Happy 2 years !! (aka nfdump, fprobe)

Hoy, al ver si era cierto que en Debian las X corren como un usuario normal, no root:

$ ps u -C Xorg
...

Me pregunté, ¿y qué tendré corriendo como root??

$ ps u -u root
...
[Tareas internas del kernel y sus módulos]
cups, systemd* , gdm3, .... nfcapd

¿Espera?? nfcapd?? mmm Esto me recuerda que hace un tiempo estuve jugueteando con nfcapd y ahí se quedó .. Ahora que lo he visto voy a poner un pequeño resumen:

$ sudo aptitude install nfdump
$ sudo vim /etc/default/nfdump
nfcapd_start=yes
$ sudo systemctl start nfdump

Ya tenemos ahí el proceso nfcapd escuchando para grabar nuestros netflows, pero ahora necesitamos enviarle los flujos que queremos coleccionar:

$ sudo aptitude install fprobe
$ sudo fprobe -i wlan0 localhost:2055

Y ya estamos grabando en /var/cache/nfdump/*

Ahora sólo necesitamos esperar un rato o unos días y ver qué ha hecho el equipo en el que ha sido instalado nfdump.  En mi caso el ratito que he estado escribiendo esto:

# nfdump -R /var/cache/nfdump/nfcapd.201511172254  -s srcip
Top 10 Src IP Addr ordered by flows:
Date first seen          Duration Proto       Src IP Addr    Flows(%)     Packets(%)       Bytes(%)         pps      bps   bpp
2015-11-17 22:53:47.834   908.357 any       192.168.0.192      186(49.2)     1122(43.0)   133680(31.6)        1     1177   119
....

Por último, mi equipo va a cumplir 3 años en febrero. ¿Como saber en qué día se instaló, qué versión de debian y qué hardware había en el equipo??

$ sudo grep "system clock" /var/log/installer/syslog
Feb  4 23:10:59 kernel: [    1.079615] rtc_cmos 00:07: setting system clock to 2013-02-04 23:10:59 UTC (1360019459)

$ head -n3  /var/log/installer/lsb-release
DISTRIB_ID=Debian
DISTRIB_DESCRIPTION="Debian GNU/Linux installer"
DISTRIB_RELEASE="7.0 (wheezy) - installer build 20130204-00:18"

....

$ cat /var/log/installer/hardware-summary

...

Saludos!