10

一部の PCAP トレースを Netflow 形式に変換して、Netflow ツールでさらに分析したいと考えています。それを行う方法はありますか?

具体的には、次のようにネットフロー トレースから対象のフィールドを抽出するために、「フロー エクスポート」ツールを使用したいと考えています。

$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace

この場合、mynetflow.trace ファイルは、次のコマンドを使用して PCAP ファイルを変換することによって取得されます。

$ nfcapd -p 12345 -l ./ 

$ softflowd -n localhost:12345 -r mytrace.pcap

これにより、ネットフロー トレースが生成されますが、正しい形式ではないため、フロー エクスポートで正しく使用できません。次のコマンドの出力をパイプして、次のようにフローエクスポートすることも試みました。

$ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS

しかし、最初のコマンドの出力はゼロのタイムスタンプを生成しました。

何か案は?

4

2 に答える 2

4

flow-export のドキュメントを確認したところ、pcap の実装にいくつかの既知のバグがあります。それらがまだ修正されているかどうかはわかりません。

キャプチャの内容に応じて、他にもいくつかのオプションがあります。リンクからストレートアップ トラフィックをキャプチャし、それを NetFlow 形式に変換したい場合は、PCAP を読み取る無料の Netflow エクスポータ ツールをここからダウンロードできます。

FlowTraq フリー エクスポーター

またはここ:

Nプローブ

転送中の NetFlow トラフィック (UDP/2055 など) をキャプチャした場合は、任意の Linux ディストリビューションで利用可能な「tcpreplay」などのツールを使用して再生できます。

于 2012-08-10T15:51:58.267 に答える
1

Linux 環境を使用している場合は、argusLinux パッケージを使用できます。またはディストリビューションのパッケージ マネージャーargusを使用してインストールするだけで、これを Argus のクライアントで使用して binetflow 形式を取得できます。aptra

コマンドは次のとおりです。

argus -F /mnt/argus.conf -r " +f+" -w - | ra -F /mnt/ra.conf -Z b -n >"+f.split(".")[0]+".binetflow
于 2020-03-12T12:08:49.877 に答える