos 采集各种数据对象的信息（目前缺省的是5 分钟采集一次） ，比如网卡流量信息，应用流量信息等；2）所有数据都保存在内存中，最多保存30 天的数据记录；3） 每隔 5 小时将内存中的数据刷新到CF 卡或硬盘上， 保存的数据文件名为panabit.rrd ；4）接受 floweye的数据库操作命令，比如chart dump命令；chart dump命令使用方式如下：chart dump bridge=n hours=nn tmend=nnn tag=tag1 tag=tag2 tag=tagN其中：1) bridge 参数用来指定要显示的网桥或虚拟

25、链路，0 表示整个系统， 14 表示网桥1名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 17 页 - - - - - - - - - 网桥 4，58 表示虚拟链路14 ；2）hours和 tmend两个参数决定了要显示时段的数据，命令显示的时段为tmendhours * 3600, tmend ；不在时段之外的数据不显示；3） tag参 数用 来指 定要 显示的 字段 。比 如 p2p.thunder.flow表 示迅雷 连接 数；p2p.thunder.bpsout表

26、示迅雷上下速率；p2p.thunder.bpsin表示迅雷下行速率；p2p.thunder.bps表示迅雷总速率； em0.ppsin 表示网卡em0 的流 pps； em0.ppsout表示网卡em0 的流出 pps； em0.pps 表示网卡em0 的总 pps 。具体 tag 参数可以参见 Web 界面脚本里的实现。对于每个tag，chart dump输出如下内容：TAG tag-name tag-desc DATA time value 上面的 TAG 和 DATA 为关键字， time 的单位为秒，value 是该时刻的值。需要注意的是，chart dump 会自动根据时长给出相应间

27、隔的数据，比如1 周时长的时段的数据实际上就是数据库里若干条数据平均后的结果。用户也可以使用chart rowlist命令显示最后一次采集的数据，具体显示的内容其含义不言自明，这里离就不举例了。3. 配置管理Panabit的配置管理主要包括：1） 网络配置2） 应用参数配置3） 节点管理4） 内网伪 IP 防护5） 网桥带宽配置6） 内网 IP 统计选项配置3.1 网络配置（ ifconfig,route,if set,em setspeed）Panabit的网络配置方面比较简单，主要包括：1） 管理口配置2） 数据口配置管理口由FreeBSD直接管理，所以它的配置是使用FreeBSD的 if

28、config（配置接口）和 route （配置路由）命令。比如，将管理口fxp0 的 IP 地址配置成192.168.1.100/24，使用下面命令即可做到：#ifconfig fxp0 192.168.1.100/24 或者名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 17 页 - - - - - - - - - #ifconfig fxp0 192.168.1.100 netmask 255.255.255.0 route命令用来增加或删除路由，比如下面的命令用来添

29、加缺省网关为192.168.1.1 ：#route add default 192.168.1.1 数据口主要使用floweye 的 if set 命令，它的使用方法如下：If set name=if-name mode=n zone=inside|outside 其中：1） if-name 为网卡名称，如em0, em1等等；2） mode 为网卡模式， 0 表示监控模式， 1，2，3 和 4 分别表示网桥1，网桥 2，网桥3 和网桥 4；3） zone 表示网卡接入位置，inside 表示接内网， outside 表示接外网；如果数据接口是Intel 千 M 卡 （比如 82571/2/3

30、/3/5/6芯片） ， 那么可以使用em setspeed命令设置网卡的协商模式（如自动协商、强制1000M 全双工等）。em setspeed命令使用方式为 em setspeed if-name speed，其中：1） if-name 为网卡名称，如em0, em1等；2） speed 为网卡协商速率设置，auto 表示自动协商，1000LX 表示单模强制全双工，1000SX 表示多模强制全双工，1000T 表示电口强制全双工；需要注意的是，设置网卡协商模式命令发出后，Panaos会 reset 网卡，所以会出现短暂的断网，请尽量避免在有高流量的时候做设置。3.2 应用参数配置（app s

31、et ）对于每个应用协议，目前有三个标准参数可供配置：1） 连接老化时间，指连接没有通过流量时的最大生存时间，以秒为单位。2） 节点老化时间，指节点没有新建连接时的最大生存时间，以秒为单位。3） 是否缓存节点，指是否缓存节点，游戏协议一般会打开此选项。app set命令格式为：app set app-name flowttl=nnn nodettl=nnn cachesn=yes|no其中， flowttl 、nodettl 和 cachesn分别对应上述三个参数。3.3 节点管理（ node add, node remove）节点在 Panabit中是一个很重要的概念，它对性能的提升有着很重

32、要的作用。所谓节点，实际上就是一个IP 地址和端口的二元组，比如一个游戏服务器的IP 地址和端口。Panabit所识别的很多应用协议都打开了节点缓存功能，在某些极端情况下，节点缓存会导致一些误识别， 在出现这样的情况下， 可以通过 node add命令强制将误识别的节点修正或使用node remove强制将它删除。它们的使用方法如下：node add ip-address port app-name type 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 17 页 -

33、- - - - - - - - node remove ip-address port 其中：1） ip-address为节点的IP 地址2） port 为节点的端口号3） app-name为节点应用类型4） type 为节点的4 层协议类型，如tcp 表示 TCP 类型， udp 表示 UDP 类型， both表示既是TCP ，又是 UDP 3.4 内 网 伪IP防 护 （ ipverify addip, ipverify rmvip,ipverify clearip, ipverify enable, ipverify disable）由于网络中病毒的问题，经常会出现一些恶意攻击包，其中有

34、很多攻击包的源地址是伪造的，这些非正常的数据包会给Panabit带来一系列的问题：1） 内网 IP 池很快被耗尽，导致正常的IP 流量不能统计。2） 连接池很快被耗尽，导致正常的连接信息不能记录，因而无法分析网络流量。基于上述两个缘故，并且出于Panabit 自身功能正常运转的目的，Panabit 内置了一个内网伪 IP 防护模块。这个模块的工作原理如下：1） 用户通过ipverify addip命令将内网合法的IP 地址或 IP 段告诉 Panabit 2） 当 Panabit 接收到一个IP 包后，它先判断其源IP（如果是从内网卡进来的包）或目的 IP（如果是从外网口进来的包）是否在合法I

35、P 表中，如果在，就进入正常的应用分析模块；如果不在，直接将此数据包当做“内网伪IP”应用，进入策略处理模块。Panabit缺省情况下，对这种类型的数据包是做放行处理的，如果用户需要对此类数据包进行处理，就需要在策略组中添加相应的处理策略。另外，在缺省情况下， 内网伪 IP 防护模块是没有打开的，用户可以使用ipverify enable命令打开此模块，也可以使用ipverify disable功能关闭它。需要注意的是，如果打开此功能模块而没有将合法的内网IP 地址或地址段告诉Panabit ，那么正常的流量就会被Panabit标记成“内网伪IP” ，从而影响设备的正常使用。用户可以使用ipv

36、erify addip将合法内网IP 地址添加到IP 池进行操作，比如：1） ipverify addip 192.168.1.1，将 192.168.1.1添加到池中2） ipverify addip192.168.1.1-192.168.1.3， 将192.168.1.1、 192.168.1.2和192.168.1.3添加到池中3） ipverify addip 192.168.1.0/24，将 192.168.1.0/24整个 C 类网段添加到池中同样的，也可以使用ipverify rmvip来删除池中的某个或某些IP 地址，比如命令ipverify rmvip 192.168.1.1

37、将 192.168.1.1从池中删除。如果想一次性清空池中的所有IP 地址，可以使用ipverify clearip命令，这个命令没有任何参数。3.5 网桥带宽配置（policy setgbw, policy getgbw）我们经常碰到在某些特殊的环境下要对某种关键应用做带宽保证或预留。Panabit 在实名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 17 页 - - - - - - - - - 现带宽预留或保证的时候采取的算法非常简单，就是从总带宽中抠出要预留或保证

38、的部分。如果要想做到这一点，Panabit就需要知道系统的总带宽有多少，用户可以使用policy setgbw命令告诉Panabit 。 policy setgbw命令的使用非常简单：policy setgbw bridge=n in=nnn out=nnn name=xxx 其中：1） bridge 参数让用户选定网桥，1，2，3 和 4 分别表示网桥1、网桥 2、网桥 3 和网桥 4；2） in 参数设置网桥的下行带宽；3） out 参数设置网桥的上行带宽；4） name 参数是可选的，用来设置网桥的名称；所有带宽参数的单位均为kbps ，所以 1000 就表示 1Mbps 。如果想获取这

39、些参数，则可以使用policy getgbw命令，这个命令的输出很简单，在此就不再赘述了。3.6 内网 IP 统计选项配置（ipobj setarg）在专业版里， 内网 IP 统计选项缺省时关闭的，如果要打开这个选项，就需要是用ipobj setarg命令，它的使用方式如下：ipobj setarg enable=1|0 ttl=nnn 其中：1） enable 选项表示是否打开内网IP 统计功能， 1 表示打开， 0 表示关闭2） ttl 用来设置内网IP 的老化时间，当在此时间内没有流量时，系统就会将IP 地址从表中删除， ttl 的单位为秒，系统缺省值是1800 秒。4. 日志管理和接口

40、Panabit目前可以向外界输出其记录下来的行为，输出方式有：1） 以 NETFLOW v5格式输出给netflow 服务器2） 以文本方式输出给 syslog 服务器3） 以 Panabit专用格式输出给 Panabit 日志服务器或第三方提供的服务器我们可以将Panabit 的日志根据内容简要分为两大类：1）网络事件。比如连接终止，URL访问， QQ登陆和退出，MSN登陆，POP3登陆和 DNS查询；2）网络流量。比如应用协议流量，内网IP流量。目前 Panabit对以下网络事件进行记录：1）连接终止。每条连接信息包括连接创建和结束的时间，4 层协议 5 元组（源地址，目标地址，源端口，目

41、标端口，协议），应用协议信息（应用类型，流量）。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 17 页 - - - - - - - - - 2） URL访问。记录 URL 访问记录，比如哪个IP 在何时访问了哪个网站的哪条URL。3） QQ登陆和退出。记录 QQ 用户登陆和退出的日志，比如哪个IP 何时通过什么样的QQ 号码登陆到哪个服务器。4） MSN登陆。同上类似。5） POP3登陆。同上类似。6） DNS查询。记录用户访问DNS 记录，比如哪个IP 何时通过哪个

42、DNS 服务器查询了哪个域名。4.1 网络事件日志配置（logger config, logger stat）logger config命令的使用方式如下：logger config arg1=value1 arg2=value2 argN=valueN目前支持下面的参数：1） logflow=none|syslog|netflow；2） logqq=none|syslog|mem；3） logmsn=none|syslog|mem；4） logpop3=none|syslog|mem；5） logdns=none|syslog|mem；6） syslog_serverip=xxx.xxx.x

43、xx.xxx，SYSLOG服务器 IP 地址。7） syslog_serverport=nnn， SYSLOG 服务器端口。8） netflow_serverip=xxx.xxx.xxx.xxx，NETFLOW服务器 IP 地址。9） netflow_serverport=nnn，NETFLOW服务器端口。在上面 参数 中， ” none ” 表示 不记录 日志 ； ” syslog ” 表 示以SYSLOG方式 输出日志； ” netflow ” 表示以 NETFLOW v5格式输出日志；” mem ” 表示将日志输出到buffer 中。配置完后， 用户可以通过logger stat命令查看

44、当前各个参数的值，logger stat的输出比较简单，这里就不举例了。4.2 显示缓冲区中网络事件日志信息（logger dumpbuf, logger clearbuf）有时为了调试或其它某种目的，需要将日志信息保存到某个缓冲区中，并显示保存在该缓冲区中的信息。Panabit 可以通过logger config命令的 XX_savetomem参数来控制相应的日志内容是否保存中，如果对应的参数是1， 则表示保存在内存中； 否则就通过SYSLOG输出到 SYSLOG服务器上。用户在设置了上述选项后，可以使用logger dumpbuf命令查看保存在该缓冲区的所有日志内容。可以通过logger

45、clearbuf命令清楚缓冲区中的所有日志信息。需要注意的， 一旦该缓冲区已满，后续的日志将会被丢弃，而不是覆盖老的日志，同时，logger dumpbuf命令也不会自动清楚缓冲区的内容。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 17 页 - - - - - - - - - 4.3 网络事件日志内容格式网络事件主要以SYSLOG或 NETFLOW格式输出，其中SYSLOG居多（目前只有连接终止事件才会使用NETFLOW v5格式） 。当采用 SYSLOG方式输出事

46、件日志时，每个时间占用一行，并且以“”字符串开始，后面跟描述时间内容的字符串。如果SYSLOG 服务器是共用的话，用户可以将这个字符串作为标识，表示这个来自于Panabit 设备的时间日志输出。注意，“n”为设备标识（请看 4.6 ） ，是用户设置的一个整数，缺省值为0。4.3.1 连接终止事件连接终止事件有两种格式：1）SYSLOG格式2）NETFLOW v5格式SYSLOG格式连接终止事件:= 连接类型+ 连接时间+ 连接信息+ 正向流量+ 反向流量其中各个域之间通过一个空格隔开，各个域分别描述如下：（1）连接类型： 表示连接的应用类型及连接的类型（TCP 或 UDP） ，格式为 “协议英

47、文名称 .tcp”或“协议英文名称.udp ” 。比如“ edonkey.tcp”表示这是一个TCP 类型的 edonkey 会话。（2）连接时间：格式为“起始时间-结束时间”，起始和结束时间都以秒为单位，表示从 1970 年 0 点开始的秒数，均为整数字符串。（3）连 接 信 息： 格 式 为 “ 源 地 址 : 源 端 口 - 目 的 地 址 :目 的 端 口 ”， 比 如10.1.1.10:1360-202.10.1.1:21。（4）正向流量：源地址至目的地址方向的字节数（5）反向流量：目的地址至源地址方向的字节数4.3.2 QQ 登陆退出事件QQ登陆事件:= “ qqlogin ” +

48、 登录时间+ QQ号码+ 登录地址+ 登录服务器地址QQ退出事件:= “ qqlogoff ” + 登录时间+ QQ号码+ 登录地址+ 登录服务器地址其中各个域之间通过一个空格隔开，各个域分别描述如下：（1）登录时间：登录时的时间，一个以秒为单位的整数字符串（2）QQ号码：一个整数字符串（3）登录地址：QQ 登录的计算机IP 地址，格式为xxx.xxx.xxx.xxx的字符串（4）登录服务器地址：QQ 服务器地址，格式为xxx.xxx.xxx.xxx的字符串名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -

49、 - - - - 第 13 页，共 17 页 - - - - - - - - - 4.3.3 MSN 登陆事件MSN登陆事件:= “ msnlogin” + 登录时间+ email帐号+ 登录地址+ 登录服务器地址其中各个域之间通过一个空格隔开，各个域分别描述如下：（1）登录时间：登录时的时间，一个以秒为单位的整数字符串（2）email帐号：用户的MSN 帐号（3）登录地址：MSN 登录的计算机IP 地址，格式为xxx.xxx.xxx.xxx的字符串（4）登录服务器地址：MSN 服务器地址，格式为xxx.xxx.xxx.xxx的字符串4.3.4 DNS 查询事件QQ查询事件:= “ dnsqu

50、ery” + 查询时间+ 域名+ 源地址+ DNS服务器地址其中各个域之间通过一个空格隔开，各个域分别描述如下：（1）查询时间：查询时的时间，一个以秒为单位的整数字符串（2）域名：要查询或者解释的域名，比如 （3）源地址：客户机的地址，格式为xxx.xxx.xxx.xxx的字符串（4）DNS服务器地址：DNS 服务器地址，格式为xxx.xxx.xxx.xxx的字符串4.3.5 POP3 登陆事件POP3登陆事件:= “ pop3login” + 登陆时间+ 账号+ 源地址+ POP3服务器地址其中各个域之间通过一个空格隔开，各个域分别描述如下：（1）登陆时间：登陆时的时间，一个以秒为单位的整数