Все детекторы собирают информацию (не менее часа), теперь можно попробовать ее получить и проанализировать. Для начала лучше это проделать вручную.

Для получения информации с определенного детектора используется скрипт fetchem.pl. Основная задача которого получить с указанного детектора нужный файл, содержащий собранные данные, создать для него подкаталог на анализаторе и выходной html-файл, сортировать данные, заменить IP-адреса именами и еще много чего. Например, данные за 21 час 31 октября 2004 года, с выводом логов в /tmp/fetchem.log можно получить так.

# /usr/local/SHADOW/fetchem.pl -l Site1 -d 2004103121 -debug

В результате с указанного детектора будет скачан файл с указанными данными и положен в /usr/local/SHADOW/data/Site1/Oct31/tcp.2004103120.gz. После первичного анализа в домашнем каталоге веб-сервера будет создан каталог /home/shadow/html/tcpdump_results/Site1/Oct31 с несколькими файлами, пользователю будет выводиться 2004103121.html.

Для автоматизации этого процесса в работе используется cron-файл analyzer_crontab.shadow

# Run fetchem to get SHADOW data files:

#

SHADOW_PATH=/usr/local/SHADOW

#

1 * * * * $SHADOW_PATH/fetchem.pl -l Site1

3 * * * * $SHADOW_PATH/fetchem.pl -l Site2 -debug

#

# Cleanup once per day.

#

15 1 * * * $SHADOW_PATH/cleanup.pl -l Site1

24 1 * * * $SHADOW_PATH/cleanup.pl -l Site2

#

# Collect statistics each night.

#

1 0 * * * $SHADOW_PATH/stats/do_daily_stats.pl -l Site1

1 3 * * * $SHADOW_PATH/stats/do_daily_stats.pl -l Site2

Скрипт do_daily_scripts.pl из собранных за день данных собирает статистику, эти данные будут затем выводиться по нажатию кнопки «STATISTICS» в веб-браузере, cleanup.pl во избежание исчерпания свободного дискового места, полностью удаляет собранные на датчиках данные.