パケットキャプチャでsonarmanというフリーソフトがあるというのを聞いたので試してみた。
特徴として基本垂れ流しでキャプチャを取っていて、特定のsyslogメッセージを受け取った際に
一つ前のファイルと現在のキャプチャファイルを保存してくれるというものらしい。
■参考にさせて頂いたサイト
・http://develup-japan.co.jp/wp/works/sonarman-free-edition/
・https://github.com/DevelUpJapan/Sonarman
■内容
上記参考にさせて頂いたサイトにフリー版があるのでそれをダウンロードしてインストールしてみる。
vmwareにとりあえずデプロイしてみたところとても簡単に使えた。
・DebianのOSで動いている
・eth0がDHCPで動いている
・OSのデフォルトパス:sonarman/sonarman
・キャプチャはwiresharkを使っている
vmwareでデプロイした際にeth0に接続するセグメントではDHCPを動かしていなかったためNIC設定をstaticに変更する
/etc/network/interface 内にあるeth0設定をstaticでIP割り振り
ifdown ifupでネットワーク設定を再起動した後にIPにwebアクセス
・webのデフォルトパス:admin/pass
・web経由でキャプチャファイルをダウンロードできる
・webからNIC設定も変更できる
サイト自体はすごく簡素な作りになっていた。
受け取るsyslogメッセージはwebからは変更出来ない。
/home/sonarman/shells/swatchrc
の編集が必要
■終わり
データセンターのキャプチャを取り続けるというよりは、特定のサーバーの前にミラーポートを作り、
サーバーがsyslogを出したらキャプチャを退避する。
のような使い方が良さそうだと思った。
私の体験が誰かの生産性向上に役立っていただけることを祈って
