iptraf网络监控

IPTraf 网络监控工具使用说明

iptraf的老家： http://iptraf.seul.org 中文手册原文： [url]http://oldsite.[/url]linuxaid.com.cn/solution/showsol.jsp?i=380 网络监控工具：IPTraf 简介 1.安装 1.1.系统需求 1.2.安装 1.3.启动IPTraf 1.4.命令行选项 1.5.进入菜单界面 2.使用IPTraf 2.1.通常信息 2.2.IP流量监视 2.3.网络接口的通常信息统计(General Interface Statistics) 2.4.网络接口的细节信息统计(Detailed Interface Statistics) 2.5.统计分析(Statistical Breakdowns) 2.6.局域网工做站统计(LAN Station Statistics) 3.显示过滤器(Display Filter) 3.1.TCP过滤器(TCP Filters) 3.2.其它协议过滤器 4.IPTraf配置 4.1.开关选项> 4.2.时钟选项(Timers) 4.3.信息定置选项 4.4.局域网工做站标志符(LAN Station Identifiers) 简介 IPTraf是一个IP网络监控工具。它拦截网络上的报文，给出报文各个部分的信息。IPTraf可以返回的信息包括： IP、TCP、UDP、ICMP报文总数和非IP字节数。 TCP链接的源/目的地址和源/目的端口。 TCP报文数和字节数。 TCP标志状态。 UDP源/目的信息。 ICMP类型信息。 OSPF源/目的信息。 TCP和UDP服务统值。 网络接口报文计数。 网络接口IP校验和错误数目。 网络接×××动指示器。 LAN统计 IPTraf可以用于监视IP网络的负载。IPTraf使用Linux内核的内置原始(raw)包捕获接口，能够普遍地用于以太网卡，支持FDDI适配器、ISDN适配器以及任何异步SLIP/PPP接口。 1.安装 1.1.系统需求 编译、使用IPTraf须要具有如下条件： 80386或者更好的计算机(要求不高)，天然是配置越高越好。配置越好，越不容易发生丢包现象。IPTraf可能也能够用于其它体系的处理器(SPARC、Alpha、M68K、PowerPC等)，不过没有测试过。 Linux 2.2.0以及更新版本内核 注意：你若是使用本身编译的内核，要打开 Packet Socket内核编译选项，不然IPTraf就没法执行。 8M以上的内存，16M以上的虚拟内存。×××。 GNU C动态库。预编译的程序不须要ncurses动态库。若是你要本身编译，须要ncurses和panels动态库。 /usr/share/terminfo内的Terminfo数据库。 控制台或者高速终端。 以太网、FDDI、ISDN、PLIP或者异步SLIP/PPP接口。 IPTraf不须要X Window系统。 1.2.安装 你能够从 [url]http://iptraf.seul.org[/url] 下载IPTraf。而后使用以下命令安装IPTraf： 解压文件 #tar zxvf Iptraf-2.4.0.tar.gz #cd iptraf-x.y.z 执行setup脚本，这一步要以root的权限进行，setup会自动编译并把IPTraf安装到/usr/local/bin目录中,同时也会创建其它的目录： ./Setup 1.3.启动IPTraf 安全完成以后，只要在shell中输入： #iptraf 就能够启动IPTraf。首先你将看到版权声明，按任意键后就进入了主菜单。注意：使用iptraf须要root权限。IPTraf须要引用/usr/share/terminfo目录中的终端信息数据库，所以若是这个目录位于其它的位置，IPTraf将输出"Error opening terminal"错误信息以后，启动失败。通常在Slackware中可能出现这种错误，由于在Slackware发布中，terminfo通常位于/usr/lib/terminfo。这种状况能够经过以下方式解决： #TERMINFO=/usr/lib/terminfo #export TERMINFO 或者填加一个链接： #ln -s /usr/lib/terminfo /usr/share/terminfo 另外，成IPTraf目前还不支持SIGWINCH处理功能，在xterm或者其它的终端启动iptraf，若是终端的大小改变，IPTraf本身不会调节本身的大小。 1.4.命令行选项 与大多数UNIX系统的命令同样，IPTraf还支持一些命令行参数，虽然很少。如下是iptraf支持的全部功能选项： -i 网络接口 让IPTraf监视特定的网络接口，例如：eth0。-i all表示监视系统的全部网络接口。 -g 网络接口的通常统计信息。 -d 网络接口 显示特定网络接口的详细统计信息。 -s 网络接口 对特定网络接口的TCP/UDP数据流量进行监视。 -z 网络接口 监视局域网的特定网络接口。-l all表示所有。 -t timeout    使IPTraf在指定的时间后，自动退出。若是没有设置IPTraf就会一直运行，直到用户按下退出键(x)才退出。 -B 使IPTraf在后台运行。单独使用无效(被忽略直接进入菜单界面)，只能和-i、-g、-d、-s、-z、-l中的某个参数一块使用。 -L filename 若是使用-B参数，使用-L filename使IPTraf把日志信息写入其它的文件(filename)中。若是filename不包括文件的绝对路径，就把文件放在默认的日志目录(/var/log/iptraf)。 -q 这个参数如今已经不用了。原来，若是IPTraf运行在使用IP地址假装(IP Masquerading)的内核上时，会出现大量的警告信息。如今新版的IP Masquerading代码已经没有这个问题了。 -f 使IPTraf强制清除全部的加锁文件，重置全部实例计数器。 -h 显示简短的帮助信息 1.5.进入菜单界面 前面已经讲过，不使用任何参数运行IPTraf就会进入菜单界面。使用上、下箭头键移动菜单选择条。还可使用每一个菜单项中加亮的字母做为运行某个菜单选项的快捷键。 2.使用IPTraf 2.1.通常信息 2.1.1.数字表示 IPTraf可以计量接经过的报文数和字节数。由于数字的增加会很快，因此IPTraf使用了一些符号来表示较大的数字，这些符号包括：K(1x10E3)、M(1x10E6)、G(1x10E九、T(1x10E12)。这些符号和它们一般表示的数目不同。例如： 1024K=1024000 1024M=1024000000 1024G=1024000000000 1024T=1024000000000000 2.1.2.实例和日志 IPTraf容许同时运行多个进程，可是一次只有一个进程监听某个或者全部的网络接口。不过通常接口统计(General Interface Statistics)功能除外，一次只能有一个进程执行这个操做。 IPTraf的这个特性带来了一个问题，每一个进程都要产生日志文件。若是你打开了IPTraf的日志功能，在你使用某个功能时，它都会提示你设置日志文件的名字。这时，你须要本身指定每一个示例的日志文件。若是日志文件发生冲突，可能会有没法预料的事情发生。若是你没有指定日志文件的绝对路径，它们就会被记录到默认的日志目录：/var/log/iptraf。 2.1.3.支持的网络接口 IPTraf目前支持以下网络接口: lo 本机回环接口。每台机器都有这个接口，IP地址是127.0.0.1。 ethn(n>=0) 以太网接口，n是从0开始的整数。eth0是第一个以太网接口，eth1是第二个网络接口。 fddin(n>=0) FDDI(光纤分布式数字接口)接口，n是从0开始的整数。 pppn(n>=0) PPP(点到点协议)接口，n是从0开始的整数。 slin(n>=0) SLIP(串行线路接口协议)接口，n是从0开始的整数。 ipppn(n>=0) 使用ISDN的同步PPP接口，n是从0开始的整数。 isdnn(n>=0) ISDN(综合业务数字网)接口。不过ISDN接口的命名比较随意，只有以isdnn命名才能被IPTraf使用。IPTraf支持同步PPP接口、原始IP和Cisco-HDLC encapsulation。 plipn(n>=0) PLIP接口。使用PC并口的一种点到点IP链接协议。 2.2.IP流量监视 执行IPTraf的IP Traffic Monitor菜单项或者使用-i命令行，你就可使用IPTraf的IP流量监视功能。使用这个功能，你能够实时地监视在被监听网络接口上经过的全部报文。IPTraf的监视器对IP报文进行解码，显示报文的特定信息，例如：源地址和目的地址。除此以外，它还能够辨别出IP封装的协议(例如：TCP、UDP等)，并显示这些协议的某些重要信息。 IPTraf的IP流量监视器有两个显示窗口。每一个窗口均可以使用小键盘的up、down键上下滚动。使用w能够切换活动的窗口。 2.2.1.IP流量监视器的上部窗口 2.2.1.1.IP流量监视器上部窗口显示内容 IPTraf的流量监视器上部的的显示窗口显示当前的检测到的TCP链接。主要包括TCP链接的以下信息： 源地址和端口 报文计数 字节计数 源MAC地址 报文大小 窗口(window)大小 TCP标志(flag) 网络接口 使用up、down键滚动TCP窗口能够看到更多的链接信息。IPTraf的IP流量监视器不区分链接的客户端和服务器端。它能够在混杂模式下工做，监视局域网的链接状态。 IP流量监视器显示两个方向的TCP流量，窗口最左边的是TCP链接的两端(以主机:端口的格式显示)。为了方便显示，每一个TCP链接对都使用[链接到了一块儿。 IP流量监视器上部窗口的每一个条目都包括以下域，注意：在默认状况下，有些域是不显示的，要按m键才能显示： 源地址。端口(Source address and port) 以源地址:端口的格式显示。表示数据的来源。目的地址和端口是[另外一头的源地址:端口对。 报文计数(Packet count) 接收到的报文数目。 字节计数(Byte count) 收到的字节数。这个数目包括IP、TCP头信息和实际的数据。数据链路层的报头不包括在内。 MAC源地址(Source MAC address) 投递这个报文的MAC地址。要使用这个功能首先要使用配置菜单(Configure)打开Source MAC addrs in traffic monitor功能，而后按m键就能够了。 报文大小(Packet Size) 最近收到报文的大小。要使用m键才能显示。这个值只是IP报文的大小，数据链路包头不包括在内。 窗口大小(Window Size) 最近收到报文的窗口大小。这个项也须要按M键盘才能显示。 标志状态(Flag statuses) 最近收到的报文的TCP标志 S 同步标志(SYN)，用于创建链接。S---表示发起链接，S-A-表示对链接请求的回应。 A 确认有效标志(ACK)。 P PSH。本报文段请求一次推进(PUSH)。对于发送方，强制协议软件不等一个缓冲区填满就发送全部数据；对于接收方，使TCP不加延迟地将数据提供给应用程序。 U URG。表示这个报文包含紧急数据。 RESET RST。重置链接标志。 DONE FIN。发送放再也不发送任何数据，关闭链接。 CLOSED FIN被另外一端主机确认。 2.2.1.2.rvnamed进程 在使用IP流量监视功能时，IPTraf会启动一个精灵进程rvnamed来加速域名反查的速度。在rvnamed的域名反查完成以后，IPTraf就会使用报文来源的域名来代替IP地址。之因此在IPTraf中使用独一的域名反查程序是由于标准的域名反查调用会阻塞进程，直到域名反查功能完成，比较浪费时间。 2.2.1.3.IP转发和IP地址假装 若是内核具备IP假装功能，老版本的IPTraf须要处理警告信息。不过，新版本内核已经对IP转发和IP假装功能进行了改写，IPTraf再也不须要处理有关的错误信息了。所以，-q命令选项已经失去做用。 对于没有IP地址假装的IP转发，转发主机会在同一个TCP链接出现两次，不过进、出的网络接口是不一样的；对于进行IP地址假装的主机，每一个TCP链接的两端分别是内部/外部网地址和接口。 2.2.1.4.链接的关闭(closed)、空闲(idle)和超时(time out) 实际应用过程当中，常常会出现一些被关闭、被重置，或者空闲时间很长的链接。若是这些链接太多，IPTraf会自动把活动的链接提到显示窗口的上面。你还能够经过configure->timer->TCP closed/idle persistence...配置菜单设置IPTraf自动清理这些链接的时间，或者使用f键手工清理。 2.2.1.5.显示条目排序 你能够对上部窗口的显示条目进行排序。按s键能够显示一个排序菜单。按p键，会以报文的数量进行排序；按b键，会以字节数进行排序。 2.2.2.底部显示窗口 IP流量监视器的底部显示窗口显示其它种类的网络流量。IPTraf支持如下协议： 用户数据报协议(User Datagram Protocol，UDP) 互联网控制报文协议(Internet Control Message Protocol，ICMP) 开放式最短路径优先(Open Shortest-Path First，OSPF) 内部网关路由协议(Interior Gateway Routing Protocol,IGRP) 内部网关协议(Interior Gateway Protocol,IGP) 互联网组管理协议(Internet Group Management Protocol,IGMP) General Routing Encapsulation (GRE) 地址解析协议(Address Resolution Protocol, ARP) 反向地址解析协议(Reverse Address Resolution Protocol,RARP) 另外，对于不认识的IP报文，IPTraf会显示其协议号；对于非IP报文IPTraf会在窗口中指出。在底部显示的条目中，UDP报文也以地址:端口的格式显示；ICMP条目包括ICMP协议类型。为了正确区分，每种协议都使用不一样的颜色。 底部显示窗口能够容纳512个条目。可使用上下箭头键滚动。若是达到了512个条目，再有新的条目加入，最老的就会被丢掉。某些条目可能很长，你也可使用左右键滚动显示。使用w切换两个显示窗口的活动状态。 你若是打开了配置菜单(Configure)的Source MAC addrs in traffic monitor功能，IPTraf也会显示收到的非IP报文的来源MAC地址。 2.3.网络接口的通常信息统计(General Interface Statistics) 主菜单的第二个菜单项是网络接口的通常统计功能(General Interface Statistics)。在其显示窗口中，IPTraf会显示被监视网络接口的一些通常统计信息，包括这些网络接口上经过的IP、非IP和坏IP(校验和错误)报文的的数量。还有一个活动指示器显示每秒经过每一个网络接口的报文数目，这个活动指示器使用Activity mode配置选项控制开/关的。若是你打开了日志功能(配置菜单的logging选项)，全部的统计信息将被复制到/var/log/iptraf/iface_stats_general.log文件中。 你能够按x或者q键回到主菜单。 2.4.网络接口的细节信息统计(Detailed Interface Statistics) 主菜单的第三个功能选项是网络接口的细节统计(Detailed Interface Statistics)功能。除了General Interface Statistics选项提供的统计信息以外，Detailed Interface Statistics选项还提供有关网络接口的其它一些更为详尽的统计信息。它提供以下统计信息： IP报文数和字节数。 TCP报文数和字节数 UDP报文数和字节数 ICMP报文数和字节数 非IP类型的报文数和字节数 其它IP类型的报文数和字节数 校验和错误计数 网络接×××动状态 IP报文(IP、TCP、UDP、ICMP以及其它IP)的字节数包括IP包头和负载字节数，而数据链路包头不包括在内；在总(total)字节数和非IP报文计数数中包括数据链路包头的字节数。 你若是想直接启动网络接口的细节统计功能，可使用以下命令： #iptraf -d eth0(或者其它的网络接口) 另外，你也能够打开日志功能，把网络接口的细节统计信息记录到日志文件中，默认的日志文件名是iface_stats_detailed-iface.log，其中iface以相关的网络设备名(例如：eth0)代替。 这个功能也是按x或者q键回到主菜单。 2.5.统计分析(Statistical Breakdowns) 使用IPTraf的统计分析(Statistical Breakdowns)功能，能够帮助你优化网络设置和监视网络的安全问题。IPTraf的统计分析包括：报文大小分析和TCP/UDP端口分析。 2.5.1.报文大小分析(Statistical Breakdown: Packet Sizes) 在主菜单的选择：Statistical Breakdowns->By packet size就能够进入报文大小分析界面。在老版本的IPTraf中，这个功能属于网络接口细节统计(detailed interface statistics)，后来才独立出来。IPTraf根据网络接口最大传输单元(Maximum Transmission Unit，MTU)的大小，划分出20个范围，统计报文大小的分布状况。 你也能够打开日志功能，把报文大小分布信息记录到日志文件中，默认的日志文件名是packet_size-iface.log，其中iface以相关的网络设备名(例如：eth0)代替。 另外，使用如下命令行能够直接进入报文大小分析界面： #iptraf -z eth0 按x或者Ctrl+X键退出。 2.5.2.TCP/UDP流量分析 IPTraf也能够对流过每一个端口(小于1024)的TCP/UDP报文数量进行统计。 注意：显示窗口显示的字节数包括IP包头和IP负载，不包括数据链路头。为了便于区分，TCP和UDP的颜色有所区别，TCP使用×××，UDP使用绿色。 一些网络程序使用大于1023的端口。例如：有些WEB服务器使用8080端口；htts使用443端口。在默认设置中，IPTraf不对这些端口的流量进行统计。你可使用Configure->Additional port...菜单项填加另外的端口。 若是你打开了日志功能，TCP/UDP流量分析的默认日志文件是/var/log/iptraf/tcp_udp_services-iface.log，其中iface以相关的网络设备名(例如：eth0)代替。 你也能够对显示条目进行排序。按s键能够显示一个排序菜单；按p键，会以报文的数量进行排序；按b键，会以字节数进行排序；按T键，以进入的报文数排序；按O键，以进入的字节数排序；按F键，以向外的报文数进行排序；按M键，以向外的字节数进行排序；按任意键取消排序。 另外，使用以下命令能够直接进入TCP/UDP流量分析界面： #iptraf -s eth0 按x或者Ctrl+X键返回主菜单或者退出。 2.6.局域网工做站统计(LAN Station Statistics) 使用IPTraf的局域网工做站统计功能(LAN Station Statistics)，你能够获得局域网节点(在混杂模式下可以监听到的节点，若是是交换网络可能没法实现)流入、流出的报文数量，这项功能对于以太网、FDDI、PLIP有效，可是不能用于本地回环(lo)、ISDN和SLIP/PPP网络。统计信息包括： 进入的报文数目 流入IP报文数 流入总字节数 流入速率 流出报文总数 流出报文数 流出总字节数 流出速率。 这里的字节数包括数据链路层包头。速率的单位能够是kbits/s或者kbytes/s，由Activity mode配置选项决定。 你若是打开了日志功能，全部的统计信息就会被保存到/var/log/iptraf/lan_statistics-n.log文件中，n是实例号(iptraf能够在同一台主机上运行屡次切互不干扰)。 为了管理方便，你也IPTraf局域网工做站统计功能的显示窗口内的条目进行排序。按s就能够弹出一个排序对话。，而后，按P键，以流入的报文数进行排序；按I键，以流入的IP报文数排序；按B键，以流入的字节数进行排序；按K键盘，以流出的报文数排序；按O键，以流出的IP报文数排序；按Y键，以流出的字节数排序。按任意键取消排序。 按X或者Q键盘能够从局域网工做站统计显示界面退出到主菜单。使用如下命令行能够直接进入局域网工做站统计显示界面： #iptraf -e 3.显示过滤器(Display Filter) 在实际的使用中，IP流量监视器会快速显示大量信息，而这其中的大部分信息你可能并不关心。这时，你就可使用显示过滤器来控制IP流量监视器的显示信息。 3.1.TCP过滤器(TCP Filters) 使用这个功能，你能够定义一些参数决定在IP流量监视器显示界面中显示的TCP链接。 3.1.1.定义一个新的过滤器(Defining a New Filter) 默认安装的IPTraf没有任何的过滤器，所以你须要定义本身的过滤器。选择TCP Display Filters->Define new filter...菜单项，会弹出一个对话框让你输入一个简短的过滤器描述。输入完成以后，按回车，会弹出另一个对话框，要求你输入源地址和目的地址、子网掩码和服务端口。 网络地址能够是单一主机、网络以及整个网络地址空间，由子网掩码决定。例如： 单一主机 207.0.115.44： IP 地址: 207.0.115.44 子网掩码: 255.255.255.255 属于网络202.47.132.x的全部主机： IP地址: 202.47.132.0 子网掩码: 255.255.255.0 全部IP地址: IP 地址: 0.0.0.0 子网掩码 0.0.0.0 Include(包括)/Exclude(排除)域决定是否在显示窗口中显示这类条目。 3.1.2.TCP过滤器应用示例 监视202.47.132.1和207.0.115.44之间的TCP链接 Host name/IP Address 202.47.132.2 207.0.115.44 Wildcard mask 255.255.255.255 255.255.255.255 Port 0 0 Include/Exclude I 监视主机207.0.115.44和网络202.47.32.0之间的TCP链接： Host name/IP Address 207.0.115.44 202.47.132.0 Wildcard mask 255.255.255.255 255.255.255.0 Port 0 0 Include/Exclude I 监视全部的WEB链接： Host name/IP Address 0.0.0.0 0.0.0.0 Wildcard mask 0.0.0.0 0.0.0.0 Port 80 0 Include/Exclude I 监视从任意地址到主机202.47.132.2的SMTP端口的流量： Host name/IP Address 202.47.132.2 0.0.0.0 Wildcard mask 255.255.255.255 0.0.0.0 Port 25 0 Include/Exclude I 监视主机sunsite.unc.edu之间cebu.mozcom.com的流量： Host name/IP Address sunsite.unc.edu cebu.mozcom.com Wildcard mask 255.255.255.255 255.255.255.255 Port 0 0 Include/Exclude I 忽略网络140.66.5.x和任意地址之间的流量 Host name/IP Address 140.66.5.x 0.0.0.0 Wildcard mask 255.255.255.0 0.0.0.0 Port 0 0 Include/Exclude E 若是定义了过滤器，IPTraf的IP流量监视器将只显示过滤器指定链接的流量，其它一概不显示。这相似于防火墙的默认禁止策略。所以，若是你想监视除了某个地址以外的全部链接，你只能首先定义一个排除类型的过滤器，最后定义一个包括(include)类型的过滤器(全部的域所有是0)。 例如：咱们想显示全部TCP链接上的网络流量，除了SMTP、WEB端口以及207.0.115.44的链接： Host name/IP address 0.0.0.0 0.0.0.0 Wildcard mask 0.0.0.0 0.0.0.0 Port 25 0 Include/Exclude E Host name/IP address 0.0.0.0 0.0.0.0 Wildcard mask 0.0.0.0 0.0.0.0 Port 80 0 Include/Exclude E Host name/IP address 207.0.115.44 0.0.0.0 Wildcard mask 255.255.255.255 0.0.0.0 Port 0 0 Include/Exclude?E Host name/IP address 0.0.0.0 0.0.0.0 Wildcard mask 0.0.0.0 0.0.0.0 Port 0 0 Include/Exclude I 3.1.3.其它菜单项 过滤器定义完成以后，咱们须要使用Applying a Filter菜单项使其生效；能够选择Editing a Defined Filter菜单项，编辑现有的过滤器；选择Deleting a Defined Filter菜单项，删除一个过滤器；选择Detaching a Filter菜单项使一个过滤器失活。这都比较简单，在此就很少作赘述了。 3.2.其它协议过滤器 IPTraf还支持其它类型的过滤器。不过，除了UDP过滤器以外，其它协议过滤器都只是开关(是否显示这类协议)而已。UDP协议过滤器的设置和TCP过滤器的设置差很少，这里就很少作赘述了。 4.IPTraf配置 你可使用Configure配置菜单对IPTraf进行配置，全部的配置都会保存在/var/local/iptraf/iptraf.cfg或者/var/iptraf/iptraf.cfg。若是找不到配置文件，IPTraf就使用默认的配置。在IPTraf的主菜单中选择Configure菜单项，就能够进入配置界面： 4.1.开关选项 4.1.1.反向查询(Reverse Lookup) IPTraf支持反向域名解析，把IP地址转换为主机名。不过，因为域名反向解析比较慢，所以可能形成丢包。在默认状况下，这个选项是关闭的。 4.1.2.TCP/UDP服务名(TCP/UDP service Names) IPTraf可使用/etc/services文件把端口号转换为对应的服务名，例如：80端口对应WWW服务。默认状况下，这个选项也是关闭的。 4.1.3.强制混杂模式(Force promiscuous) 打开了这个选项，可使你本身的网络设备进入混杂模式。这样能够捕获你所在局域网的全部报文，这个选项对以太网和FDDI有效， 4.1.4.色彩(Color) 决定是否采用彩色显示方式。 4.1.5.日志(logging) 打开日志功能，可使IPTraf把统计和分析结果保存到磁盘，便于之后的分析。有关日志文件的设置，咱们在前面已经穿插介绍过了 4.1.6.活动模式(Activity mode) 切换速率单位(kbits/s和kbytes/s)。默认的速率单位是kbits/s。 4.1.6.Source MAC addrs in traffic monitor 决定是否在IP流量监视器中显示报文的MAC源地址，对于以太网、FDDI或者PLIP网络接口有效。对于非TCP报文(IP流量监视器的下部分显示窗口)报文的MAC源地址直接在窗口中显示，对于TCP报文(IP流量监视器的上部分显示窗)，须要按M键。 4.2.时钟选项(Timers) 你可使用Timers子菜单设置IPTraf的各类时间间隔和超时时间。 4.2.1.TCP超时(TCP Timeout) 设置空闲链接条目保留的时间，超过这个时间就被一个新的链接代替。默认值是15分钟。 4.2.2.日志更新间隔(Log Interval) 这个选项设置每一个多少分钟保存日志信息，默认值是60分钟。 4.2.3.屏幕刷新频率(Screen Update Interval 这个选项设置每间隔多少秒钟刷新屏幕。默认值是0，表示尽量快地刷新屏幕。 4.2.4.TCP关闭/空闲保留时间(TCP closed/idle persistence) 这个参数决定关闭、空闲和超时的TCP链接在IP流量监视器显示窗口中保留多少分钟。默认值是0，表示一直保留这些链接，直到被新的链接代替。 4.3.信息定置选项 4.3.1.额外的端口(Additional port) 上面讲过，默认状况下，IPTraf只对小于1024的端口号进行流量分析，使用这个选项能够填加你须要进行流量分析的端口。这个选项还能够定义端口范围。 4.3.2.删除端口/端口范围(Delete port/range) 天然是和上面的选项相反了，删除上一个选项定义的端口或者端口范围。 4.4.局域网工做站标志符(LAN Station Identifiers) IPTraf的局域网工做站统计是基于MAC地址的。可是十六进制的MAC地址很是难以记忆，所以IPTraf引入了局域网工做站标志符(LAN Station Identifiers)。使用局域网工做站标志符(LAN Station Identifiers)能够帮助你更好地区别局域网内的工做站。 在主菜单中选择Ethernet/PLIP host descriptions or FDDI host descriptions菜单选项，就会出现一个子菜单，你能够经过这个子菜单填加、编辑删除.局域网工做站标志符。   本文来自ChinaUnix博客，若是查看原文请点：[url]http://blog.chinaunix.net/u2/61207/showart_724783.html[/url]