darkstat memo

ネット&ツール
https://kaze88.hatenablog.jp/entry/2008/05/13/062700

Install Darkstat in Ubuntu
  

sudo apt-get install darkstat

to edit the the file located at /etc/darkstat/init.cfg
  
sudo gedit /etc/darkstat/init.cfg

# Turn this to yes when you have configured the options below.
  
START_DARKSTAT=no
to

START_DARKSTAT=yes

Now you need to start the darkstat using the following command
  
sudo /etc/init.d/darkstat start

-------------参考----
http://gigazine.net/index.php?/news/comments/20071207_darkstat/
http://opentechpress.jp/developer/article.pl?sid=07/12/11/0126238
実際に使ってみるには、まずファイルをダウンロード

wget http://dmr.ath.cx/net/darkstat/darkstat-3.0.707.tar.bz2

展開します。

tar jxf darkstat-3.0.707.tar.bz2

ディレクトリを移動。

cd darkstat-3.0.707

そしてインストール、あっという間に完了です。

./configure; make; make install

なお、libpcapがないと「configure: error: can't find usable libpcap」などのエラーが出るので、その場合にはちゃんと事前にlibpcapをインストールしておいてからやり直すと問題なくインストールできます。

RPMでインストールしたい場合には以下に一通りそろっています。

DAG: darkstat RPM packages for Red Hat, CentOS and Fedora

とりあえず起動して、出入りするトラフィックすべてを監視するには以下のようにします。

darkstat -i eth0

すると以下のように表示されます。

darkstat 3.0.707 (built with libpcap 2.4)
darkstat (12722): starting up
darkstat (12722): daemonizing to run in the background!
darkstat (12723): I am the main process
darkstat (12724): set uid/gid to 99/99
darkstat (12723): DNS child has PID 12724
darkstat (12723): caplen is 54
darkstat (12723): capturing in promiscuous mode
darkstat (12723): listening on 0.0.0.0:667
darkstat (12722): parent waiting
darkstat (12723): loaded 129 protos
darkstat (12723): loaded 253 tcp and 217 udp servs, from total 477
darkstat (12723): chrooted into: /var/empty
darkstat (12723): set uid/gid to 99/99
darkstat (12723): local_ip update(eth0) = ***.***.***.**
darkstat (12723): entering main loop
darkstat (12722): parent done reading, calling waitpid
darkstat (12722): waitpid ret 0, status is 134533031

3行目の表示、「daemonizing to run in the background!」はサービスが自動的にデーモンとして動作したことを示しており、4行目の「12723」がPIDとなります。そのため、停止させる場合には

kill -9 12723

とするか、

killall darkstat

とすれば停止できます。

あとは「http://そのサーバのIPアドレス:667」として接続すればグラフなどを見ることができるというわけ。

また、Linux.comの解説によると、「-p」で667以外のポート番号に変更したり、「-f」で特定のポート番号だけを監視したりすることも可能らしい。SSHの22番ポートのみを監視するには以下のようにする。

darkstat -i eth0 -l 192.168.0.0/255.255.255.0 -f "port 22"

マニュアルを読むと、統計結果をテキストファイルに出力するなども可能っぽい。いろいろと幅広く応用可能なようです。

-------667 ってことは 古いVの説明かな?