nfdump для ведения статистики по трафику
 

Добрый день!

Встала задача собирать и анализировать статистику по трафику на шлюзе Linux. Интересуют такие показатели, как объемы передаваемого трафика за период в сумме и с разбивкой по клиентским ip, топ посещаемых ресурсов по частоте и по объему трафика, статистика по протоколам (в сетях передается большое количество служебного трафика (не http/s)), а также некий журнал доступа для разбора полетов (кто, куда в какое время и по какому протоколу полез). Кроме того, нужно анализировать текущую активность. Последнюю задачу на ура решает trafshow. А вот для всего остального очень приглянулся pfdump. Но возникло несколько моментов, которые не совсем ясны:

1. Правильно ли я понял, что в файлы сохраняется каждый поток в строку с агрегацией по трафику и пакетам?
2. Какая нагрузка при сборе статистики на процессор и диск при 1) 10 клиентах и малой активностью по web, но существенный служебный трафик 2) 80 клиентов и активная нагрузка?
3. Сколько места могут занять файлы дампов за два месяца?
4. Сколько времени занимают запросы к файлам? Особенно если делается статистика за месяц..
5. Как будет учитываться трафик VPN (использую OpenVPN)? Я так понимаю нужно вешать сенсор на виртуальное сетевое устройство, но тогда будет дублироваться статистика по внешнему и vpn трафику
6. Совместимость с shorewall. В качестве средства управления файерволом хочу использовать shorewall (уж очень нравится подход :) ). Не будет ли вносить свои коррективы в правила iptables средства netflow
(не будут ли они друг другу мешать)?

На 6й пункт нашел ответ сам - поставил сенсор fprobe, который вполне мирно сосуществует с shorewall :)

fprobe следит за посещаемостью и временем, когда и сколько времени провёл юзер? Подскажите ещё ключи установки. И есть ли установщик в дистрибутиве AltLinux 5 Master?