네트워크 로그는 /var/adm에 nettl.LOG00와 nettl.LOG01의 두개의 화일로 생깁니다. 이중 버퍼 형식으로 로그가 생기므로 보통 최신의 날짜를 가지고 있는 화일을
# netfmt -f /var/adm/nettl.LOG00로 압축을 풀어 내용을 봅니다.
***********************************STREAMS/UX*******************************
@#%
Timestamp : Thu Mar 21 KST 2002 00:14:49.611295
Process ID : [ICS] Subsystem : STREAMS
User ID ( UID ) : -1 Log Class : ERROR
Device ID : 0 Path ID : 0
Connection ID : 0 Log Instance : 0
Location : 00123
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
32 00:14:49 182459261 1 T.. 0 0 IP: Hardware address '00:80:d3:51:d2:40'
trying to be our address 134.100.001.156!
필요에 따라 로그 수준을 높일 때가 있는데
# nettl -log i w e d -e <subsystem>로 변경합니다. <subsystem>은 #nettl -status의 결과를 보고 결정하고 i은 informative, w은 warning, e은 error, d은 disaster을 의미합니다.
**********************************************************************************************************
**********************************************************************************************************
**********************************************************************************************************
문] 네트웍 문제 분석을 위하여, 5분 간격으로 30초간 주기적으로 nettl을 뜨고자 합니다.방법은 ?
ANSWER:
아래와 같이 하면 됩니다.
[root@krcipf4c:/tmp] vi aa.sh
today=`date +%e%H%M`
sleep 1
nettl -tn pduin pduout -e ns_ls_ip -size 1024 -m 300 -f /tmp/$today -tm 60000
sleep 30
nettl -tf -e all
netstat -an > $today.txt
[root:/tmp] ll *TRC*
-rw------- 1 root sys 55946 May 29 17:01 291701.TRC000 <---- 날짜시간분으로 파일이 생성됩니다. (29일19시01분에받은것)
-rw------- 1 root sys 72738 May 29 17:02 291702.TRC000
-rw------- 1 root sys 69223 May 29 17:03 291703.TRC000
-rw------- 1 root sys 13073 May 29 17:04 291704.TRC000
#crontab -e 에 아래와 같이 등록
0,5,10,15,20,25,30,35,40,45,50,55 * * * * /tmp/aa.sh
위와 같이 해 놓으면 매 5분마다 nettl과 netstat을 받을 수 있습니다.
필요에 따라서, 다른 명령어를 스크립트내에 추가하여도 됩니다.
**********************************************************************************************************
**********************************************************************************************************
**********************************************************************************************************
QUESTION:
간단한 nettl 사용법
ANSWER:
nettl을 man page를 보고 사용해도 되나 간단히 아래와 같이
start, stop, filter 세 file을 만들어 사용하는 방법입니다.
#vi start
nettl -tn pduin pduout -e ns_ls_ip -tm 1048576 -ks 10M -us 10M -f scan
-> 11.11일때 사용
#vi start
nettl -tn pduin pduout -e ns_ls_ip -tm 99999 -f scan
-> 11.23일때 사용
#vi stop
nettl -tf -e all
상대방 server와 통신하는 것만 볼려고 할땐 IP를 가지고 filtering #vi filter filter ip_saddr 128.15.50.101 filter ip_daddr 128.15.50.101
특정 port를 가지고 사용할때는
#vi filter
filter tcp_sport 12002
filter tcp_dport 12002
#vi filter
filter udp_sport 53
filter udp_dport 53
#./start 하시고 문제발생직후
#./stop 하시면 됩니다.
이때 scan.TRC000 file이 생깁니다.
만약 data가 너무 많이 쌓이면 TRC001 이 생깁니다. 그러면 TRC001도 data를 받아야 합니다.
#netfmt -Nnlc filter -f scan.TRC000 > scan0.out #netfmt -Nnlc filter -f scan.TRC001 > scan1.out
# netfmt -f /var/adm/nettl.LOG00로 압축을 풀어 내용을 봅니다.
***********************************STREAMS/UX*******************************
@#%
Timestamp : Thu Mar 21 KST 2002 00:14:49.611295
Process ID : [ICS] Subsystem : STREAMS
User ID ( UID ) : -1 Log Class : ERROR
Device ID : 0 Path ID : 0
Connection ID : 0 Log Instance : 0
Location : 00123
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
32 00:14:49 182459261 1 T.. 0 0 IP: Hardware address '00:80:d3:51:d2:40'
trying to be our address 134.100.001.156!
필요에 따라 로그 수준을 높일 때가 있는데
# nettl -log i w e d -e <subsystem>로 변경합니다. <subsystem>은 #nettl -status의 결과를 보고 결정하고 i은 informative, w은 warning, e은 error, d은 disaster을 의미합니다.
**********************************************************************************************************
**********************************************************************************************************
**********************************************************************************************************
문] 네트웍 문제 분석을 위하여, 5분 간격으로 30초간 주기적으로 nettl을 뜨고자 합니다.방법은 ?
ANSWER:
아래와 같이 하면 됩니다.
[root@krcipf4c:/tmp] vi aa.sh
today=`date +%e%H%M`
sleep 1
nettl -tn pduin pduout -e ns_ls_ip -size 1024 -m 300 -f /tmp/$today -tm 60000
sleep 30
nettl -tf -e all
netstat -an > $today.txt
[root:/tmp] ll *TRC*
-rw------- 1 root sys 55946 May 29 17:01 291701.TRC000 <---- 날짜시간분으로 파일이 생성됩니다. (29일19시01분에받은것)
-rw------- 1 root sys 72738 May 29 17:02 291702.TRC000
-rw------- 1 root sys 69223 May 29 17:03 291703.TRC000
-rw------- 1 root sys 13073 May 29 17:04 291704.TRC000
#crontab -e 에 아래와 같이 등록
0,5,10,15,20,25,30,35,40,45,50,55 * * * * /tmp/aa.sh
위와 같이 해 놓으면 매 5분마다 nettl과 netstat을 받을 수 있습니다.
필요에 따라서, 다른 명령어를 스크립트내에 추가하여도 됩니다.
**********************************************************************************************************
**********************************************************************************************************
**********************************************************************************************************
QUESTION:
간단한 nettl 사용법
ANSWER:
nettl을 man page를 보고 사용해도 되나 간단히 아래와 같이
start, stop, filter 세 file을 만들어 사용하는 방법입니다.
#vi start
nettl -tn pduin pduout -e ns_ls_ip -tm 1048576 -ks 10M -us 10M -f scan
-> 11.11일때 사용
#vi start
nettl -tn pduin pduout -e ns_ls_ip -tm 99999 -f scan
-> 11.23일때 사용
#vi stop
nettl -tf -e all
상대방 server와 통신하는 것만 볼려고 할땐 IP를 가지고 filtering #vi filter filter ip_saddr 128.15.50.101 filter ip_daddr 128.15.50.101
특정 port를 가지고 사용할때는
#vi filter
filter tcp_sport 12002
filter tcp_dport 12002
#vi filter
filter udp_sport 53
filter udp_dport 53
#./start 하시고 문제발생직후
#./stop 하시면 됩니다.
이때 scan.TRC000 file이 생깁니다.
만약 data가 너무 많이 쌓이면 TRC001 이 생깁니다. 그러면 TRC001도 data를 받아야 합니다.
#netfmt -Nnlc filter -f scan.TRC000 > scan0.out #netfmt -Nnlc filter -f scan.TRC001 > scan1.out