nfcapd-クラウドでのオンライン

プログラム：

NAME

nfcapd-netflowキャプチャデーモン

SYNOPSIS

nfcapd [オプション]

DESCRIPTION

nfcapd nfdumpツールのnetflowキャプチャデーモンです。 からネットフローデータを読み取ります
ネットワークに接続し、ファイルに保存します。 出力ファイルは自動的にローテーションされ、名前が変更されます
間隔のタイムスタンプYYYYMMddhhmmに従って、n分ごと（通常は5分）
たとえば、nfcapd.201107110845には、11年2011月08日45:XNUMX以降のデータが含まれています。

Netflowバージョンv1、v5、v7、v9、およびIPFIXは透過的にサポートされます。

拡張機能：nfcapdは多数のv9タグをサポートします。 ディスク容量を最適化するために
パフォーマンス、v9タグは、いくつかの拡張機能にグループ化されています。
データファイルに保存されます。 したがって、エクスポーターで構成されたv9テンプレートは次のようになります。
コレクターに応じて調整。 両方に共通するタグのみがデータに保存されます
ファイル。

サンプリング：デフォルトでは、サンプリングレートは1（サンプリングされていない）または任意の値に設定されています
-s cmdlineオプションで指定します。 サンプリング情報がネットフローで見つかった場合
ストリーム、デフォルト値を上書きします。 サンプリングは次の場合に自動的に認識されます
v9オプションテンプレート（タグ＃34、＃35または＃48、＃49、＃50）または非公式v5で発表
ヘッダーハック。 注：すべてのプラットフォーム（またはIOS / JunOSバージョン）がサンプリングのエクスポートをサポートしているわけではありません
サンプリングが設定されている場合でも、NetFlowデータの情報。 バイト/パケットの数
各NetFlowレコードでは、サンプリングレートが自動的に乗算されます。 総数
これは十分に正確ではないため、フローの数は変更されません。 （小さなフローと大きなフロー）
-sで指定されたデフォルトのサンプリングレートが負の場合、これはすべてのデバイスをハード上書きします
特定の発表されたサンプリングレート。

NSEL / ASAサポート：nfcapdは、NSEL / ASAサポートを含めてコンパイルできます。 上の注記を参照してください
NSEL / ASA

NEL（NATイベントロギング）：nfcapdは、CISCONELサポートを含めてコンパイルできます。 見る
NELに関する注記。

OPTIONS

-p ポート番号
リッスンするポート番号を指定します。 デフォルトのポートは9995です

-b バインドホスト
リスニング用にバインドするホスト名/ IPv4 / IPv6アドレスを指定します。 これはIPにすることができます
アドレスまたはホスト名。インターフェイスに接続されたIPアドレスに解決されます。 デフォルト
指定されていない場合は、使用可能なIPv4インターフェイスに接続します。

-4 nfcapdがIPv4アドレスのみをリッスンするように強制します。 次の場合は-bと一緒に使用できます
ホスト名にはIPv4およびIPv6アドレスレコードがあります。

-6 nfcapdがIPv6アドレスのみをリッスンするように強制します。 次の場合は-bと一緒に使用できます
ホスト名にはIPv4およびIPv6アドレスレコードがあります。 ソケットの実装に応じて-6
IPv4データも受け入れます。

-j マルチキャストグループ
指定されたIPv4またはIPv6マルチキャストグループに参加してリスニングします。

-R ホスト[/ポート}
パケットリピーターを有効にします。 すべての着信パケットを別のパケットに送信します host と ポート. host is
有効なIPv4 / IPv6アドレス、または有効なシンボリックホスト名のいずれか。
IPv6またはIPv4アドレス。 ポート 省略される可能性があり、デフォルトでポート9995になります。注：
IPv4 / IPv6で受け入れられるアドレスは、ポート区切り文字が「/」です。

-I 識別文字列 ( 資本 手紙 i )
ルーターの名前など、ソースを説明するID文字列を指定します。 この
文字列は、ソースを識別するために統計レコードに入れられます。 デフォルトは「none」です。 これは
nfdump 1.5.xとの互換性のため、単一のNetFlowソースを指定するために使用されます。 見る -n

-l ベースディレクトリ ( 手紙 エル )
出力ファイルを保存するベースディレクトリを指定します。 サブ階層が
-Sで指定すると、最終ディレクトリは次のように連結されます。 base_directory / sub_hierarchy.
これはnfdump1.5.xとの互換性のためであり、単一のネットフローを指定するために使用されます
ソース。 見る -n

-n
次の名前のNetFlowソースを設定します 同一 送信元IPアドレスで識別されます IPを選択します。
フローファイルのベースディレクトリは ベースディレクトリ。 サブ階層が指定されている場合
-Sを使用すると、最終ディレクトリは次のように連結されます。 base_directory / sub_hierarchy。 複数
ネットフロー ソース できる be 指定。 すべて データ is 送信 〜へ 　 同じ ポート 指定の by -p.
注：-nオプションを-Iおよび-lと混在させないでください。 どちらかの構文を使用してください。

-f
ギブからnetflowパケットを読み取る pcap_file ネットワークの代わりに。 これにはnfcapdが必要です
pcapオプションを使用してコンパイルされ、デバッグのみを目的としています。

-s
デフォルトのサンプリングレートを適用する 率 サンプリングレートが
エクスポートデバイスによって発表されました。 その場合、発表されたサンプリングレートが適用されます。
もしもが負の場合、これはデバイス固有のアナウンスされたサンプリングをハード上書きします
料金。

-S
データファイルを保存するための追加のディレクトリサブ階層を指定できます。 NS
デフォルトは0で、サブ階層はありません。これは、ファイルがベースディレクトリに直接移動することを意味します。
（-l）。 ベースディレクトリ（-l）は、指定されたサブ階層形式で連結されます
最終的なデータディレクトリを形成します。 次の階層が定義されています。
0デフォルト階層レベルなし
1％Y /％m /％d年/月/日
2％Y /％m /％d /％H年/月/日/時間
3％Y /％W /％u year / week_of_year / day_of_week
4％Y /％W /％u /％H year / week_of_year / day_of_week / hour
5％Y /％j年/年
6％Y /％j /％H年/日/時間
7％Y-％m-％d年-月-日
8％Y-％m-％d /％H年-月-日/時間

-T <拡張子 リスト>
NetFlowファイルに保存される拡張子のリストを指定します。 拘らず
拡張リストでは、次のネットフローデータがレコードごとに保存されます：first、last、fwd
ステータス、tcpフラグ、proto、（src）tos、srcポート、dstポート、src ipaddr、dst ipaddr、
in（パケット）、in（バイト）。 さらに、nfcapdは説明されているように拡張機能を認識します
未満。 一部はv5 / v7 / v9で有効ですが、ほとんどはv9でのみ意味があります。 どれでも
入力ネットフローレコードに存在しない指定された拡張機能は無視されます。

拡張機能：
v5 / v7 / v9 / IPFIX拡張機能：
1つの入力/出力インターフェイスSNMP番号。
2つのsrc / dstAS番号。
3 src / dstマスク、（dst）TOS、方向。
4行ネクストホップIPアドレス行
5ラインBGPネクストホップIPアドレスライン
6 src / dst vlanidラベル
7つのカウンタ出力パケット
8カウンタ出力バイト
9つのカウンター集約フロー
10 in_src / out_dstMACアドレス
11 in_dst / out_srcMACアドレス
12 MPLSラベル1〜10
13ルーターIPv4 / IPv6アドレスのエクスポート
14ルーターIDのエクスポート
15BGP隣接前/次AS
コレクターが受信した16のタイムスタンプフロー
NSEL / ASA / NAT拡張
26 NSEL ASAイベント、拡張イベント、ICMPタイプ/コード
27個のNSEL / NATxlateポート
28 NSEL / NAT xlate IPv4 / IPv6addr
29 NSEL ASAACL入力/出力ACLID
30 NSELASAユーザー名
NEL / NAT拡張機能
31 NATイベント、入力出力vrfid
32 NATブロックポートの割り当て-ブロックの開始、終了ステップ、およびサイズ
nprobe拡張機能
64nprobeクライアント/サーバー/アプリケーションの待機時間 "}、

重要： デフォルトでは、内線番号1と2のみが選択されています。
拡張IDの「、」で区切られたリストを指定することにより、追加/削除されます。 各IDは
拡張子リストから特定のIDを追加または削除するために、オプションの記号+/-が前に付けられます。
ショートカット：文字列「all」はすべての拡張子を意味します。 文字列
'nsel'および 'nel'は、それぞれすべてのNSELまたはNEL拡張を有効にします。

例：
-Tall可能なすべての拡張機能を有効にします。
-T + 3、+ 4デフォルトの3と4に拡張機能1と2を追加します。
-T all、-8、-9すべての拡張子を設定します（8と9を除く）
-T -1,4デフォルトの拡張子1を削除し、拡張子4を追加します
-T nsel必要なすべてのASA？NSEL拡張を有効にします
-Tnel必要なすべてのnell拡張機能を有効にします
注：エクスポートデバイスおよび有効な拡張機能と共通のタグのみ
コレクター側はデータファイルに保存されます。 v9タグの詳細リスト
セクションで拡張機能が指定されているマップ 注意事項

-t インターバル
ファイルをローテーションする時間間隔を秒単位で指定します。 デフォルト値は300s（
5分 ）。

-w ファイルの回転を次のn分（-tで指定）の間隔に合わせます。 例：
間隔は5分、同期は0,5,10、XNUMX、XNUMX ...壁掛け時計分デフォルト：位置合わせなし。

-x CMD
コマンドを実行します。 CMD すべての間隔の終わりに、新しいファイルが使用可能になったとき。 NS
次のコマンド拡張が利用可能です。
％fファイル名に置き換えられます。例：nfcapd.200907110845
サブ階層。 （2009/07/11 / nfcapd.200907110845）
％dファイルが置かれているディレクトリに置き換えられます。
％t時間ISO形式（例：200907110845）に置き換えられます。
％uUNIX時間形式に置き換えられました。
％i-Iで指定されたID文字列を置き換えました

-X 拡張統計を収集して埋め込みます。 現在、ポートとbppのヒストグラムが埋め込まれています。
今のところほとんど実験的

-e サイクルごとにファイルを自動期限切れにします。 マックス 一生 と マックス ファイルサイズ を使用して定義されます
期限切れ(1)

-P pidファイル
pidfileの名前を指定します。 デフォルトはpidfileなしです。

-D デーモンモード：バックグラウンドにフォークし、ターミナルから切り離します。 Nfcapdはシグナルで終了します
TERM、INTおよびHUP。

-u ユーザーID
ユーザーに変更 ユーザーID できるだけ早く。 ルートのみがこのオプションを使用できます。

-g グループID
グループに変更 グループID できるだけ早く。 ルートのみがこのオプションを使用できます。

-B バフレン
ソケット入力バッファの長さをバイト単位で指定します。 大量のトラフィックの場合（GB付近
トラフィック）この値をできるだけ高く設定することをお勧めします（通常は> 100k）、
そうしないと、パケットを失うリスクがあります。 デフォルトはOS（およびカーネル）に依存します。

-E NetFlowレコードをnfdumpraw形式でstdoutに出力します。 このオプションはデバッグ用です
目的のみ、着信NetFlowデータがどのように処理および保存されるかを確認します。

-z フローを圧縮します。 出力ファイルで高速LZO1X-1圧縮を使用します。

-V nfcapdバージョンを出力して終了します。

-h ヘルプテキストを印刷して、すべてのオプションを含むstdoutに出力し、終了します。

リターン VALUE

成功した場合は0を返し、初期化が失敗した場合は255を返します。

ロギング

nfcapdは、SYSLOG_FACILITYLOG_DAEMONを使用してsyslogにログを記録します。通常の操作レベルの場合は「警告」
大丈夫なはずです。 詳細については、レベル「info」および「debug」で報告されます。

収集されたフローに関する小さな統計とエラーが最後に報告されます
レベル 'info'のsyslogへのすべての間隔。

例

すべてのフローは、すべてのエクスポーターからポート9995に送信され、単一のファイルに保存されます。 全て
既知のv9タグが使用されます。
nfcapd -z -w -D -T を -l / netflow / spool / allflows -I どれか -S 2 -P
/var/run/nfcapd.allflows.pid

2つの異なるエクスポーターからのすべてのフローはポート8877に送信され、別々に保存されます
ディレクトリツリー。 既知のv9タグはすべて使用されます。 入力バッファサイズは128000バイトに設定されています
nfcapd -z -w -D -T を -p 8877 -n アップストリーム、192.168.1.1、/ netflow / spool / upload -n
peer、192.168.2.1、/ netflow / spool / peer -S 2 -B 128000

単一のエクスポーターからのみ受け入れられ、内線3,4、5、およびXNUMXのみが受け入れられます。 を実行します
ファイルがローテーションされ、フローが自動的に期限切れになるときに指定されたコマンド：
nfcapd -w -D -T 3,4,5 -n アップストリーム、192.168.1.1、/ netflow / spool / upload -p 23456 -B
128000 -s 100 -x '/ path / command -r ％d /％f ' -P /var/run/nfcapd/nfcapd.pid -e

注意事項

複数のNetFlowソース：

Netflowデータは、さまざまなエクスポーターから単一のnfcapdプロセスに送信される場合があります。 -nを使用します
各NetFlowソースを異なるデータディレクトリに分離するオプション。 互換性のために
nfdump 1.5.xでは、古いスタイルの-l / -Iオプションは引き続き有効です。 その場合、すべてのフローは
すべてのソースは単一のファイルに保存されます。 大量のネットフローストリームの場合、それはまだです
NetFlowソースごとに単一のnfcapdプロセスを使用することをお勧めします。

nfdumpの現在のv9実装は、次のv9要素をサポートしています。
v9 素子 v9 ID 拡張
NF9_LAST_SWITCHED21デフォルト
NF9_FIRST_SWITCHED22デフォルト
NF9_IN_BYTES1デフォルト
NF9_IN_PACKETS2のデフォルト
NF9_IN_PROTOCOL4のデフォルト
NF9_SRC_TOS5のデフォルト
NF9_TCP_FLAGS6のデフォルト
NF9_FORWARDING_STATUS89デフォルト
NF9_IPV4_SRC_ADDR8のデフォルト
NF9_IPV4_DST_ADDR12のデフォルト
NF9_IPV6_SRC_ADDR27のデフォルト
NF9_IPV6_DST_ADDR28のデフォルト
NF9_L4_SRC_PORT7のデフォルト
NF9_L4_DST_PORT11のデフォルト
NF9_ICMP_TYPE32のデフォルト
NF9_INPUT_SNMP 10 1
NF9_OUTPUT_SNMP 14 1
NF9_SRC_AS 16 2
NF9_DST_AS 17 2
NF9_DST_TOS 55 3
NF9_DIRECTION 61 3
NF9_SRC_MASK 9 3
NF9_DST_MASK 13 3
NF9_IPV6_SRC_MASK 29 3
NF9_IPV6_DST_MASK 30 3
NF9_V4_NEXT_HOP 15 4
NF9_V6_NEXT_HOP 62 4
NF9_BGP_V4_NEXT_HOP 18 5
NF9_BPG_V6_NEXT_HOP 63 5
NF9_SRC_VLAN 58 6
NF9_DST_VLAN 59 6
NF9_OUT_PKTS 24 7
NF9_OUT_BYTES 23 8
NF9_FLOWS_AGGR 3 9
NF9_IN_SRC_MAC 56 10
NF9_OUT_DST_MAC 57 10
NF9_IN_DST_MAC 80 11
NF9_OUT_SRC_MAC 81 11
NF9_MPLS_LABEL_1 70 12
NF9_MPLS_LABEL_2 71 12
NF9_MPLS_LABEL_3 72 12
NF9_MPLS_LABEL_4 73 12
NF9_MPLS_LABEL_5 74 12
NF9_MPLS_LABEL_6 75 12
NF9_MPLS_LABEL_7 76 12
NF9_MPLS_LABEL_8 77 12
NF9_MPLS_LABEL_9 78 12
NF9_MPLS_LABEL_10 79 12
NF9_SAMPLING_INTERVAL34サンプリング
NF9_SAMPLING_ALGORITHM35サンプリング
NF9_FLOW_SAMPLER_ID48サンプリング
FLOW_SAMPLER_MODE49サンプリング
NF9_FLOW_SAMPLER_RANDOM_INTERVAL50サンプリング
エクスポートルーター13のIPアドレス
NF9_ENGINE_TYPE 38 14
NF9_ENGINE_ID 39 14
NF9_BGP_ADJ_NEXT_AS 128 15
NF9_BGP_ADJ_PREV_AS 129 15
コレクターがタイムスタンプ16を受信しました
32ビットと64ビットはすべてのカウンターでサポートされています。 32itAS番号がサポートされています。

IPFIXのサポートは実験的なものです。 多くのIPFIXでサンプリングが実装されていないため
エクスポータ、IPFIXのサンプリングはまだサポートされていません。

データファイルの形式は、NetFlowのバージョンに依存しません。

ソケットバッファ：ソケットバッファサイズの設定はシステムに依存します。 起動時、
nfcapdは、バッファが実際に設定されたバイト数を返します。 これは読むことによって行われます
バッファサイズを元に戻し、要求したものと異なる場合があります。

onworks.netサービスを使用してオンラインでnfcapdを使用する