nfdump - Онлайн в облаке

ПРОГРАММА:

ИМЯ

nfdump - программа для отображения и анализа netflow

СИНТАКСИС

нфдамп [опции] [фильтр]

ОПИСАНИЕ

нфдамп это программа отображения и анализа netflow из набора инструментов nfdump. Он читает
данные netflow из файлов, хранящихся в nfcapd, и обрабатывает потоки в соответствии с параметрами
данный. Синтаксис фильтра сравним с tcpdump и расширен для данных netflow. Nfdump
может также отображать множество различных статистических данных о потоках и элементах потока.

ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ

-r входной_файл
Прочитать входные данные из входной_файл. По умолчанию читается из стандартного ввода.

-R выраж
Прочитать ввод из последовательности файлов в том же каталоге. выраж может быть одним из:
/любой/директория Рекурсивно читать все файлы в каталоге директория.
/ dir /файл Прочитать все файлы, начинающиеся с файл.
/ dir /файл1: файл2 Прочитать все файлы из file1 в file2.

При использовании в сочетании с подиерархией:
/ dir /sub1/sub2/file1:sub3/sub4/file2
Прочитать все файлы из sub1 / sub2 / file1 sub3 / sub4 / file2 повторение всего необходимого
уровни иерархии.

Примечание: файлы читаются в алфавитном порядке.

-M выраж
Чтение ввода из нескольких каталогов. выраж выглядит как: / любой / путь / к / каталог1: каталог2: каталог3 и так далее
и будет расширен до каталогов: / любой / путь / к / каталогу1, / любой / путь / к / каталогу2 и
/ любой / путь / к / каталогу3 Может быть указано любое количество каталогов, разделенных двоеточием. Файлы для
read указываются с помощью -r или -R и, как ожидается, будут существовать во всех данных каталогах.
Параметры -r и -R не должны содержать какой-либо части каталога при использовании вместе с
-М.

-m Отсортируйте записи netflow по дате первого просмотра. Этот вариант обычно только
полезно в сочетании с -M, когда записи netflow читаются из разных источников,
которые не обязательно отсортированы.

-w выходной файл
Если указано, записывает двоичные записи netflow в выходной файл готов к повторной обработке
с помощью nfdump. По умолчанию вывод на стандартный вывод - ASCII. В сочетании с параметрами -m, -a,
-b и -B записывают агрегированный и / или отсортированный потоковый кеш в двоичном формате на диск.

-f файл фильтра
Читает синтаксис фильтра из файл фильтра. Примечание. Любой фильтр, указанный непосредственно в
командная строка имеет приоритет над -f.

-t Timewin
Обрабатывать только потоки, попадающие во временное окно Timewin, Где Timewin is
ГГГГ / ММ / дд.чч: мм: сс [-ГГГГ / ММ / дд.чч: мм: сс]. Любые части спецификации времени могут быть опущены.
например, ГГГГ / ММ / дд расширяется до ГГГГ / ММ / дд.00: 00: 00-бесконечность и обрабатывает весь поток из
данный день и далее. Временное окно также может быть указано как +/- n. В данном случае это
относительно начала или конца всех потоков. +10 означает первые 10 секунд всех
потоков, -10 означает последние 10 секунд всех потоков.

-c Num
Ограничить количество записей для обработки первым Num потоки.

-a Сводные данные о чистом потоке. Автоматически подразумевает -a. Агрегация выполняется при подключении
level, взяв протокол из 5 кортежей, srcip, dstip, srcport и dstport.

-A агрегирование
Как и в случае с гибким чистым потоком (FNF), записи чистого потока могут быть агрегированы по любому количеству
даны поля v9. агрегирование представляет собой список распознаваемых тегов, разделенных ','
следующий список:
протокол proto IP
srcip Исходный IP-адрес
dstip IP-адрес назначения
srcip4 / net IPv4-источник IP-адреса с примененной сетевой маской
srcip6 / net IPv6-источник IP-адреса с примененной сетевой маской
dstip4 / net IPv4 IP-адрес назначения с примененной сетевой маской
dstip6 / net IPv6 IP-адрес назначения с примененной сетевой маской
srcnet Применить маску сети srcmask в записи netflow для IP-адреса источника
dstnet Применить маску сети dstmask в записи netflow для IP-адреса назначения
srcport Исходный порт
порт назначения dstport
srcmask Маска источника
dstmask Маска назначения
srcvlan Исходная метка vlan
dstvlan Метка vlan назначения
srcas Исходный номер AS
dstas Номер AS получателя
следующий как BGP Следующая AS
prevas BGP Предыдущая AS
inif Номер входного интерфейса SNMP
номер выходного интерфейса outif SNMP
следующий IP следующий переход
bgpnext Следующий переход BGP
insrcmac В исходном MAC-адресе
outdstmac out MAC-адрес назначения
indstmac В MAC-адресе назначения
outrcmac Исходный MAC-адрес источника
tos Тип источника услуги
srctos Тип источника службы
dsttos Тип назначения услуги
mpls1 Метка MPLS 1
mpls2 Метка MPLS 2
mpls3 Метка MPLS 3
mpls4 Метка MPLS 4
mpls5 Метка MPLS 5
mpls6 Метка MPLS 6
mpls7 Метка MPLS 7
mpls8 Метка MPLS 8
mpls9 Метка MPLS 9
mpls10 Метка MPLS 10
роутер Экспорт IP роутера

nfdump автоматически компилирует соответствующий выходной формат для выбранной агрегации
если не указан явный выходной формат. Формат автоматического вывода идентичен
-o 'fmt:% ts % td % pkt % byt % бит / с % bpp % fl ' куда представляет
выбранные теги агрегации.

Пример:
-A proto, srcip, dstport

-A srcas, dstas

-b Сводные записи чистых потоков как двунаправленные. Автоматически подразумевает -a.
Агрегация выполняется на уровне соединения с использованием протокола из 5 кортежей, srcip, dstip,
srcport и dstport или в обратном порядке для соответствующего потока подключения. Вход
и выходные пакеты / байты подсчитываются и сообщаются отдельно. Оба потока объединены в
единственная запись. Соответствующий выходной формат выбирается автоматически, который может быть
перезаписывается любой опцией формата -o.

-B Подобно -b, но автоматически меняет местами потоки, так что порт src> 1024, а порт dst
1024, поскольку некоторые экспортеры не заботятся о том, чтобы отправлять потоки в правильном порядке. Считается
быть удобным вариантом. Если src и dst port> 1024 или <1024, потоки
взяты как есть.

-I Распечатать статистику потока из файла, указанного параметром -r, или временного интервала, указанного параметром -R / -M.

-D DNS
Поставьте DNS в качестве сервера имен для поиска имен хостов.

-s статистика [: p] [/ orderby]
Создайте статистику Top N потока или элемента потока. статистика может быть:
запись Статистика по аррегированным записям нетто-потока.
srcip Статистика об исходных IP-адресах
dstip Статистика об IP-адресах назначения
ip Статистика по любым (исходным или целевым) IP-адресам
nhip Статистика об IP-адресах следующего перехода
nhbip Статистика об IP-адресах следующего перехода BGP
статистика маршрутизатора об экспорте IP-адреса маршрутизатора
srcport Статистика об исходных портах
dstport Статистика о портах назначения
порт Статистика по любым портам (источника или назначения)
tos Статистика о типе услуги - по умолчанию src
srctos Статистика о типе службы src
dsttos Статистика о типе услуги dst
dir Статистика о направлениях потока на входе / выходе
srcas Статистика по номерам исходных AS
dstas Статистика по номерам AS назначения
как статистика по любым (исходным или целевым) номерам AS
inif Статистика по интерфейсу ввода
outif Статистика по интерфейсу вывода
если статистика по любому интерфейсу
srcmask Статистика о маске src
dstmask Статистика о dst-маске
srcvlan Статистика о метке src vlan
Статистика dstvlan о метке dst vlan
vlan Статистика по любому ярлыку vlan
insrcmac Статистика о входном MAC-адресе src
outdstmac Статистика о выходном MAC-адресе dst
indstmac Статистика по входному MAC-адресу dst
outrcmac Статистика о выходном MAC-адресе src
srcmac Статистика по любому MAC-адресу src
dstmac Статистика по любому MAC-адресу dst
inmac Статистика по любому входному MAC-адресу
outmac Статистика по любому выходному MAC-адресу
маска Статистика по любой маске
proto Статистика IP-протоколов
mpls1 Статистика по метке MPLS 1
mpls2 Статистика по метке MPLS 2
mpls3 Статистика по метке MPLS 3
mpls4 Статистика по метке MPLS 4
mpls5 Статистика по метке MPLS 5
mpls6 Статистика по метке MPLS 6
mpls7 Статистика по метке MPLS 7
mpls8 Статистика по метке MPLS 8
mpls9 Статистика по метке MPLS 9
mpls10 Статистика по метке MPLS 10
sysid Внутренний SysID экспортера

Статистика NSEL / ASA
событие NSEL / ASA событие
xevent NSEL / ASA расширенное событие
xsrcip NSEL / ASA переведенный IP-адрес src
xsrcport NSEL / ASA переведенный порт src
xdstip NSEL / ASA преобразованный IP-адрес dst
xdstport NSEL / ASA преобразованный порт dst
Входящий ACL iacl NSEL / ASA
iace NSEL / ASA входящий ACE
ixace NSEL / ASA, вход xACE
eacl NSEL / ASA исходящий ACL
eace NSEL / ASA egress ACE
exace NSEL / ASA, исходящий xACE

Статистика NAT
nevent событие NAT
vrf / ivrf NAT входящий vrf
evrf NAT исходящий vrf
nsrcip NAT src IP-адрес
nsrcport NAT src порт
ndstip NAT dst IP-адрес
ndstport NAT dst порт

Добавлением :p к названию статистики, результирующая статистика разбивается на транспортную
протоколы уровня. По умолчанию статистика не зависит от транспортного протокола.

Сортировать по является необязательным и указывает порядок, в котором упорядочена статистика и может
be потоки, пакеты, байт, имп, бод or BPP. Вы можете указать более одного Сортировать по , которые
приводит к той же статистике, но в другом порядке. Если нет Сортировать по дано,
статистика упорядочена по потоки. Вы можете указать сколько угодно статистических данных по элементам потока на
командная строка для того же запуска.

Пример:
-s srcip -s ip / потоки -s dstport / pps / пакеты / байты -s запись / байты

-O Сортировать по
Задает значение по умолчанию Сортировать по для статистики элемента потока -s, который применяется, когда нет
Сортировать по дается в -s. Сортировать по может быть потоки, пакеты, байт, имп, бод or BPP. По умолчанию
в потоки.

-l [+/-] packet_num
Ограничьте вывод статистики теми записями, которые находятся выше или ниже Package_num предел.
Package_num принимает положительные или отрицательные числа, за которыми следует 'K', 'M' или 'G' 10E3, 10E6
или 10E9 потоков соответственно. См. Также примечание на -L

-L [+/-] byte_num
Ограничьте вывод статистики теми записями, которые находятся выше или ниже номер_байта предел. номер_байта
принимает положительные или отрицательные числа, за которыми следует 'K', 'M' или 'G' 10E3, 10E6 или 10E9
байтов соответственно. Примечание: Эти ограничения применяются только к статистике и агрегированным
выходы, созданные с помощью -a -s. Чтобы отфильтровать записи netflow по пакетам и байтам, используйте
синтаксис фильтра «пакеты» и «байты» описан ниже.

-n Num
Определите число для статистики Top N. По умолчанию 10. Если указан 0,
количество не ограничено.

-o формат
Выбирает выходной формат для печати потоков или статистики записи потока (-s запись). В
доступны следующие форматы:
raw Распечатать каждую запись потока файла на нескольких строках.
line Печатайте каждый поток в одной строке. Формат по умолчанию.
long Распечатать каждый поток в одной строке с более подробной информацией
biline То же, что и line, но для двунаправленных потоков
bilong То же самое, но для бидировых потоков
расширенный Распечатайте каждый поток в одной строке с еще большим количеством деталей.
nsel Вывести каждое событие NSEL в одну строку. По умолчанию, если включен NSEL / ASA.
nel Печатать каждое событие NAT в одной строке. По умолчанию, если включен NEL.
csv Вывод, разделенный запятыми, для машиночитаемой обработки.
pipe Устаревший машиночитаемый формат: поля '|' разделены.
ФМТ:формат Пользовательский формат вывода.
Для каждого определенного формата вывода, кроме -o fmt: длинный выходной формат IPv6
существует. строка6, long6 и расширенный6. Посмотреть выходной Форматы ниже для получения дополнительной информации.

-q Скрыть строку заголовка и статистику внизу.

-N Вывести на выходе простые числа. Легче для пост-синтаксического анализа.

-i идент
Измените метку идентификатора в файле, указанную -r на идент

-v файл
проверить файл. Версия файла данных для печати, количество блоков и состояние сжатия.

-E файл
Список экспортеров / пробоотборников печати найден в файл. В случае файла сборщика nfcapd
печатается дополнительная статистика по экспортеру с указанием количества потоков, пакетов и
ошибки последовательности.

-x файл
Отсканируйте и распечатайте карты расширения, расположенные в файловом файле

-z Сжать потоки. Используйте быстрое сжатие LZO1X-1 в выходном файле.

-j файл
Сжать / распаковать данный файл. Если файл сжат, распакуйте его и наоборот.
наоборот.

-Z Проверьте синтаксис фильтра и выйдите. Соответственно устанавливает возвращаемое значение.

-X Компилирует синтаксис фильтра и выгружает таблицу механизма фильтрации в стандартный вывод. Это для
только цель отладки.

-V Распечатайте версию nfdump и выйдите.

-h Напечатайте текст справки на стандартном выводе со всеми параметрами и выйдите.

ВЕРНУТЬ VALUE

Returns
0 Ошибки нет.
255 Ошибка инициализации.
254 Ошибка в синтаксисе фильтра.
250 Внутренняя ошибка.

ВЫВОД ФОРМАТЫ

Формат вывода сырье печатает каждую запись потока в нескольких строках, включая всю информацию
имеется в записи. Это наиболее подробный вид потока.

В других форматах вывода каждый поток выводится в отдельной строке. Предустановленные форматы вывода: линия,
длинной и расширенная Формат вывода линия формат вывода по умолчанию, когда формат не задан.
указано. Это ограничивает информацию деталями подключения, а также количеством
пакеты, байты и потоки.

Формат вывода длинной идентичен формату линия, и включает дополнительные
такая информация, как флаги TCP и тип службы.

Формат вывода расширенная идентичен формату длинной, и включает дополнительные
вычисленная информация, такая как имп, бод и BPP.

Поля:

Время поток Начало: Впервые замечен поток времени начала. Формат ISO 8601, включая миллисекунды.

Время: Продолжительность потока в секундах и миллисекундах. Если потоки агрегированы,
продолжительность это промежуток времени за весь период времени от первого до последнего посещения.

Прото: Протокол, используемый при соединении.

Src IP Адрес: Порт: Исходный IP-адрес и исходный порт.

Летнее время IP Адрес: Порт: IP-адрес назначения и порт назначения. В случае ICMP порт
декодируется как type.code.

Флаги: Флаги TCP соединения ORed.

Кашель: Тип сервиса.

Пакеты: Количество пакетов в этом потоке. Если потоки агрегированы, пакеты
подвела.

Байтов: Количество байтов в этом потоке. Если потоки агрегированы, байты суммируются.
вверх.

пс: Рассчитанное количество пакетов в секунду: количество пакетов / продолжительность. Если потоки
в совокупности это приводит к среднему значению pps в течение этого периода времени.

бит / с: Вычисленное количество бит в секунду: 8 * количество байтов / длительность. Если потоки
в совокупности это приводит к средним битам в секунду за этот период времени.

Бит/с: Вычисленное количество байтов на пакет: количество байтов / количество пакетов. Если потоки
в совокупности это приводит к среднему bpp за этот период времени.

Потоки: Количество потоков. Если потоки указаны только в списке, это число всегда равно 1. Если потоки
агрегированный, показывает количество агрегированных потоков к одной записи.

Числа больше 1'000'000 (1000 * 1000) масштабируются до 4 цифр и одной десятичной цифры.
включая коэффициент масштабирования M, G or T для более чистого вывода, например 923.4 M

Чтобы вывод был более читабельным, адреса IPv6 сокращены до 16 символов. В
семь наибольших и семь наименьших цифр, соединенных двумя точками '..' отображаются в любом нормальном
форматы вывода. Чтобы отобразить полный IPv6-адрес, используйте соответствующий длинный формат, который
это имя формата, за которым следует 6.

Пример: -o линия отображает IPv6-адрес как 2001: 23..80: d01e где как формат -o line6
отображает IPv6-адрес полностью 2001:234:aabb::211:24ff:fe80:d01e,
комбинация -o линия -6 эквивалентна -o line6.

Формат вывода fmt: позволяет вам определить свой собственный выходной формат. Формат
описание формат состоит из одной строки, содержащей произвольные строки и формат
спецификатор, как описано ниже

% Вставляет предопределенный формат на этой позиции. например %линия
% ts Время начала - впервые увидели
% te Конец времени - последний раз видели
% tr Время поступления потока в коллектор
% td Длительность
% pr протокол
% exp ID экспортера
% eng Тип двигателя / ID
% sa Адрес источника
% da Адрес назначения
% sap Исходный адрес: порт
% dap Адрес назначения: Порт
% sp Порт источника
% dp Порт назначения
% sn Исходная сеть, маска применена
% dn Целевая сеть, маска применена
% nh IP-адрес следующего перехода
% nhb IP-адрес следующего перехода BGP
% ra IP-адрес маршрутизатора
% sas Источник AS
% das Пункт назначения AS
% nas Следующий AS
% pas Предыдущий AS
%в Номер входного интерфейса
%из Номер выходного интерфейса
% pkt Пакеты - ввод по умолчанию
% ipkt Входные пакеты
% opkt Пакеты вывода
% byt Байты - ввод по умолчанию
% ibyt Входные байты
% обыт Выходные байты
% fl Потоки
% flg Флаги TCP
% tos Tos - src по умолчанию
% stos Источник Tos
% dtos DST Tos
% dir Направление: вход, выход
% smk Маска SRC
% dmk DST-маска
% fwd Статус пересылки
% svln Метка src vlan
% dvln Метка dst vlan
% ismc Введите Src Mac Addr
% odmc Выходной Dst-адрес Mac
% idmc Введите Dst-адрес Mac
% osmc Выходной адрес Src Mac
% mpls1 Метка MPLS 1
% mpls2 Метка MPLS 2
% mpls3 Метка MPLS 3
% mpls4 Метка MPLS 4
% mpls5 Метка MPLS 5
% mpls6 Метка MPLS 6
% mpls7 Метка MPLS 7
% mpls8 Метка MPLS 8
% mpls9 Метка MPLS 9
% mpls10 Метка MPLS 10
% mpls Метки MPLS 1-10
% бит / с bps - бит в секунду
% пп pps - пакетов в секунду
% bpp bps - Байт на пакет

Специальные форматы NSEL
% nfc Идентификатор подключения NSEL
% evt Мероприятие NSEL
% xevt Расширенное мероприятие NSEL
% мсек Время события NSEL в мсек.
% iacl Входящий ACL NSEL
% eacl Выходной ACL NSEL
% xsa IP-адрес NSEL XLATE src
% xda IP-адрес NSEL XLATE dst
% xsp Порт NSEL XLATE src
% xdp Порт dst для NSEL SLATE
% xsap Исходный адрес Xlate: Порт
% xdap Адрес назначения Xlate: Порт
% uname Имя пользователя NSEL

Специфические форматы NEL / NAT
% nevt Событие NAT - то же, что и% evt
% ivrf NAT входящий идентификатор VRF
% evrf Идентификатор выходного VRF NAT
% nsa IP-адрес NAT src
% nda NAT dst IP-адрес
% nsp NAT src порт
% ndp Порт NAT dst
% pbstart Блокировка пула NAT
% pbend Конец блока пула NAT
% pbstep Шаг блокировки пула NAT
% pbsize Размер блока пула NAT

Форматы Nprobe
% cl Задержка клиента
% sl Задержка сервера
% al Задержка приложения

Пример: стандартный выходной формат длинной может быть создан как
-o "fmt:% ts % td % pr % sap -> % dap % flg % tos % pkt % byt % fl "

Вы также можете определить свой собственный выходной формат и скомпилировать его в nfdump. См. Nfdump.c
. Результат Форматы Больше подробностей.

Команда CSV выходной формат предназначен для чтения другой программой для дальнейшей обработки. В качестве
пример, см. Perl-программу parse_csv.pl. Формат вывода cvs состоит из одного или
больше выходных блоков и один сводный блок. Каждый выходной блок начинается со строки индекса cvs
за которыми следуют строки записи cvs. Индексные строки описывают порядок, как каждый следующий
запись составлена.

Пример:
Строка индекса: ts, te, td, sa, da, sp, dp, pr, ...
Record line: 2004-07-11 10:30:00,2004-07-11 10:30:10,10.010,...

Все записи находятся в читаемой форме ASCII. Числа не масштабируются, поэтому каждую строку можно легко
разобраны.

Индексы, используемые в nfdump 1.6:

ts, te, td записи времени: t-start, t-end, duration
sa, da src dst-адрес sp, dp src, dst-порт
пр протокол PF_INET или PF_INET6
flg Флаги TCP:
000001 ФИН.
000010 СИН
000100 СБРОС
001000 PUSH
010000 подтверждения
100000 СРОЧНО
например, 6 => СИНХРОНИЗАЦИЯ + СБРОС
статус переадресации fwd
стос src tos
ipkt, ibyt входные пакеты / байты
opkt, obyt выходных пакетов, байтов
вход, выход интерфейс ввода / вывода Номер SNMP
sas, das src, dst AS
smk, dmk src, маска dst
dtos dst тос
dir направление
nh, nhb IP-адрес nethop, IP-адрес следующего перехода bgp
svln, dvln src, dst идентификатор vlan
ismc, odmc input src, output dst MAC
idmc, osmc input dst, output src MAC
mpls1, mpls2 Метка MPLS 1-10
mpls3, mpls4
mpls5, mpls6
mpls7, mpls8
mpls9, mpls10
ra IP-адрес маршрутизатора
двигатель маршрутизатора eng тип / id

См. Parse_csv.pl для более подробной информации.

ФИЛЬТР

Синтаксис фильтра аналогичен хорошо известной библиотеке pcap, используемой tcpdump. Фильтр
можно указать либо в командной строке после всех параметров, либо в отдельном файле. Это
может занимать несколько строк. Все, что находится после символа "#", рассматривается как комментарий и игнорируется
Конец строки. Практически нет ограничений на длину выражения фильтра. Все
ключевые слова не зависят от регистра.

Любой фильтр состоит из одного или нескольких выражений выраж. Любое количество выраж можно связать
все вместе:

выраж и выражение, выражение or выражение, expr и ( выраж ).

Expr может быть одним из следующих примитивов фильтра:

включают
@включать
включать содержание в фильтр.

ip версия
инет or ipv4 для IPv4
инет6 or ipv6 для IPv6

протокол
прото
прото
в котором известен протокол, такой как TCP, UDP, ICMP, ICMP6, GRE, ESP, ah, и т.д.
или действующий номер протокола: 6, 17 и так далее

IP адрес
[src | dst] ip
[src | dst] кашель
как любой допустимый IPv4-, IPv6-адрес или полное квалифицированное имя хоста. В случае
имени хоста, IP-адрес ищется в DNS. Если более одного IP-адреса
найден, все IP-адреса связаны вместе. (ip1 or ip2 or ip3 ... )

Чтобы проверить, входит ли IP-адрес в список известных IP-адресов, используйте
[src | dst] ip in [ ]
[src | dst] кашель in [ ]
представляет собой список отдельных лиц, разделенных пробелами или запятыми. или полностью квалифицированный
имена хостов, которые ищутся в DNS. Если найдено более одного IP-адреса, все
IP-адреса помещаются в список.

[src | dst]
IP-адреса, сети, порты, номер AS и т. Д. Могут быть специально выбраны с помощью
квалификатор направления, например src или DST. Их также можно использовать в сочетании с
и и or. Такие как SRC и DST ip ...

сеть
[src | dst] сеть abcd mnrs
Выберите сеть IPv4 abcd с сетевой маской mnrs.

[src | dst] сеть /
в качестве действующей сети IPv4 или IPv6 и как маскбиты. Количество маски
биты должны соответствовать соответствующему семейству адресов в IPv4 или IPv6. Сети могут быть
сокращенно, например 172.16 / 16, если они недвусмысленны.

порт
[src | dst] порт [комп.]
как любой допустимый номер порта. Если комп опущен,
'=' предполагается. комп объясняется более подробно ниже.
[src | dst] порт in [ ]
Порт можно сравнить со списком ноу-хау, где это список, разделенный пробелами
индивидуальных номеров портов.

ICMP
icmp-типа
icmp-код
как действительный тип / код icmp. Это автоматически подразумевает прото ICMP.

Маршрутизатор ID
Тип двигателя
двигатель
сисид
в качестве действительного типа / идентификатора механизма маршрутизатора или идентификатора экспортера (0..255).

Интерфейс
[вход | выход] if
Выберите вход, выход или любой идентификатор интерфейса, с помощью Num как номер интерфейса SNMP.
Пример: in if 3

AS номера
[src | dst | предыдущая | следующая] as [комп.]
Выбирает источник, место назначения, предыдущий, следующий или любой номер AS с как любой действительный как
количество. Поддерживаются 32-битные номера AS. Если комп опускается, предполагается '='. комп is
объяснено более подробно ниже.

[src | dst | предыдущая | следующая] as in [ ]
Номер AS можно сравнить со списком знакомых, где это пробел или запятая
разделенный список индивидуальных номеров AS.

Префикс маска биты
[src | dst] маска
как любое допустимое значение бита маски префикса.

Влан этикетки
[src | dst] ВЛС
как любой действующий лейбл vlan.

Флаги
Флаги
как комбинация:
ACK.
С СИН.
Ф фин.
R Сброс.
P Нажмите.
U Срочно.
X Все флаги включены.
Порядок флагов не имеет значения. Не упомянутые флаги считаются безразличными.
Чтобы получить эти потоки только с установленным флагом SYN, используйте синтаксис 'Флаги S и
Флаги АФРПУ'.

Следующая хмель IP
следующий ip
в качестве IP-адреса IPv4 / IPv6 маршрутизатора следующего перехода.

Следующий прыжок маршрутизатор IP in BGP домен
бгпнекст ip
как IP-адрес маршрутизатора следующего перехода IPv4 / IPv6 в домене BGP. (v9 # 18)

Маршрутизатор IP
маршрутизатор ip
Отфильтруйте потоки по IP-адресу экспортирующего маршрутизатора.

MAC адреса
[ИнАутСркДст] макинтош
В любой действующий MAC-адрес. макинтош можно более конкретно указать, используя любой
комбинация спецификатора направления, как определено в CISCO v9. in SRC, in DST, внешний SRC,
внешний DST.

MPLS этикетки
МПЛС метка [комп.]
В как и любой мплс ярлык №1..10. Фильтрует точно указанный ярлык .
МПЛС EOS [комп.]
Фильтрует метку конца стека для заданного значения .
МПЛС exp [комп.]
Фильтрует экспериментальные фрагменты этикетки 0..7.

Пакеты
пакеты [комп.] [шкала]
Для фильтрации записей netflow с определенным количеством пакетов.
Пример: пакеты > 1k

Б
байт [комп.] [шкала]
Для фильтрации записей netflow с определенным количеством байтов.
Пример: байт 46 фильтрует все пустые пакеты IPv4

Сводные потоки
потоки [комп.] [шкала]
Для фильтрации записей netflow с определенным количеством агрегированных потоков.

Тип of Услуга (ТОС)
[Источник назначение] кашлять
В 0..255. Для совместимости с nfump 1.5.x: кашлять эквивалентно
SRC кашлять

Пакеты для второй: Рассчитанный значения.
имп [комп.] Num [шкала]
Для фильтрации потоков с определенными пакетами в секунду.

Время: Рассчитанный ценностное
продолжительность [комп.] Num
Для фильтрации потоков с определенной продолжительностью в миллисекундах.

Биты для второй: Рассчитанный значения.
бод [комп.] Num [шкала]
Для фильтрации потоков с определенными байтами в секунду.

Б для пакет: Рассчитанный значения.
BPP [комп.] Num [шкала]
Для фильтрации потоков с определенными байтами на пакет.

лестница коэффициент масштабирования. Может быть k m g. Фактор 1000

комп Поддерживаются следующие компараторы:
=, ==, >, <, Эквалайзер, ЛТ, GT . If комп опускается, предполагается '='.

NSEL / ASA конкретный фильтры:

NSEL / ASA События
крыло мероприятие
крыло мероприятие [комп.]
выберите событие NSEL / ASA по имени или номеру. Если задано как число, его можно сравнить с
номер

NSEL / ASA отказано причина
крыло мероприятие отказано
Выберите отклоненное событие NSEL / ASA по типу

NSEL / ASA расширенная События
крыло событие [комп.]
Выберите расширенное событие NSELL ASA по номеру или, при желании, сравните по номеру.

X-поздно IP адреса и порты
[src | dst] XIP
Выберите переведенный IP адрес

[src | dst] хнет /
как действующая преобразованная сеть IPv4 или IPv6 и как маскбиты. В
количество битов маски должно соответствовать соответствующему семейству адресов в IPv4 или IPv6.
Сети могут быть сокращены, например 172.16 / 16, если они недвусмысленны.

[src | dst] кспорт
Выберите переведенный порт

NSEL / ASA вход / выход
вход [комп.] номер
Выбрать / сравнить an вход ACL

выход ACL [комп.]
Выбрать / сравнить исходящий ACL

NEL конкретный NAT фильтры:

NAT События
натуральный мероприятие
натуральный мероприятие [комп.]
выберите событие NEL NAT по имени или номеру. Если задано как число, его можно сравнить с
номер

NEL NAT ip адреса и порты
[src | dst] щипок
Выберите NAT IP адрес

[src | dst] нпорт
Выберите NAT порт

NEL NAT VRF
вход VRF Выберите vrf

ПРИМЕРЫ

нфдамп -r /и/каталог/nfcapd.201107110845 -c 100 прото TCP и ( SRC ip 172.16.17.18 or DST
ip 172.16.17.19 )' Выгружает первые 100 записей netflow, которые соответствуют заданному фильтру:

нфдамп -r /и/каталог/nfcapd.201107110845 -B Сопоставление потоков потоков как бинарно-направленных одиночных
потока.

нфдамп -R /и/каталог/nfcapd.201107110845:nfcapd.200407110945 'хозяин 192.168.1.2 " Сбрасывает все
записи netflow хоста 192.168.1.2 с 11 июля 08:45 - 09:45

нфдамп -M / к / и / dir1: dir2 -R nfcapd.200407110845: nfcapd.200407110945 -s запись -n 20
Формирует 20 лучших статистических данных с 08:45 до 09:45 из 3 источников

нфдамп -r /и/каталог/nfcapd.201107110845 -s запись -n 20 -o расширенная Создает 20 лучших
статистика, расширенный формат вывода

нфдамп -r /и/каталог/nfcapd.201107110845 -s запись -n 20 'из if 5 и бод > 10 тыс. Формирует
20 лучших статистических данных по потокам, исходящим из интерфейса 5

нфдамп -r /и/каталог/nfcapd.201107110845 'inet6 и прото TCP и ( SRC порт > 1024 и DST
порт 80 ) Сбрасывает все подключения IPv80 порта 6 к любому веб-серверу.

ПРИМЕЧАНИЯ

Сгенерировать статистику для файлов данных размером в несколько сотен МБ не составит труда. Как бы то ни было
будьте осторожны, если хотите создать статистику по нескольким ГБ данных. Это может потребовать много
памяти и может занять некоторое время. Анонимизация потока перенесена в nfanon.

Используйте nfdump онлайн с помощью сервисов onworks.net