Red de herramienta de análisis de tráfico - visualizado -netflow [4] - un receptor nfdump Introducción

Red de herramienta de análisis de tráfico - red visual -netflow [1] - los principios básicos
de herramienta de análisis de tráfico de la red - red visual -netflow [2] -Cisco NetFlow principio y configuración de trabajo
de red herramienta de análisis de tráfico - red visual -netflow [3] versión -netflow versión 5 y 9 diferencia
herramienta de análisis de tráfico de la red - visualizó -netflow [4] - el receptor nfdump Perfil
red herramienta de análisis de tráfico - visualizó -netflow [5] -linux fprobe la adquisición de datos
herramienta de análisis de tráfico de la red - visualizada -netflow [6] - el seguimiento del tráfico de red de producción arquitectura
parámetros fprobe -e
fprobe parámetro -n -k

netflow receptor

Con el transmisor, el receptor también es necesario para recopilar datos y analizar los datos, y SolarWinds ManageEngine de software comercial, que son básicamente de acuerdo con el número de dinero contado o enterrado, de acuerdo con los cargos de tráfico, que no puede permitirse.

Más tarde se encontró el software de código abierto en un github, este software es NFSen fondo, llamado nfdump, ¿por qué no recomendó directamente NFSen, porque siento interfaz NFSen no, formato png y el diagrama de flujo es difícil de desarrollo secundario mientras que almacena los datos nfdump en un archivo de texto, que ayudarán al desarrollo secundario, se pueden guardar en la base de datos, y luego grafana mostrada.

nfdump Introducción

Sitio web oficial (github, si no se abre, por favor utilice ***):

https://github.com/phaag/nfdump/blob/master/README.md
finales de 2019, la última versión 1.6.18, usando yum instalar la versión predeterminada es 1.6.18.
nfdump es una herramienta para recoger y netflow proceso y sFlow para apoyar v1 netflow, v5 / v7, v9 , IPFIX y sflow, soporte para IPv4 y IPv6.

instalar

Entorno: CentOS 7
Reemplazar fuente yum (opcional):

cd /etc/yum.repos.d/
mv CentOS-Base.repo CentOS-Base.repo.bak
wget http://mirrors.163.com/.help/CentOS7-Base-163.repo
mv CentOS7-Base-163.repo CentOS-Base.repo
yum update

nfdump instalación

yum -y install nfdump

Ver la versión

nfdump -V

nfdump de cinco herramientas

nfcapd -netflow colector demonio, desde el dispositivo de recogida para recoger el flujo de datos que se envían y escritos en el archivo, por defecto los cinco minutos guardan como un archivo.
nfdump - leer los datos del archivo, y la integración de datos. nfdump datos netflow leen desde el nfcapd almacenamiento o más archivos. nfdump tcpdump sintaxis y la gramática como, él puede salida de un único mensaje de datos, la polimerización puede también ser estadísticas de salida pueden ser ordenados de acuerdo con parámetros tales como bytes o paquetes.
nfanon - los registros de direcciones IP anónima Netflow registrados en el método de grabación de flujo usando CryptoPAn anónimo.
nfexpire - datos antiguos de descarte, la madurez de gestión de datos. El establecimiento de límites apropiados. Para NFSen.
nfreplay -Netflow la reproducción, los datos leídos desde un archivo de almacenamiento nfcapd netflow, enviado a otro host.

parámetros del mandato

parámetros de comando nfcapd

-h:帮助
-w：将文件旋转与接下来的n分钟（由-t指定）间隔对齐，实测并没看出他的用处，同步文件周期完全受到-t参数影响。单是用此参数，没有效果。
-t：（重要）指定旋转文件的时间间隔，以秒为单位。 默认值为300s。决定了生成nfcapd文件的周期。建议选择60s。
-b：监听的目标地址，可以使ip或hostname。
-4：仅监听ipv4，可以和-b搭配使用。
-6：仅监听ipv6，可以和-b搭配使用。
-J：加入多播组。
-p：（重要）监听端口。
-l：（重要）设置输出目录。
-s：（有用）子层次结构，文件内部存储接口，可以自动生成文件夹。详见man。
-n：（有用）当有多个数据源时，可以指定数配置数据源参数，格式：Ident,IP,logdir。
-P：设置pid文件。
-R：将传入的数据包重复发送到IP地址/端口。 最多8个中继器。
-B：设置套接字缓冲区大小。
-D：（重要）后台运行
-T：（重要）需要记录的参数，详见man。
-V：查看版本。

parámetros de comando nfdump

-h：帮助
-V：查看版本
-a：通过五元组protocol, srcip, dstip, srcport and dstport进行汇总。
-A：选择性汇总，可以单独汇总srcip或者protocol，也可以使用‘,’分割，汇总多个参数。格式-A proto,srcip,dstport，详见man。
-b：和-a相似，区别只是将双向流量汇总成一个值。
-B：和-A相似，区别只是将双向流量汇总成一个值。
-r：读取单个文件。
-w：将结果输出到文件。默认ASCII格式。
-n：查看前n位数据。
-c：从第一行读取到指定行数。
-D：使用dns将ip解析成主机名
-N：输出纯数字，比如tcp协议用6显示。
-s：格式-s [/]，为生成统计信息，并根据排序。详见man。
-q：不打印标题行和底部状态行。
-I：从-r指定的nfcapd文件内读取摘要信息。
-M：读取多个文件夹，格式：/dir/dir1:dir2:dir3 Read the same files from '/dir/dir1' '/dir/dir2' and '/dir/dir3'。
-O：进行排序的参数，比如bytes，tstart，flows等。
-R：读取多个文件。格式：-R nfcapd.201912301833:nfcapd.201912301837。
-o：输出文件格式，比如csv，json，long等，也可以自定义。

Ejemplo de configuración

ejemplo de configuración nfcapd

Utilizar el monitor de puerto 9995, y se almacena en un archivo, la identificación de todas las etiquetas v9

nfcapd -z -w -D -T all -l /netflow/spool/allflows -I any -S 2 -P /var/run/nfcapd.allflows.pid

Recogidos por el puerto 8887 de dos colector de datos diferente, y se almacena en una carpeta separada, y el tamaño del búfer se establece en 128000 bytes

nfcapd -z -w -D -T all -p 8877 -n upstream,192.168.1.1,/netflow/spool/upstream -n peer,192.168.2.1,/netflow/spool/peer -S 2  -B 128000

Sólo recibió una única adquisición de datos, y sólo los datos de extensión que identifica 3,4,5, Después del almacenamiento en un archivo, un comando de ejecución, y establecer el caudal caducan

nfcapd -w -D -T 3,4,5 -n upstream,192.168.1.1,/netflow/spool/upstream -p 23456 -B 128000 -x '/path/command -r %d/%f'  -P /var/run/nfcapd/nfcapd.pid -e

ejemplo de configuración nfdump

Consultar las cien primeras líneas de datos, y que coincida con la dirección de protocolo TCP, dirección de origen o destino de 172.16.17.19 172.16.17.18 corriente

nfdump  -r /and/dir/nfcapd.201107110845 -c 100 'proto tcp and ( src ip 172.16.17.18 or dst ip 172.16.17.19 )' 

Las consultas a las 8:45 de julio de 11 a 9: 45, la dirección IP de 192.168.1.2 para el registro

nfdump -R /and/dir/nfcapd.201107110845:nfcapd.201107110945 'host 192.168.1.2' 

Consulta de la pluralidad de fuentes de datos, el flujo de datos ex 20

nfdump  -M  /to/and/dir1:dir2 -R nfcapd.200407110845:nfcapd.200407110945 -s record -n 20 

Encuentra 18:33 min, las direcciones de origen y de destino de convergencia, y los bytes en orden descendente, y veinte antes de datos de salida en un formato específico

nfdump -r nfcapd.201912301833 -o "fmt:%ts %td %pr %sap -> %dap %flg %tos %pkt %byt %fl" -A srcip,dstip -O bytes -n 20

efecto