有什么方法可以将 netflow v9 转换为 syslog? 哪种方式最适合实现以下想法? 程序: 路由器发送UDP结构如下: templateId=259:id=259,fields=11 字段 id=8(ipv4 源地址),offset=0,len=4 字段 id=225(natInsideGlobalAddress),offset=4,len=4 字段 id=12(ipv4 目标地址),offset=8,len=4 字段 id=226(natOutsideGlobalAddress),offset=12,len=4 字段 id=7(传输源端口),o...
我有一个非常高容量的 Netflow 输入流,我希望我可以运行多个 Filebeat 实例并在 Filebeat 实例上对 Netflow 流量进行负载平衡,然后写入单个远程 Elasticsearch。 我已经阅读了有关多个输出的负载平衡的内容,但我正在寻找多个输入的负载平衡。 我可以将 Netflow 输入拆分到 2 个物理端口,但我不确定如何配置 2 个 Filebeat 实例以使每个实例绑定到特定的物理端口。 ...
我正在尝试弄清楚 nfdump 输出中的含义,但似乎找不到任何来源。目前我主要想了解某些类别的含义。 我所拥有的是包含以下字段的基本输出:首次出现日期事件 XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port 输入字节输出字节 在输出的所有条目中,“Event”为“INVALID”,“Xevent”为“Ignore”,“X-Src”和“X-Dst”为“0.0.0.0”。那么这些字段到底告诉我什么?它们是什么意思? 有没有可能字段的列表以及它们的...
我在用Solar Winds 的这个工具生成 v9 Netflow 事件。 几天前操作系统更新之前,它一直运行正常。现在,它可以启动,但每次我生成事件时它都会崩溃。我尝试以管理员和我的常规特权用户身份运行它。原因可能是 .NET 更新。 我也尝试过使用进程监控工具,但我没有发现明显的根本原因。虽然我对使用这些工具还不是很熟练。 Windows 事件查看器显示此异常: Application: NetFlowGenerator.exe Framework Version: v4.0.30319 Description: The process was term...
我有一些来自一组路由器的 Netflow 记录。这些记录包含 IPv6 流,其中有协议为 ipv6-icmp 的条目,其目标端口值为 0、1025 和 257。我知道此链接netflow 中 ipv6-icmp 的值为 0 表示回显答复。是否有任何资源可以查找 ipv6-icmp-1025 和 ipv6-icmp-257 的含义? ...
我是 Netflow 的新手,所以也许我的问题在于理解,但我还没有找到有关发生了什么的参考资料。 我有一个 Palo Alto PA500 防火墙,我正在尝试使用 nfdump 将 netflow 统计信息提取到 Ubuntu 盒中。 我已经安装了 nfdump 并运行了 nfcap,没有任何问题: sudo apt-get install nfdump nfcapd -E -T all -p 9001 -l /tmp/nfcaptest 我已经按照文档中所述配置了 Palo Alto: Device / Server Profiles / N...
我正在努力理解我的 IPFIX 流数据。 解释一下:我有一个 Ubuntu(16.04.2 LTS Xenial Xerus)盒子,在盒子里,我有一个 Linux 桥: root@Ubuntu1:~# ovs-vsctl show 527530c2-6f42-498f-92a6-67dc43d931bc Bridge "myBridge" Port "eth1" Interface "eth1" type: dpdkvhostuser Port "eth2" ...
我的 ipfix 流接收器仅支持 udp(无法更换),无法抵御网络故障,因此我会丢失流数据。为了改善这种情况,我正在考虑在流导出器和流接收器之间使用 socat、mkfifo。但我不知道如何在网络中断时将数据保存到导出器端的磁盘并在恢复在线时重新发送。默认的 linux 管道是 1MB,但我需要例如 1GB 的缓冲区。 我怎样才能做到这一点? 谢谢。 ...
我们创建了一个 Azure Windows VM,该 VM 的入站安全规则允许 Netflow 流量使用 UDP/9999。从 Windows VM 中,我们可以捕获发往服务器的流量。数据包显示了转换 源:客户公共 IP 至目标:Azure VM 公共 IP 我们的应用程序需要有以下翻译: 来源:客户公共 IP 至目标:Azure VM 私有 IP 有没有办法在 Azure VM 网络资源组上更改此转换? ...
我在 Cisco 路由器 ASR 1001 上配置 Netflow 有困难 flow record FLOW-RECORD-1 match ipv4 source address match ipv4 destination address match ipv4 protocol match ipv4 tos match interface input match transport source-port match transport destination-port collect interface output collect ...
我有一些地方正在运行 pfSense 路由器。我尝试使用 softflowd 将数据发送到 NFSen,认为如果它来自 LAN 接口,它可能会显示每个 IP 的带宽,至少我被引导相信这一点。 还有其他方法可以监控 DHCP 客户端的 B/W 使用情况吗?我使用 LibreNMS 监控服务器和网络设备,但您只能看到每个接口的使用情况,如果该接口上有多个客户端,这无济于事。 虽然 pfSense 确实有一种基本的方法来监控进出。但我希望有更详细的信息,这样我就能更清楚地看到正在发生的事情。 如果有办法在某些方面进行监控,我曾经想过也许可以设置一个虚拟化的 ...
我们有一台路由器,需要使用 NetFlow 进行监控。路由器非常重要,因此我们不允许在路由器本身上启用 Netflow。相反,它将启用端口镜像,以便它可以将流量镜像到另一台网络设备。 我们现在有两个选择: a)使用 Linux 服务器上的软件 Netflow 探测器(例如 nProbe)将镜像流量转换为 Netflow b) 购买另一台路由器,并在另一台路由器上启用 Netflow,以将镜像流量协调到 Netflow 中。 我们知道我们可以做到(a) 问题是:可以做到(b)吗? (a) 和 (b) 哪一个更有效? ...
netflow 如何定义 udp 会话的结束。也就是说,据我所知,随着时间的推移,动态端口没有请求时必须有一定超时,之后才会形成此端口的新会话。如果是,它是如何实现的,如果超时,持续时间是多长 ...
我正在尝试使用 nfcapd 保存 netflow 文件以供网络分析工具使用。 如何捕获主机上的网络流量并将其发送到 nfcapd?我可以使用 wireshark/tshark 或类似程序吗? ...
我正在尝试使用 logstash 通过 netflow 插件从 VMware ESXi 收集流量信息。 我已经在安装了 openjdk 8 的 Ubuntu 16.04.1 上安装了来自 www.elastic.co 的最新版本的 logstash 和 elasticsearch。 我已经创建了这个配置文件: input { udp { host => localhost port => 9995 codec => netflow { versions => [10] ...