Dies ist der Befehl nfdump, der im kostenlosen OnWorks-Hosting-Provider über eine unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
nfdump - Netflow-Anzeige- und Analyseprogramm
ZUSAMMENFASSUNG
nfdump [Optionen] [Filter]
BESCHREIBUNG
nfdump ist das Netflow-Anzeige- und Analyseprogramm des nfdump-Toolsets. Es liest die
netflow-Daten aus von nfcapd gespeicherten Dateien und verarbeitet die Flüsse gemäß den Optionen
gegeben. Die Filtersyntax ist vergleichbar mit tcpdump und für Netflow-Daten erweitert. Nfdump
kann auch viele verschiedene Top-N-Flow- und Flow-Element-Statistiken anzeigen.
OPTIONAL
-r Eingabedatei
Eingabedaten auslesen von Eingabedatei. Standard wird von stdin gelesen.
-R ausdr
Lesen Sie Eingaben aus einer Folge von Dateien im selben Verzeichnis. ausdr kann einer sein von:
/irgendein/dir Alle Dateien im Verzeichnis rekursiv lesen dir.
/dir/Datei Lesen Sie alle Dateien beginnend mit Datei.
/dir/Datei1:Datei2 Lesen Sie alle Dateien von file1 zu file2.
Bei Verwendung in Kombination mit einer Unterhierarchie:
/dir/sub1/sub2/file1:sub3/sub4/file2
Lesen Sie alle Dateien von sub1/sub2/Datei1 sub3/sub4/Datei2 Iteration über alle erforderlichen
Hierarchieebenen.
Hinweis: Dateien werden in alphabetischer Reihenfolge gelesen.
-M ausdr
Lesen Sie Eingaben aus mehreren Verzeichnissen. ausdr sieht aus wie: /irgendein/pfad/zu/dir1:dir2:dir3 usw.
und wird auf die Verzeichnisse erweitert: /irgendein/pfad/nach/dir1, /irgendein/pfad/nach/dir2 und
/irgendein/pfad/nach/dir3 Es können beliebig viele durch Doppelpunkt getrennte Verzeichnisse angegeben werden. Die Dateien zu
read werden durch -r oder -R angegeben und sollen in allen angegebenen Verzeichnissen vorhanden sein.
Die Optionen -r und -R dürfen keinen Verzeichnisteil enthalten, wenn sie in Verbindung mit . verwendet werden
-Herr.
-m Sortieren Sie die Netflow-Datensätze nach dem Datum, an dem sie zuerst angezeigt wurden. Diese Option ist normalerweise nur
nützlich in Verbindung mit -M, wenn Netflow-Datensätze aus verschiedenen Quellen gelesen werden,
die nicht unbedingt sortiert sind.
-w Ausgabedatei
Wenn angegeben, werden binäre Netflow-Datensätze in geschrieben Ausgabedatei bereit wieder verarbeitet zu werden
mit nfdump. Die Standardausgabe ist ASCII auf stdout. In Kombination mit den Optionen -m, -a,
-b und -B schreiben aggregierten und/oder sortierten Flow-Cache im Binärformat auf die Festplatte.
-f Filterdatei
Liest die Filtersyntax aus Filterdatei. Hinweis: Jeder Filter, der direkt auf dem
Befehlszeile hat Vorrang vor -f.
-t Zeitgewinn
Nur Abläufe verarbeiten, die in das Zeitfenster fallen Zeitgewinn, Wobei Zeitgewinn is
YYYY/MM/dd.hh:mm:ss[-YYYY/MM/dd.hh:mm:ss]. Teile der Zeitangabe können weggelassen werden
zB YYYY/MM/dd erweitert auf YYYY/MM/dd.00:00:00-unendlich und verarbeitet alle Ströme von a
Tag ab gegeben. Das Zeitfenster kann auch als +/- n angegeben werden. In diesem Fall ist es
relativ zum Anfang oder Ende aller Flüsse. +10 bedeutet die ersten 10 Sekunden von allen
Flows, -10 bedeutet die letzten 10 Sekunden aller Flows.
-c num
Beschränken Sie die Anzahl der zu verarbeitenden Datensätze auf den ersten num fließt.
-a Aggregierte Netflow-Daten. Impliziert automatisch -a. Die Aggregation erfolgt bei der Verbindung
Ebene, indem Sie das 5-Tupel-Protokoll srcip, dstip, srcport und dstport verwenden.
-A Anhäufung
Ähnlich wie bei Flexible Netflow (FNF) können Netflow-Datensätze nach einer beliebigen Anzahl von . aggregiert werden
gegebene v9-Felder. Anhäufung ist eine durch ',' getrennte Liste von erkannten Tags der
folgende Liste:
Proto-IP-Protokoll
srcip Quell-IP-Adresse
dstip Ziel-IP-Adresse
srcip4/net IPv4-Quell-IP-Adresse mit angewendeter Netzmaske
srcip6/net IPv6-Quell-IP-Adresse mit angewendeter Netzmaske
dstip4/net IPv4-Ziel-IP-Adresse mit angewendeter Netzmaske
dstip6/net IPv6-Ziel-IP-Adresse mit angewendeter Netzmaske
srcnet Wenden Sie die Netzmaske srcmask im Netflow-Datensatz für die Quell-IP an
dstnet Anwenden der Netzmaske dstmask im Netflow-Datensatz für Ziel-IP
srcport Quellport
dstport Zielport
srcmask Quellmaske
dstmask Zielmaske
srcvlan Quell-VLAN-Label
dstvlan Ziel-VLAN-Label
srcas Quell-AS-Nummer
dstas Ziel-AS-Nummer
nextas BGP Next AS
prevas BGP Zurück AS
inif SNMP-Eingangsschnittstellennummer
outif SNMP-Ausgangsschnittstellennummer
nächste IP nächster Hop
bgpnext BGP nächster Hop
insrcmac In Quell-MAC-Adresse
outdstmac out Ziel-MAC-Adresse
indstmac In Ziel-MAC-Adresse
outsrcmac Ausgangs-MAC-Adresse
tos Quelle Art des Dienstes
srctos Quelltyp des Dienstes
dsttos Zieltyp des Dienstes
mpls1 MPLS-Etikett 1
mpls2 MPLS-Etikett 2
mpls3 MPLS-Etikett 3
mpls4 MPLS-Etikett 4
mpls5 MPLS-Etikett 5
mpls6 MPLS-Etikett 6
mpls7 MPLS-Etikett 7
mpls8 MPLS-Etikett 8
mpls9 MPLS-Etikett 9
mpls10 MPLS-Etikett 10
Router Exportieren der Router-IP
nfdump erstellt automatisch ein passendes Ausgabeformat für die ausgewählte Aggregation
es sei denn, es wird ein explizites Ausgabeformat angegeben. Das automatische Ausgabeformat ist identisch mit
-o 'fmt:%ts % td %pkt %byte %bps % bpp %fl' wo repräsentiert die
ausgewählte Aggregations-Tags.
Ejemplo:
-A proto,srcip,dstport
-A srcas, dstas
-b Aggregieren von Netflow-Datensätzen als bidirektionale Ströme. Impliziert automatisch -a.
Die Aggregation erfolgt auf Verbindungsebene, indem das 5-Tupel-Protokoll srcip, dstip,
srcport und dstport oder die umgekehrte Reihenfolge für den entsprechenden Verbindungsablauf. Eingang
und Ausgabepakete/Bytes werden gezählt und separat gemeldet. Beide Ströme werden zusammengeführt in
ein einziger Rekord. Es wird automatisch ein geeignetes Ausgabeformat ausgewählt, das z
von einer beliebigen Formatoption -o überschrieben.
-B Wie -b, tauscht jedoch automatisch Flüsse aus, sodass der src-Port > 1024 ist und der dst-Port ist
1024, da es einigen Exporteuren egal ist, die Ströme in der richtigen Reihenfolge zu versenden. Es wird in Betracht gezogen
eine bequeme Option zu sein. Wenn src und dst port > 1024 oder < 1024 sind, sind die Flüsse
genommen wie es ist.
-I Flow-Statistiken aus einer mit -r angegebenen Datei oder einem mit -R/-M angegebenen Zeitfenster ausgeben.
-D dns
Stelle den dns als Nameserver, um Hostnamen zu suchen.
-s Statistik[:p][/orderby]
Generieren Sie die Top-N-Flow- oder Flow-Element-Statistik. Statistik lassen sich:
record Statistik über arregierte Netflow-Datensätze.
srcip Statistik über Quell-IP-Adressen
dstip Statistik über Ziel-IP-Adressen
ip Statistik über beliebige (Quell- oder Ziel-) IP-Adressen
nhip Statistik über Next-Hop-IP-Adressen
nhbip Statistik über BGP Next Hop IP-Adressen
Router-Statistik zum Exportieren der Router-IP-Adresse
srcport Statistik über Quellports
dstport Statistik über Zielports
port Statistik über beliebige (Quell- oder Ziel-) Ports
tos Statistik über die Art des Dienstes - Standard src
srctos Statistik über den src-Diensttyp
dsttos Statistik über die Art des Dienstes dst
dir Statistik über Fließrichtungen Eintritt/Austritt
srcas Statistik über Quell-AS-Nummern
dstas Statistik über Ziel-AS-Nummern
als Statistik über beliebige (Quelle oder Ziel) AS-Nummern
inif Statistik zur Eingabeschnittstelle
outif Statistik über Ausgabeschnittstelle
if Statistik über eine beliebige Schnittstelle
srcmask Statistik über src-Maske
dstmask Statistik über dst-Maske
srcvlan Statistik über src vlan Label
dstvlan Statistik über dst vlan Label
vlan-Statistik über jedes vlan-Label
insrcmac Statistik über eingegebene src MAC-Adresse
outdstmac Statistik über ausgegebene dst MAC-Adresse
indstmac Statistik über die eingegebene dst-MAC-Adresse
outsrcmac Statistik über die MAC-Adresse der Ausgabe-src
srcmac Statistik über jede src-MAC-Adresse
dstmac Statistik über jede dst-MAC-Adresse
inmac Statistik über jede eingegebene MAC-Adresse
outmac Statistik über jede ausgegebene MAC-Adresse
Maske Statistik über jede Maske
proto Statistik über IP-Protokolle
mpls1 Statistik zum MPLS-Label 1
mpls2 Statistik zum MPLS-Label 2
mpls3 Statistik zum MPLS-Label 3
mpls4 Statistik zum MPLS-Label 4
mpls5 Statistik zum MPLS-Label 5
mpls6 Statistik zum MPLS-Label 6
mpls7 Statistik zum MPLS-Label 7
mpls8 Statistik zum MPLS-Label 8
mpls9 Statistik zum MPLS-Label 9
mpls10 Statistik zum MPLS-Label 10
sysid Interne SysID des Exporteurs
NSEL/ASA-Statistiken
Ereignis NSEL/ASA-Ereignis
xevent NSEL/ASA erweitertes Ereignis
xsrcip NSEL/ASA übersetzte src-IP-Adresse
xsrcport NSEL/ASA übersetzter src-Port
xdstip NSEL/ASA übersetzte dst-IP-Adresse
xdstport NSEL/ASA übersetzter Zielport
iacl NSEL/ASA Ingress-ACL
ace NSEL/ASA-Eingangs-ACE
ixace NSEL/ASA-Eingang xACE
eacl NSEL/ASA-Ausgangs-ACL
eace NSEL/ASA ausgehender ACE
exace NSEL/ASA ausgehender xACE
NAT-Statistiken
kein NAT-Ereignis
vrf/ivrf NAT-Eingang vrf
evrf NAT-Ausgang vrf
nsrcip NAT src IP-Adresse
nsrcport NAT-src-Port
ndstip NAT dst IP-Adresse
ndstport NAT-dst-port
Beim Hinzufügen :p zum Statistiknamen wird die resultierende Statistik in Transport aufgeteilt
Schichtprotokolle. Der Standardwert ist eine vom Transportprotokoll unabhängige Statistik.
orderby ist optional und gibt die Reihenfolge an, in der die Statistik geordnet wird und kann
be fließt, Pakete, Bytes, pps, Bps or bpp. Sie können mehr als einen angeben orderby welche
ergibt dieselbe Statistik, aber anders sortiert. Wenn nein orderby gegeben ist,
Statistiken sind geordnet nach fließt. Sie können beliebig viele -s Flow-Element-Statistiken auf . angeben
die Befehlszeile für denselben Lauf.
Ejemplo:
-s srcip -s IP/Flows -s dstport/pps/pakete/bytes -s Datensatz/Bytes
-O orderby
Gibt die Standardeinstellung an orderby für Flow-Element-Statistiken -s, die gilt, wenn nein
orderby wird bei -s angegeben. orderby kann sein fließt, Pakete, Bytes, pps, Bps or bpp. Standardeinstellungen
zu fließt.
-l [+/-]Paket_num
Beschränken Sie die Statistikausgabe auf die Datensätze über oder unter dem Paketnummer Grenze.
Paketnummer akzeptiert positive oder negative Zahlen gefolgt von 'K' , 'M' oder 'G' 10E3, 10E6
bzw. 10E9 fließt. Siehe auch Hinweis bei -L
-L [+/-]byte_num
Beschränken Sie die Statistikausgabe auf die Datensätze über oder unter dem byte_num Grenze. byte_num
akzeptiert positive oder negative Zahlen gefolgt von 'K' , 'M' oder 'G' 10E3, 10E6 oder 10E9
Byte bzw. Hinweis: Diese Grenzen gelten nur für die Statistiken und aggregiert
mit -a -s generierte Ausgaben. Um Netflow-Datensätze nach Paketen und Bytes zu filtern, verwenden Sie die
die unten beschriebene Filtersyntax 'Pakete' und 'Bytes'.
-n num
Definieren Sie die Zahl für die Top-N-Statistik. Der Standardwert ist 10. Wenn 0 angegeben ist, wird der
Anzahl ist unbegrenzt.
-o Format
Wählt das Ausgabeformat zum Drucken von Flows oder Flow-Datensatzstatistiken (-s-Datensatz). Der
Folgende Formate stehen zur Verfügung:
raw Druckt jeden Dateiflussdatensatz in mehreren Zeilen.
line Druckt jeden Flow in einer Zeile. Standardformat.
lang Drucken Sie jeden Flow in einer Zeile mit mehr Details
biline Wie Linie, jedoch für Bidir-Ströme
bilong Wie lang, aber für Bidir-Ströme
Erweitert Drucken Sie jeden Flow in einer Zeile mit noch mehr Details.
nsel Gibt jedes NSEL-Ereignis in einer Zeile aus. Standard, wenn NSEL/ASA aktiviert ist.
nel Druckt jedes NAT-Ereignis in einer Zeile aus. Standard, wenn NEL aktiviert ist.
csv Komma-separierte Ausgabe für maschinenlesbare Verarbeitung.
Pipe Älteres maschinenlesbares Format: Felder '|' getrennt.
fmt:Format Benutzerdefiniertes Ausgabeformat.
Für jedes definierte Ausgabeformat außer -o fmt: ein IPv6 langes Ausgabeformat
besteht. Zeile6, long6 und verlängert6. Sehen Möglichkeiten für das Ausgangssignal: Formate unten für weitere Informationen.
-q Unterdrücken Sie die Kopfzeile und die Statistik unten.
-N Drucken Sie einfache Zahlen in der Ausgabe. Einfacher für das Post-Parsing.
-i ident
Ident-Label in der Datei ändern, angegeben durch -r in ident
-v Datei
Verify Datei. Version der Druckdatendatei, Anzahl der Blöcke und Komprimierungsstatus.
-E Datei
Druckexporter/Musterliste gefunden in Datei. Im Falle einer nfcapd-Collector-Datei, und
zusätzliche Statistiken pro Exporteur werden mit Anzahl von Flüssen, Paketen und . gedruckt
Sequenzfehler.
-x Datei
Scannen und drucken Sie Erweiterungskarten, die sich in der Dateidatei befinden
-z Ströme komprimieren. Verwenden Sie die schnelle LZO1X-1-Komprimierung in der Ausgabedatei.
-j Datei
Komprimieren/Dekomprimieren einer bestimmten Datei. Wenn die Datei komprimiert ist, dekomprimieren Sie sie und umgekehrt
versa.
-Z Überprüfen Sie die Filtersyntax und beenden Sie sie. Setzt den Rückgabewert entsprechend.
-X Kompiliert die Filer-Syntax und legt die Filter-Engine-Tabelle auf stdout ab. Das ist für
nur Debugging-Zweck.
-V Drucken Sie die nfdump-Version und beenden Sie sie.
-h Hilfetext auf stdout mit allen Optionen drucken und beenden.
RÜCKKEHR BEWERTUNG
Rücksendungen
0 Kein Fehler.
255 Initialisierung fehlgeschlagen.
254 Fehler in der Filtersyntax.
250 Interner Fehler.
AUSGABE FORMATEN
Das Ausgabeformat roh druckt jeden Flow-Datensatz auf mehreren Zeilen, einschließlich aller Informationen
im Protokoll verfügbar. Dies ist die detaillierteste Ansicht eines Flows.
Andere Ausgabeformate drucken jeden Flow in einer einzigen Zeile. Vordefinierte Ausgabeformate sind Linie,
lange und verlängert Das Ausgabeformat Linie ist das Standardausgabeformat, wenn kein Format ist
angegeben. Es beschränkt die Informationen auf die Verbindungsdetails sowie die Anzahl der
Pakete, Bytes und Flüsse.
Das Ausgabeformat lange ist identisch mit dem Format Linie, und beinhaltet zusätzliche
Informationen wie TCP-Flags und Typ des Dienstes.
Das Ausgabeformat verlängert ist identisch mit dem Format lange, und beinhaltet zusätzliche
berechnete Informationen wie pps, Bps und bpp.
Felder:
Datum Fluss Start: Startzeitfluss zuerst gesehen. ISO 8601-Format einschließlich Millisekunden.
Dauer: Dauer des Flusses in Sekunden und Millisekunden. Wenn Ströme aggregiert werden,
Dauer ist die Zeitspanne über den gesamten Zeitraum vom ersten bis zum letzten Gesehenen.
Prototyp: Protokoll, das in der Verbindung verwendet wird.
Src IP Adresse:Port: Quell-IP-Adresse und Quellport.
Dst IP Adresse:Port: Ziel-IP-Adresse und Zielport. Im Fall von ICMP, Port
wird als type.code dekodiert.
Flaggen: TCP-Flags ODER-Verknüpfung der Verbindung.
Husten: Art der Leistung.
Pakete: Die Anzahl der Pakete in diesem Fluss. Wenn Flüsse aggregiert werden, sind die Pakete
zusammengefaßt.
Byte: Die Anzahl der Bytes in diesem Flow. Wenn Flüsse aggregiert werden, werden die Bytes summiert
bis.
P.S.: Die berechneten Pakete pro Sekunde: Anzahl der Pakete / Dauer. Wenn Flüsse sind
aggregiert ergibt dies die durchschnittlichen pps während dieses Zeitraums.
Bit/s: Die berechneten Bits pro Sekunde: 8 * Anzahl Bytes / Dauer. Wenn Flüsse sind
aggregiert ergibt dies die durchschnittlichen bps während dieses Zeitraums.
Bpp: Die berechneten Bytes pro Paket: Anzahl Bytes / Anzahl Pakete. Wenn Flüsse sind
aggregiert ergibt dies den durchschnittlichen Bpp während dieses Zeitraums.
Flüsse: Anzahl der Flüsse. Wenn nur Flows aufgelistet sind, ist diese Nummer immer 1. Wenn Flows
aggregiert zeigt dies die Anzahl der aggregierten Flüsse zu einem Datensatz an.
Zahlen größer als 1'000'000 (1000*1000), werden auf 4 Stellen und eine Dezimalstelle skaliert
einschließlich des Skalierungsfaktors M, G or T für sauberere Ausgabe, zB 923.4 M
Um die Ausgabe lesbarer zu machen, werden IPv6-Adressen auf 16 Zeichen verkleinert. Der
sieben am meisten und sieben am wenigsten Ziffern verbunden mit zwei Punkten '..' werden in jedem normalen angezeigt
Ausgabeformate. Um die vollständige IPv6-Adresse anzuzeigen, verwenden Sie das entsprechende lange Format, das
ist der Formatname gefolgt von a 6.
Ejemplo: -o Linie zeigt eine IPv6-Adresse als 2001:23..80:d01e wo wie das format -o line6
zeigt die IPv6-Adresse in voller Länge an 2001:234:aabb::211:24ff:fe80:d01edem „Vermischten Geschmack“. Seine
Kombination von -o Linie -6 entspricht -o line6.
Das Ausgabeformat fmt: ermöglicht Ihnen, Ihr eigenes Ausgabeformat zu definieren. Ein Format
Beschreibung Format besteht aus einer einzelnen Zeile mit beliebigen Zeichenfolgen und Format
Bezeichner wie unten beschrieben
% Fügt die vordefinierten Format an dieser Stelle. z.B %Linie
% ts Startzeit - zuerst gesehen
% te Endzeit - zuletzt gesehen
% tr Zeitpunkt, zu dem der Flow vom Kollektor empfangen wurde
% td Feste Rollen oder offenes Matching
%pr Protokoll
%erw Exporteur-ID
%eng Motortyp/-ID
%sa Quelladresse
%da Zieladresse
%Saft Quelladresse:Port
%dap Zieladresse:Port
%sp Quellport
%dp Zielhafen
%sn Quellnetzwerk, Maske angewendet
%dn Zielnetzwerk, Maske angewendet
%nh Next-Hop-IP-Adresse
%nhb BGP Next-Hop-IP-Adresse
%ra Router-IP-Adresse
%sas Quelle AS
%das Ziel AS
%nas Nächster AS
%pass Zurück AS
%In Eingabe Schnittstellennummer
%aus Ausgangsschnittstellennummer
%pkt Pakete - Standardeingabe
%ipkt Eingabepakete
%opkt Ausgabepakete
%byte Bytes - Standardeingabe
%ibyte Eingabebytes
%obyte Ausgabebytes
%fl Fließt
%flg TCP-Flags
%tos Tos - Standard-Src
%stos Src Tos
%dtos Dst Tos
%dir Richtung: Eintritt, Austritt
%smk Src-Maske
%dmk Dst-Maske
%vorw Weiterleitungsstatus
%svln Src vlan-Label
%dvln Ziel-VLAN-Label
%ismc Eingabe Src Mac-Adresse
%odmc Ausgabe Dst Mac-Adresse
%idmc Geben Sie Dst Mac-Adresse ein
%osmc Ausgabe Src Mac-Adresse
%mpls1 MPLS-Etikett 1
%mpls2 MPLS-Etikett 2
%mpls3 MPLS-Etikett 3
%mpls4 MPLS-Etikett 4
%mpls5 MPLS-Etikett 5
%mpls6 MPLS-Etikett 6
%mpls7 MPLS-Etikett 7
%mpls8 MPLS-Etikett 8
%mpls9 MPLS-Etikett 9
%mpls10 MPLS-Etikett 10
%mpls MPLS-Etiketten 1-10
%bps bps - Bits pro Sekunde
%pps pps - Pakete pro Sekunde
% bpp bps - Bytes pro Paket
NSEL-spezifische Formate
%nfc NSEL-Verbindungs-ID
%evt NSEL-Ereignis
%xevt NSEL erweiterte Veranstaltung
%ms NSEL-Ereigniszeit in ms
%iacl NSEL-Eingangs-ACL
%eacl NSEL-Ausgangs-ACL
%xsa NSEL XLATE src IP-Adresse
%xda NSEL XLATE dst IP-Adresse
%xsp NSEL XLATE src-Port
%xdp NSEL SLATE dst-Port
%xsap Xlate-Quelladresse:Port
%xdap Xlate-Zieladresse:Port
%dein Name NSEL-Benutzername
NEL/NAT-spezifische Formate
%newt NAT-Ereignis - wie %evt
%ivrf NAT-Eingangs-VRF-ID
%evrf NAT-Ausgangs-VRF-ID
%nsa NAT src IP-Adresse
%nda NAT dst IP-Adresse
%nsp NAT-src-Port
%ndp NAT-Zielport
%pbstart Start des NAT-Pool-Blocks
%pbend Ende des NAT-Pool-Blocks
%pbstep NAT-Pool-Block-Schritt
%pbsize Blockgröße des NAT-Pools
Nprobe-Formate
%kl Client-Latenz
%sl Serverlatenz
%al Anwendungslatenz
Beispiel: das Standardausgabeformat lange kann erstellt werden als
-o "fmt:%ts % td %pr %Saft -> %dap %flg %tos %pkt %byte %fl"
Sie können auch Ihr eigenes Ausgabeformat definieren und in nfdump kompilieren lassen. Siehe nfdump.c
Abschnitt Ausgang Formate für weitere Informationen an.
Dem csv Ausgabeformat soll von einem anderen Programm zur weiteren Verarbeitung gelesen werden. Wie
ein Beispiel finden Sie im Perl-Programm parse_csv.pl. Das cvs-Ausgabeformat besteht aus einem oder
mehr Ausgabeblöcke und ein Zusammenfassungsblock. Jeder Ausgabeblock beginnt mit einer cvs-Indexzeile
gefolgt von den CVs-Record-Zeilen. Die Indexzeilen beschreiben die Reihenfolge, wie jedes Folgende
Datensatz komponiert.
Ejemplo:
Indexzeile: ts,te,td,sa,da,sp,dp,pr,...
Record line: 2004-07-11 10:30:00,2004-07-11 10:30:10,10.010,...
Alle Datensätze sind in ASCII-lesbarer Form. Zahlen sind nicht skaliert, daher kann jede Zeile leicht sein
geparst.
In nfdump 1.6 verwendete Indizes:
ts,te,td Zeitaufzeichnungen: t-Anfang, t-Ende, Dauer
sa,da src Zieladresse sp,dp src, Zielport
pr-Protokoll PF_INET oder PF_INET6
flg TCP-Flags:
000001 FIN.
000010 SYNC
000100 ZURÜCKSETZEN
001000 DRÜCKEN
010000 BESTÄT
100000 DRINGEND
zB 6 => SYN + RESET
Vorwärts-Weiterleitungsstatus
stos src tos
ipkt,ibyt Eingabepakete/Byte
opkt,obyt Ausgabepakete, Bytes
in,out Input/Output-Schnittstelle SNMP-Nummer
sas,das src, dst AS
smk, dmk src, dst-Maske
dtos dst tos
dir richtung
nh,nhb nethop IP-Adresse, bgp next hop IP
svln, dvln src, dst vlan id
ismc,odmc Eingabe src, Ausgabe dst MAC
idmc,osmc Eingabe dst, Ausgabe src MAC
mpls1,mpls2 MPLS-Etikett 1-10
mpls3, mpls4
mpls5, mpls6
mpls7, mpls8
mpls9, mpls10
ra Router IP
deu Router-Engine-Typ/-ID
Weitere Informationen finden Sie unter parse_csv.pl.
FILTER
Die Filtersyntax ähnelt der bekannten pcap-Bibliothek, die von tcpdump verwendet wird. Der Filter
kann entweder auf der Kommandozeile nach allen Optionen oder in einer separaten Datei angegeben werden. Es
kann sich über mehrere Zeilen erstrecken. Alles nach einem '#' wird als Kommentar behandelt und ignoriert
Ende der Zeile. Die Länge des Filterausdrucks ist praktisch unbegrenzt. Alle
Schlüsselwörter sind unabhängig von Groß-/Kleinschreibung.
Jeder Filter besteht aus einem oder mehreren Ausdrücken ausdr. Eine beliebige Anzahl von ausdr kann verlinkt werden
zusammen:
ausdr und ausdruck, ausdruck or Ausdruck, nicht expr und ( ausdr ).
Ausdruck kann eines der folgenden Filterprimitive sein:
das
@enthalten
enthalten den Inhalt von in Filter.
ip Version
inet or ipv4 für IPv4
inet6 or ipv6 für IPv6
Protokoll
deshalb
deshalb
woher ist ein bekanntes Protokoll wie TCP, UDP, icmp, icmp6, gre, esp, ah, usw.
oder eine gültige Protokollnummer: 6, 17 usw.
IP Adresse
[Quelle|dst] ip
[Quelle|dst] Gastgeber
mit als eine beliebige gültige IPv4-, IPv6-Adresse oder einen vollständig qualifizierten Hostnamen. Im Falle
eines Hostnamens wird die IP-Adresse im DNS gesucht. Wenn mehr als eine einzelne IP-Adresse
gefunden wird, werden alle IP-Adressen verkettet. (ip1 or ip2 or ip3 ... )
Um zu überprüfen, ob sich eine IP-Adresse in einer bekannten IP-Liste befindet, verwenden Sie
[Quelle|dst] ip in [ ]
[Quelle|dst] Gastgeber in [ ]
ist eine durch Leerzeichen oder Kommas getrennte Liste von Personen oder vollqualifiziert
Hostnamen, die im DNS nachgeschlagen werden. Wenn mehr als eine einzelne IP-Adresse gefunden wird, werden alle
IP-Adressen werden in die Liste aufgenommen.
[Quelle|dst]
IP-Adressen, Netzwerke, Ports, AS-Nummer etc. können gezielt mit a ausgewählt werden
Richtungskennzeichner wie src oder dst. Sie können auch in Kombination mit verwendet werden
und und or. wie zum Beispiel src und dst ip ...
Netzwerk
[Quelle|dst] Netto- A B C D mnrs
Wählen Sie das IPv4-Netzwerk A B C D mit Netzmaske mnrs.
[Quelle|dst] Netto- /
mit als gültiges IPv4- oder IPv6-Netzwerk und als Maskenbits. Die Anzahl der Masken
Bits müssen mit der entsprechenden Adressfamilie in IPv4 oder IPv6 übereinstimmen. Netzwerke können sein
abgekürzt wie 172.16/16, wenn sie eindeutig sind.
Hafen
[Quelle|dst] port [komp.]
mit als jede gültige Portnummer. Wenn Layout-Datei wurde weggelassen,
'=' wird vorausgesetzt. Layout-Datei wird weiter unten näher erläutert.
[Quelle|dst] port in [ ]
Ein Port kann mit einer Know-Liste verglichen werden, wobei ist eine durch Leerzeichen getrennte Liste
einzelner Portnummern.
ICMP
icmp-Typ
ICMP-Code
mit als gültiger icmp-Typ/Code. Dies impliziert automatisch deshalb icmp.
Router ID
Motortyp
Motor-ID
Sysid
mit als gültiger Router-Engine-Typ/-ID oder Exporter-ID (0..255).
Schnittstelle
[ein|aus] if
Wählen Sie Eingang oder Ausgang oder eine der Schnittstellen-IDs mit num als SNMP-Schnittstellennummer.
Ejemplo: in if 3
AS Zahlen
[src|dst|zurück|nächste] as [komp.]
Wählt Quelle, Ziel, vorherige, nächste oder eine beliebige AS-Nummer mit wie jeder gültig wie
Nummer. 32bit AS-Nummern werden unterstützt. Wenn Layout-Datei weggelassen wird, wird '=' angenommen. Layout-Datei is
weiter unten genauer erklärt.
[src|dst|zurück|nächste] as in [ ]
Eine AS-Nummer kann mit einer Know-Liste verglichen werden, wobei ist ein Leerzeichen oder Komma
getrennte Liste einzelner AS-Nummern.
Vorsilbe Maske" Bits
[Quelle|dst] Maske"
mit als jeder gültige Bitwert der Präfixmaske.
VLANs Etiketten
[Quelle|dst] vlan
mit als jedes gültige VLAN-Label.
Flags
Fahnen
mit als Kombination aus:
Ein ACK.
S SYN.
F FIN.
R Zurücksetzen.
P Drücken.
U Dringend.
X Alle Flags an.
Die Reihenfolge der Flags ist nicht relevant. Nicht erwähnte Flags werden als egal behandelt.
Um diese Flows mit nur gesetztem SYN-Flag abzurufen, verwenden Sie die Syntax 'Fahnen S und nicht
Fahnen AFRPU'.
Next Hopfen IP
weiter ip
mit als IPv4/IPv6-IP-Adresse des Next-Hop-Routers.
Nächster Hop Routers IP in BGP Domain
bgpnächster ip
mit als IP des IPv4/IPv6-Next-Hop-Routers in der BGP-Domäne. ( v9 #18 )
Router IP
Router ip
Filtern Sie die Flüsse nach der IP-Adresse des exportierenden Routers.
MAC Adressen
[InOutSrcDst] mac
Mit eine beliebige gültige MAC-Adresse. mac kann durch die Verwendung von any genauer spezifiziert werden
Kombination eines Richtungsspezifizierers gemäß der Definition von CISCO v9. in src, in dst, src,
dst.
MPLS Etiketten
bitte Etikett [komp.]
Mit wie jede mpls-Etikettnummer 1..10. Filtert genau angegebenes Label .
bitte eos [komp.]
Filtert das End of Stack-Label für einen bestimmten Wert .
bitte exp [komp.]
Filtert experimentelle Label-Stücke mit 0..7.
Pakete
Pakete [komp.] [Skala]
Zum Filtern nach Netflow-Datensätzen mit einer bestimmten Paketanzahl.
Ejemplo: Pakete > 1k
Bytes
Bytes [komp.] [Skala]
Um nach Netflow-Datensätzen mit einer bestimmten Bytezahl zu filtern.
Ejemplo: Bytes 46 filtert alle leeren IPv4-Pakete
Aggregiert fließt
fließt [komp.] [Skala]
Zum Filtern nach Netflow-Datensätzen mit einer bestimmten Anzahl von aggregierten Strömen.
Typ of Service (TOS)
[Zielort] tos
Mit 0..255. Zur Kompatibilität mit nfump 1.5.x: tos ist äquivalent zu
src tos
Pakete für zweite: Berechnet Wert.
pps [komp.] num [Skala]
Um nach Flüssen mit bestimmten Paketen pro Sekunde zu filtern.
Dauer: Berechnet Wert
Dauer [komp.] num
Um nach Flows mit einer bestimmten Dauer in Millisekunden zu filtern.
Bits für zweite: Berechnet Wert.
Bps [komp.] num [Skala]
Um nach Flows mit bestimmten Bytes pro Sekunde zu filtern.
Bytes für Paket: Berechnet Wert.
bpp [komp.] num [Skala]
Um nach Flüssen mit bestimmten Bytes pro Paket zu filtern.
Treppe Vergößerungsfaktor, Verkleinerungsfaktor. Könnte sein k m g. Faktor ist 1000
Layout-Datei Die folgenden Komparatoren werden unterstützt:
=, ==, >, <, EQ, L.T., GT . If Layout-Datei weggelassen wird, wird '=' angenommen.
NSEL/ASA spezifisch Filter:
NSEL/ASA Event
so Event
so Event [komp.]
NSEL/ASA-Ereignis nach Name oder Nummer auswählen. Wenn es als Zahl angegeben wird, kann es mit a verglichen werden
Anzahl
NSEL/ASA verweigert Grund
so Event verweigert
Wählen Sie ein von NSEL/ASA abgelehntes Ereignis nach Typ aus
NSEL/ASA verlängert Veranstaltungen
so xereignis [komp.]
Wählen Sie ein erweitertes NSELL ASA-Ereignis nach Nummer aus oder vergleichen Sie optional nach einer Nummer.
X-spät IP Adressen und Häfen
[Quelle|dst] xip
Select übersetzt IP Adresse
[Quelle|dst] xnet /
mit als gültiges übersetztes IPv4- oder IPv6-Netzwerk und als Maskenbits. Der
Anzahl der Maskenbits muss mit der entsprechenden Adressfamilie in IPv4 oder IPv6 übereinstimmen.
Netzwerke können abgekürzt werden, beispielsweise 172.16/16, wenn sie eindeutig sind.
[Quelle|dst] exportieren
Wählen Sie den übersetzten Port aus
NSEL/ASA ein-/aussteigen
Eintritt [komp.] Anzahl
Auswählen/vergleichen an Eintritt ACL
Austritt ACL [komp.]
Auswählen/Vergleichen einer Ausgangs-ACL
IN spezifisch NAT Filter:
NAT Event
nat Event
nat Event [komp.]
Wählen Sie das NEL-NAT-Ereignis nach Name oder Nummer aus. Wenn es als Zahl angegeben wird, kann es mit a verglichen werden
Anzahl
IN NAT ip Adressen und Häfen
[Quelle|dst] nip
Select NAT IP Adresse
[Quelle|dst] nport
Select NAT port
IN NAT vrf
Eintritt vrf Wählen Sie die vrf
Beispiele:
nfdump -r /und/dir/nfcapd.201107110845 -c 100 'proto TCP und ( src ip 172.16.17.18 or dst
ip 172.16.17.19 )' Dumpt die ersten 100 Netflow-Datensätze, die dem angegebenen Filter entsprechen:
nfdump -r /und/dir/nfcapd.201107110845 -B Zuordnen von übereinstimmenden Flüssen als bindirektionale Single
Durchfluss.
nfdump -R /und/dir/nfcapd.201107110845:nfcapd.200407110945 'Gastgeber 192.168.1.2 ' Wirft alle ab
Netflow-Aufzeichnungen von Host 192.168.1.2 vom 11. Juli 08:45 - 09:45
nfdump -M /nach/und/dir1:dir2 -R nfcapd.200407110845:nfcapd.200407110945 -s Rekord -n 20
Erzeugt die Top-20-Statistiken von 08:45 bis 09:45 Uhr aus 3 Quellen
nfdump -r /und/dir/nfcapd.201107110845 -s Rekord -n 20 -o verlängert Erzeugt die Top 20
Statistik, erweitertes Ausgabeformat
nfdump -r /und/dir/nfcapd.201107110845 -s Rekord -n 20 'im if 5 und Bps > 10k' erzeugt
die Top-20-Statistiken von Flows, die von Schnittstelle 5 kommen
nfdump -r /und/dir/nfcapd.201107110845 'inet6 und deshalb TCP und ( src port > 1024 und dst
port 80 ) Dumpt alle Port 80 IPv6-Verbindungen zu jedem Webserver.
ANMERKUNG
Das Generieren der Statistiken für Datendateien von einigen hundert MB ist kein Problem. Aber sei
Seien Sie vorsichtig, wenn Sie Statistiken über mehrere GB Daten erstellen möchten. Das kann viel verbrauchen
Speicher und kann eine Weile dauern. Die Flow-Anonymisierung ist in nfanon eingezogen.
Verwenden Sie nfdump online mit den onworks.net-Diensten
