t 옵션 없이 연동해봤다. 24시간 동안 기록된 pcap 파일 연동하는 데 26시간 소요? 연동 중에 렉 걸렸나? 일단 flow와 transaction 데이터 모두 같은 시간대에 기록된다.
flow 데이터에는 패킷 사이즈를 기록하는 'source.stats.net_bytes_total'이라는 필드가 있다. 다음은 UDP 트래픽 패킷 사이즈 발생 추이.
5353포트를 향한 패킷 사이즈 급증 확인.
다음은 원본 트래픽.
로그 개수 차이는 flow가 요약 통계니 그렇다치고, 패킷 사이즈는 왜 이렇게 차이가 나지? 비슷해야 하는 거 아닌가? 발생 추이도 영 딴판(..)
전체 패킷 사이즈도 차이가 너무 난다. 원본 트래픽은 고작 4GB인데 flow 통계 데이터는 60GB? 데이터가 누적되나? 아니면 버그?
 |
| flow 전체 패킷 사이즈 |
 |
| 원본 사이즈 |
 |
| http transaction 패킷 사이즈 |
 |
| 원본 http 패킷 사이즈 |
flow 데이터로 이상징후 분석은 힘들겠는데?
관련 글
댓글 없음:
댓글 쓰기