我是 Netflow 的新手,所以也许我的问题在于理解,但我还没有找到有关发生了什么的参考资料。
我有一个 Palo Alto PA500 防火墙,我正在尝试使用 nfdump 将 netflow 统计信息提取到 Ubuntu 盒中。
我已经安装了 nfdump 并运行了 nfcap,没有任何问题:
sudo apt-get install nfdump
nfcapd -E -T all -p 9001 -l /tmp/nfcaptest
我已经按照文档中所述配置了 Palo Alto:
Device / Server Profiles / Netflow
Add
Name: nfserver
Refresh:
Minutes: 30
Packets: 20
Active Timeout (min): 5
Name: nfserver
IP: x.x.x.x
Port: 9001
我已将 netflow 服务器添加到所有接口并提交了更改。
我正在使用 tcpdump 查看服务器中的流量。
12:51:33.848206 IP x.x.x.x.50705 > nfserver.9001: UDP, length 1369
nfcap 不断给出以下输出:
Ident: 'none' Flows: 0, Packets: 0, Bytes: 0, Sequence Errors: 0, Bad Packets: 0
Total ignored packets: 0
File Block Header:
NumBlocks = 0
Size = 0
id = 2
我看到每 5 分钟就会出现一个 nfcapd.xxx 文件,但是当我尝试读取它们时却没有看到结果。
# nfdump -r nfcapd.current.7757
Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte
No matched flows
我遗漏了什么?问题出在 Fw(未发送数据)还是服务器(未使用数据)?
更新:问题似乎出在 nfcapd 上。我使用 Whireshark 打开了 tcpdump 捕获,可以看到所有 netflow 数据都已正确接收。出于某种原因,nfcapd 忽略/未接收它。
答案1
虽然我还没有找到最终的解决方案,但确实存在通信问题。我已经在不同的环境中重现了安装,并且运行正常。
主要问题是 nfcapd 没有接收流量。看起来系统中的某个进程正在拦截它。