nfdump - Bulutta Çevrimiçi

Program:

ADI

nfdump - netflow görüntüleme ve analiz programı

SİNOPSİS

nf dökümü [seçenekler] [filtre]

TANIM

nf dökümü nfdump araç setinin netflow görüntüleme ve analiz programıdır. okur
nfcapd tarafından depolanan dosyalardan netflow verileri alır ve akışları seçeneklere göre işler
verildi. Filtre sözdizimi, tcpdump ile karşılaştırılabilir ve netflow verileri için genişletilmiştir. Nfdump
ayrıca birçok farklı üst N akış ve akış öğesi istatistiklerini görüntüleyebilir.

SEÇENEKLER

-r giriş dosyası
Giriş verilerini oku giriş dosyası. Varsayılan, stdin'den okunur.

-R İfade
Aynı dizindeki bir dizi dosyadan girdiyi okuyun. İfade şunlardan biri olabilir:
/herhangi/dir Dizindeki tüm dosyaları tekrar tekrar oku dir.
/dir/dosya ile başlayan tüm dosyaları oku dosya.
/dir/dosya1:dosya2 Tüm dosyaları oku file1 için file2.

Bir alt hiyerarşi ile birlikte kullanıldığında:
/dir/sub1/sub2/file1:sub3/sub4/file2
Tüm dosyaları oku alt1/alt2/dosya1 alt3/alt4/dosya2 tüm gerekli üzerinde yineleme
hiyerarşi seviyeleri.

Not: dosyalar alfabetik sırayla okunur.

-M İfade
Birden çok dizinden girişi okuyun. İfade gibi görünüyor: /herhangi bir/yol/to/dir1:dir2:dir3 vb.
ve dizinlere genişletilecektir: /herhangi bir/yol/to/dir1, /herhangi bir/yol/to/dir2 ve
/herhangi bir/yol/to/dir3 Herhangi bir sayıda iki nokta üst üste ayrılmış dizin verilebilir. Dosyalar
read -r veya -R ile belirtilir ve verilen tüm dizinlerde bulunması beklenir.
-r ve -R seçenekleri, ile birlikte kullanıldığında herhangi bir dizin parçası içermemelidir.
-M.

-m Netflow kayıtlarını ilk görülen tarihe göre sıralayın. Bu seçenek genellikle yalnızca
-M ile bağlantılı olarak, netflow kayıtları farklı kaynaklardan okunduğunda kullanışlıdır,
hangi zorunlu olarak sıralanmış değildir.

-w çıktı dosyası
Belirtilmişse, ikili ağ akışı kayıtlarını şuraya yazar: çıktı dosyası tekrar işlenmeye hazır
nfdump ile. Varsayılan çıktı, stdout'ta ASCII'dir. -m, -a, seçenekleriyle birlikte
-b ve -B, toplu ve/veya sıralanmış akış önbelleğini ikili biçimde diske yazar.

-f filtre dosyası
Filtre sözdizimini şuradan okur: filtre dosyası. Not: Doğrudan ekranda belirtilen herhangi bir filtre
komut satırı -f'ye göre önceliklidir.

-t zaman kazanma
Yalnızca zaman penceresine denk gelen süreç akışları zaman kazanma, Burada zaman kazanma is
YYYY/AA/gg.ss:dd:ss[-YYYY/AA/gg.ss:dd.ss]. Zaman spesifikasyonunun herhangi bir kısmı atlanabilir
örneğin YYYY/AA/gg, YYYY/AA/gg.00:00:00-sonsuz olarak genişler ve tüm akışı bir
günden itibaren verilir. Zaman penceresi ayrıca +/- n olarak da belirtilebilir. Bu durumda
tüm akışların başlangıcına veya sonuna göre. +10, hepsinin ilk 10 saniyesi anlamına gelir
akışlar, -10, tüm akışların son 10 saniyesi anlamına gelir.

-c num
İşlenecek kayıt sayısını birinciyle sınırlayın num akar.

-a Toplu ağ akışı verileri. Otomatik olarak -a anlamına gelir. Toplama bağlantıda yapılır
5-tuple protokolü, srcip, dstip, srcport ve dstport alarak seviye.

-A toplanma
Esnek Ağ Akışına (FNF) benzer şekilde, ağ akışı kayıtları herhangi bir sayıda toplanabilir.
verilen v9 alanları. toplanma tanınan etiketlerin ',' ile ayrılmış bir listesidir.
aşağıdaki liste:
ön IP protokolü
srcip Kaynak IP adresi
dstip Hedef IP adresi
srcip4/net IPv4 kaynak IP adresi, uygulanan ağ maskesi ile
srcip6/net IPv6 kaynak IP adresi, uygulanan ağ maskesi ile
uygulanan ağ maskesi ile dstip4/net IPv4 hedef IP adresi
uygulanan ağ maskesi ile dstip6/net IPv6 hedef IP adresi
srcnet Kaynak IP için netflow kaydında netmask srcmask uygulayın
dstnet Hedef IP için netflow kaydında netmask dstmask uygulayın
srcport Kaynak bağlantı noktası
dstport Hedef bağlantı noktası
srcmask Kaynak maskesi
dstmask Hedef maskesi
srcvlan Kaynak vlan etiketi
dstvlan Hedef vlan etiketi
srcas Kaynak AS numarası
dstas Hedef AS numarası
nextas BGP Sonraki AS
prevas BGP Önceki AS
inif SNMP giriş arayüz numarası
outif SNMP çıkış arabirim numarası
sonraki IP sonraki atlama
bgpnext BGP sonraki atlama
insrcmac Kaynak MAC adresinde
outdstmac çıkış hedef MAC adresi
indstmac Hedef MAC adresinde
outsrcmac Çıkış kaynağı MAC adresi
tos Kaynak hizmet türü
srctos Hizmetin Kaynak türü
dsttos Hedef Hizmet türü
mpls1 MPLS etiketi 1
mpls2 MPLS etiketi 2
mpls3 MPLS etiketi 3
mpls4 MPLS etiketi 4
mpls5 MPLS etiketi 5
mpls6 MPLS etiketi 6
mpls7 MPLS etiketi 7
mpls8 MPLS etiketi 8
mpls9 MPLS etiketi 9
mpls10 MPLS etiketi 10
yönlendirici Yönlendirici IP'sini dışa aktarma

nfdump, seçilen toplama için uygun bir çıktı biçimini otomatik olarak derler
açık bir çıktı biçimi verilmedikçe. Otomatik çıktı formatı ile aynıdır
-o 'fmt:%ts % td %pkt %bayt %bps %bpp %fl' nerede temsil etmek
seçilen toplama etiketleri.

Örnek:
-A proto, srcip, dstport

-A srcas,dstas

-b Net akış kayıtlarını çift yönlü akışlar olarak toplayın. Otomatik olarak -a anlamına gelir.
5 tuple protokolü, srcip, dstip,
srcport ve dstport veya karşılık gelen bağlantı akışı için ters sırada. Giriş
ve çıktı paketleri/baytları ayrı olarak sayılır ve raporlanır. Her iki akış birleştirilir
tek bir kayıt. Uygun bir çıktı formatı otomatik olarak seçilir;
herhangi bir -o biçimi seçeneği tarafından üzerine yazılır.

-B -b gibi, ancak akışları otomatik olarak değiştirir, öyle ki src bağlantı noktası > 1024 ve dst bağlantı noktası
1024, çünkü bazı ihracatçılar akışları uygun sırayla göndermeyi umursamıyor. kabul edilir
uygun bir seçenek olmak. src ve dst bağlantı noktası > 1024 veya < 1024 ise, akışlar
olduğu gibi alınır.

-I -r ile belirtilen dosyadan veya -R/-M ile belirtilen zaman aralığından akış istatistiklerini yazdırın.

-D dns
set dns ana bilgisayar adlarını aramak için ad sunucusu olarak.

-s istatistik[:p][/orderby]
İlk N akış veya akış öğesi istatistiğini oluşturun. istatistik olabilir:
Kayıtlı ağ akışı kayıtları hakkında istatistik.
kaynak IP adresleri hakkında srcip İstatistik
dstip Hedef IP adresleri hakkında istatistik
IP Herhangi bir (kaynak veya hedef) IP adresi hakkında istatistik
sonraki atlama IP adresleri hakkında nhip İstatistik
BGP sonraki atlama IP adresleri hakkında nhbip İstatistik
yönlendirici Yönlendirici IP adresini dışa aktarma hakkında istatistik
srcport Kaynak bağlantı noktaları hakkında istatistik
hedef bağlantı noktaları hakkında dstport İstatistik
Herhangi bir (kaynak veya hedef) bağlantı noktasıyla ilgili bağlantı noktası İstatistikleri
tos Hizmet türü hakkında istatistik - varsayılan kaynak
srctos src hizmet türü hakkında istatistik
dsttos dst hizmet türü hakkında istatistik
dir Akış yönleri giriş/çıkış hakkında istatistik
kaynak AS numaraları hakkında srcas İstatistik
Hedef AS numaraları hakkında dstas İstatistik
Herhangi bir (kaynak veya hedef) AS numarası hakkında istatistik olarak
giriş arayüzü hakkında inif İstatistik
outif çıktı arayüzü hakkında istatistik
herhangi bir arayüz hakkında istatistik ise
srcmask src mask hakkında istatistik
dstmask dst mask hakkında istatistik
srcvlan src vlan etiketi hakkında istatistik
dstvlan dst vlan etiketi hakkında istatistik
herhangi bir vlan etiketi hakkında vlan İstatistik
insrcmac Giriş kaynağı MAC adresi hakkında istatistik
outdstmac çıktı dst MAC adresi hakkında istatistik
indstmac dst MAC adresi girişi hakkında istatistik
outsrcmac Çıkış kaynağı MAC adresi hakkında istatistik
srcmac Herhangi bir src MAC adresi hakkında istatistik
dstmac Herhangi bir dst MAC adresi hakkında istatistik
herhangi bir giriş MAC adresi hakkında inmac İstatistik
herhangi bir çıktı MAC adresi hakkında outmac İstatistik
maske Herhangi bir maske hakkında istatistik
IP protokolleri hakkında proto İstatistik
mpls1 MPLS etiketi hakkında istatistik 1
mpls2 MPLS etiketi hakkında istatistik 2
mpls3 MPLS etiketi hakkında istatistik 3
mpls4 MPLS etiketi hakkında istatistik 4
mpls5 MPLS etiketi hakkında istatistik 5
mpls6 MPLS etiketi hakkında istatistik 6
mpls7 MPLS etiketi hakkında istatistik 7
mpls8 MPLS etiketi hakkında istatistik 8
mpls9 MPLS etiketi hakkında istatistik 9
mpls10 MPLS etiketi hakkında istatistik 10
sysid İhracatçının dahili SysID'si

NSEL/ASA istatistikleri
olay NSEL/ASA olayı
xevent NSEL/ASA genişletilmiş olay
xsrcip NSEL/ASA çevrilmiş kaynak IP adresi
xsrcport NSEL/ASA çevrilmiş kaynak bağlantı noktası
xdstip NSEL/ASA çevrilmiş dst IP adresi
xdstport NSEL/ASA çevrilmiş dst bağlantı noktası
iacl NSEL/ASA giriş ACL
iace NSEL/ASA girişi ACE
ixace NSEL/ASA girişi xACE
eacl NSEL/ASA çıkış ACL
eace NSEL/ASA çıkışı ACE
exace NSEL/ASA çıkış xACE

NAT istatistikleri
nevent NAT olayı
vrf/ivrf NAT girişi vrf
evrf NAT çıkış vrf
nsrcip NAT kaynağı IP adresi
nsrcport NAT kaynak bağlantı noktası
ndstip NAT dst IP adresi
ndstport NAT dst bağlantı noktası

Toplayarak :p istatistik adına göre, elde edilen istatistik taşımaya bölünür
katman protokolleri. Varsayılan, aktarım protokolünden bağımsız istatistiklerdir.

orderby isteğe bağlıdır ve istatistiklerin sıralanma sırasını belirtir ve
be akar, paketler, bayt, pps, bps or bpp. Birden fazla belirtebilirsiniz orderby hangi
aynı istatistikle sonuçlanır, ancak farklı sıralanır. Eğer hayırsa orderby verilmiş,
istatistikler tarafından sıralanır akar. üzerinde -s akış öğesi istatistiklerini belirtebilirsiniz.
aynı çalıştırma için komut satırı.

Örnek:
-s komut -s ip/akışlar -s dstport/pps/paket/bayt -s kayıt/bayt

-O orderby
Varsayılanı belirtir orderby olmadığında geçerli olan akış öğesi istatistikleri -s için
orderby -s'de verilir. orderby olabilir akar, paketler, bayt, pps, bps or bpp. varsayılanlar
için akar.

-l [+/-]paket_num
İstatistik çıktısını, yukarıdaki veya altındaki kayıtlarla sınırlayın. paket_sayısı sınırı.
paket_sayısı arkasından 'K' , 'M' veya 'G' gelen pozitif veya negatif sayıları kabul eder 10E3, 10E6
veya sırasıyla 10E9 akışları. Ayrıca -L'deki nota bakın

-L [+/-]bayt_num
İstatistik çıktısını, yukarıdaki veya altındaki kayıtlarla sınırlayın. bayt_sayısı sınırı. bayt_sayısı
arkasından 'K' , 'M' veya 'G' 10E3, 10E6 veya 10E9 gelen pozitif veya negatif sayıları kabul eder
sırasıyla bayt. Not: Bu sınırlar yalnızca istatistikler için geçerlidir ve toplu
-a -s ile üretilen çıktılar. Ağ akışı kayıtlarını paketlere ve baytlara göre filtrelemek için
Aşağıda açıklanan 'paketler' ve 'baytlar' filtre sözdizimi.

-n num
İlk N istatistiklerinin sayısını tanımlayın. Varsayılan olarak 10'dur. 0 belirtilirse,
sayısı sınırsızdır.

-o biçim
Akışları veya akış kaydı istatistiklerini (-s kaydı) yazdırmak için çıktı biçimini seçer. NS
aşağıdaki biçimler mevcuttur:
raw Her dosya akışı kaydını birden çok satıra yazdırın.
line Her akışı bir satıra yazdırın. Varsayılan biçim.
uzun Her akışı daha fazla ayrıntıyla tek satırda yazdırın
biline Line ile aynı, ancak bidir akışları için
bilong Aynı uzunlukta, ancak bidir akışları için
genişletilmiş Her akışı daha da fazla ayrıntıyla tek bir satıra yazdırın.
nsel Her NSEL olayını bir satıra yazdırın. NSEL/ASA etkinse varsayılan.
nel Her NAT olayını bir satıra yazdırın. NEL etkinse varsayılan.
csv Makine tarafından okunabilir işleme için virgülle ayrılmış çıktı.
boru Eski makine tarafından okunabilir biçim: '|' alanları ayrılmış.
fmt:biçim Kullanıcı tanımlı çıktı formatı.
-o fmt dışında tanımlanan her çıktı biçimi için: bir IPv6 uzun çıktı formatı
bulunmaktadır. satır6, long6 ve genişletilmiş6. Görmek çıktı formatları Daha fazla bilgi için aşağıda.

-q Başlık satırını ve alttaki istatistikleri gizleyin.

-N Çıktıda düz sayılar yazdırın. Ayrıştırma sonrası için daha kolay.

-i ident
-r ile belirtilen dosyadaki kimlik etiketini şu şekilde değiştirin: ident

-v dosya
doğrulamak dosya. Veri dosyası sürümünü, blok sayısını ve sıkıştırma durumunu yazdırın.

-E dosya
Şurada bulunan dışa aktarıcı/örnekleyici listesini yazdır dosya. Bir nfcapd toplayıcı dosyası olması durumunda, bir
ihracatçı başına ek istatistikler, akış, paket ve
sıra hataları.

-x dosya
Dosya dosyasında bulunan uzantı haritalarını tarayın ve yazdırın

-z Akışları sıkıştır. Çıktı dosyasında hızlı LZO1X-1 sıkıştırması kullanın.

-j dosya
Belirli bir dosyayı sıkıştırın/sıkıştırın. Dosya sıkıştırılmışsa, sıkıştırmayı açın ve
tersi.

-Z Filtre sözdizimini kontrol edin ve çıkın. Dönüş değerini buna göre ayarlar.

-X Filer sözdizimini derler ve filtre motoru tablosunu stdout'a atar. Onun için
sadece hata ayıklama amacı.

-V nfdump sürümünü yazdırın ve çıkın.

-h Tüm seçeneklerle stdout'ta yardım metnini yazdırın ve çıkın.

DÖNÜŞ DEĞER

Geri dönüşler
0 Hata yok.
255 Başlatma başarısız oldu.
254 Filtre söz diziminde hata.
250 Dahili hata.

ÇIKTI BİÇİMLER

çıktı formatı çiğ tüm bilgiler dahil olmak üzere her akış kaydını birden çok satıra yazdırır
kayıtta mevcuttur. Bu, bir akışın en ayrıntılı görünümüdür.

Diğer çıktı biçimleri, her akışı tek bir satırda yazdırır. Önceden tanımlanmış çıktı biçimleri hat,
ve kazandırdı ve genişletilmiş çıktı formatı hat biçim olmadığında varsayılan çıktı biçimidir
belirtildi. Bilgiyi bağlantı detaylarının yanı sıra sayı ile sınırlar.
paketler, baytlar ve akışlar.

çıktı formatı ve kazandırdı formatla aynı hatve ek içerir
TCP bayrakları ve Hizmet Türü gibi bilgiler.

çıktı formatı genişletilmiş formatla aynı ve kazandırdıve ek içerir
gibi hesaplanmış bilgiler pps, bps ve bpp.

Alanlar:

Tarih akış başlatın: İlk görülen akış zamanı. Milisaniye dahil ISO 8601 formatı.

Başvurmak İçin Önemli Süreler: Akışın saniye ve milisaniye cinsinden süresi. Akışlar toplanırsa,
süre ilk görülenden son görülene kadar geçen tüm zaman aralığıdır.

Öyleyse: Bağlantıda kullanılan protokol.

src IP Adres: Bağlantı Noktası: Kaynak IP adresi ve kaynak bağlantı noktası.

Dst IP Adres: Bağlantı Noktası: Hedef IP adresi ve hedef bağlantı noktası. ICMP olması durumunda, bağlantı noktası
type.code olarak çözülür.

Bayraklar: Bağlantının TCP bayrakları ORed.

Öksürük: Servis tipi.

paketler: Bu akıştaki paket sayısı. Akışlar toplanırsa, paketler
özetlenmiş.

Bayt: Bu akıştaki bayt sayısı. Akışlar toplanırsa, baytlar toplanır
kadar.

puan: Saniyede hesaplanan paket sayısı: paket sayısı / süre. akışlar ise
bu, bu süre boyunca ortalama pps ile sonuçlanır.

b/sn: Saniyede hesaplanan bit sayısı: 8 * bayt sayısı / süre. akışlar ise
bu, bu süre boyunca ortalama bps ile sonuçlanır.

Bp: Paket başına hesaplanan bayt: bayt sayısı / paket sayısı. akışlar ise
bu, bu süre boyunca ortalama bpp ile sonuçlanır.

Akışlar: Akış sayısı. Yalnızca akışlar listeleniyorsa, bu sayı her zaman 1'dir.
toplu, bu, bir kayda toplu akışların sayısını gösterir.

1'000'000'den (1000*1000) büyük sayılar, 4 basamaklı ve bir ondalık basamaklı olarak ölçeklenir
ölçekleme faktörü dahil M, G or T daha temiz çıktı için, örn. 923.4 M

Çıktıyı daha okunabilir hale getirmek için IPv6 adresleri 16 karaktere kadar küçültülür. NS
iki noktayla bağlantılı en çok yedi ve en az yedi basamak '..' herhangi bir normal olarak görüntülenir
çıktı biçimleri. Tam IPv6 adresini görüntülemek için uygun uzun biçimi kullanın;
ardından bir biçim adıdır 6.

Örnek: -o hat olarak bir IPv6 adresi görüntüler 2001:23..80:d01e format olarak nerede -o line6
IPv6 adresini tam uzunlukta görüntüler 2001:234:aabb::211:24ff:fe80:d01e.
kombinasyonu -o hat -6 eşdeğerdir -o line6.

çıktı formatı fmt: kendi çıktı biçiminizi tanımlamanıza olanak tanır. bir biçim
tanım biçim rastgele dizeler ve biçim içeren tek bir satırdan oluşur
aşağıda açıklandığı gibi belirteç

% Önceden tanımlanmış ekler biçim bu pozisyonda. Örneğin %hat
% ts Başlangıç ​​Zamanı - ilk görülme
% te Bitiş Zamanı - son görülme
% tr Akışın toplayıcı tarafından alındığı zaman
% td Süre
%pr Protokol
%tecrübe İhracatçı Kimliği
%tur Motor Tipi/Kimliği
%sa Kaynak adresi
%da Varış noktası
% özsu Kaynak Adresi:Liman
%dap Varış Adresi:Liman
%sp Kaynak bağlantı noktası
%dp Varış Noktası
%sn Kaynak Ağ, maske uygulandı
%dn Hedef Ağ, maske uygulandı
%nh Sonraki atlama IP Adresi
%nhb BGP Sonraki atlama IP Adresi
% ra Yönlendirici IP Adresi
%sas Kaynak AS
% das Hedef AS
%nas Sonraki AS
%pas Önceki AS
%içinde Giriş Arayüz numarası
%dışarı Çıkış Arayüz numarası
%pkt Paketler - varsayılan giriş
%ipkt Giriş Paketleri
%opkt Çıkış Paketleri
%bayt Bayt - varsayılan giriş
%ibyt Girdi Baytları
%itaat Çıkış Baytları
% fl Akışları
%flg TCP Bayrakları
%tos Tos - varsayılan kaynak
%stos Kaynak İşlemleri
%dtos Dst To'lar
%dir Yön: giriş, çıkış
% smk kaynak maskesi
%dmk Dst maskesi
%ileri Yönlendirme Durumu
%svln kaynak vlan etiketi
%dvln Dst vlan etiketi
%ismc Giriş Src Mac Adresi
%odmc Çıktı Dst Mac Adresi
%idmc Dst Mac Adresini Girin
%osmc Çıktı Kaynağı Mac Adresi
%mpls1 MPLS etiketi 1
%mpls2 MPLS etiketi 2
%mpls3 MPLS etiketi 3
%mpls4 MPLS etiketi 4
%mpls5 MPLS etiketi 5
%mpls6 MPLS etiketi 6
%mpls7 MPLS etiketi 7
%mpls8 MPLS etiketi 8
%mpls9 MPLS etiketi 9
%mpls10 MPLS etiketi 10
%mpls MPLS etiketleri 1-10
%bps bps - saniyedeki bit sayısı
%pps pps - saniyede paket
%bpp bps - Paket başına bayt

NSEL'e özel formatlar
%nfc NSEL bağlantı kimliği
%evt NSEL etkinliği
%xevt NSEL genişletilmiş etkinlik
%msn msn cinsinden NSEL olay süresi
%iacl NSEL giriş ACL'si
%eacl NSEL çıkış EKL
%xsa NSEL XLATE kaynağı IP adresi
%xda NSEL XLATE dst IP adresi
%xsp NSEL XLATE kaynak bağlantı noktası
%xdp NSEL SLATE dst bağlantı noktası
%xsap Xlate Kaynak Adresi: Bağlantı Noktası
%xdap Xlate Varış Adresi:Liman
%Adın NSEL kullanıcı adı

NEL/NAT'a özel formatlar
%yeni NAT olayı - %evt ile aynı
%ivrf NAT giriş VRF kimliği
%evref NAT çıkış VRF kimliği
%nsa NAT kaynağı IP adresi
%nda NAT dst IP adresi
%nsp NAT kaynak bağlantı noktası
%ndp NAT dst bağlantı noktası
%pbstart NAT havuz bloğu başlangıcı
%pbükme NAT havuz bloğu sonu
%pbstep NAT havuz bloğu adımı
%pbsize NAT havuz bloğu boyutu

Nprobe biçimleri
%cl İstemci gecikmesi
%sl Sunucu gecikmesi
%al Uygulama gecikmesi

Örnek: standart çıktı formatı ve kazandırdı olarak oluşturulabilir
-o "fmt:%ts % td %pr % özsu -> %dap %flg %tos %pkt %bayt %fl"

Ayrıca kendi çıktı biçiminizi tanımlayabilir ve bunun nfdump'ta derlenmesini sağlayabilirsiniz. nfdump.c'ye bakın
Bölüm Çıktı Biçimleri daha fazla ayrıntı için.

The csv çıktı formatı, daha fazla işlem için başka bir program tarafından okunmak üzere tasarlanmıştır. Olarak
bir örnek, parse_csv.pl Perl programına bakın. cvs çıktı formatı bir veya
daha fazla çıktı bloğu ve bir özet bloğu. Her çıktı bloğu bir cvs dizin satırı ile başlar
ardından cvs kayıt satırları. Dizin satırları sırayı açıklar, her birinin nasıl
kaydı oluşmaktadır.

Örnek:
Dizin satırı: ts,te,td,sa,da,sp,dp,pr,...
Record line: 2004-07-11 10:30:00,2004-07-11 10:30:10,10.010,...

Tüm kayıtlar ASCII okunabilir biçimdedir. Rakamlar ölçeklenmemiştir, bu nedenle her satır kolayca
ayrıştırıldı.

nfdump 1.6'da kullanılan endeksler:

ts,te,td zaman kayıtları: t-başlangıç, t-bitiş, süre
sa,da src dst adresi sp,dp src, dst bağlantı noktası
pr protokolü PF_INET veya PF_INET6
flg TCP İşaretleri:
000001 YÖN.
000010 SENK
000100 SIFIRLA
001000 İTME
010000 ACK
100000 ACİL
örneğin 6 => SENK + SIFIRLAMA
ileri yönlendirme durumu
stos kaynağı tos
ipkt,ibyt giriş paketleri/bayt
opkt, obyt çıktı paketleri, baytlar
giriş/çıkış arayüzü SNMP numarası
sas, das src, dst AS
smk,dmk kaynağı, dst maskesi
dtos dst tos
yön yönü
nh,nhb nethop IP adresi, bgp sonraki atlama IP'si
svln,dvln kaynağı, dst vlan kimliği
ismc,odmc giriş kaynağı, çıkış dst MAC
idmc,osmc giriş dst, çıkış kaynağı MAC
mpls1,mpls2 MPLS etiketi 1-10
mpls3,mpls4
mpls5,mpls6
mpls7,mpls8
mpls9,mpls10
yönlendirici IP'si
tur yönlendirici motor türü/kimliği

Daha fazla ayrıntı için parse_csv.pl'ye bakın.

FILTRE

Filtre sözdizimi, tcpdump tarafından kullanılan iyi bilinen pcap kitaplığına benzer. Filtre
tüm seçeneklerden sonra komut satırında veya ayrı bir dosyada belirtilebilir. Bilişim Teknoloji
birkaç satıra yayılabilir. '#' işaretinden sonraki her şey yorum olarak kabul edilir ve dikkate alınmaz.
yolun sonu. Filtre ifadesinin uzunluğunda neredeyse hiçbir sınır yoktur. Tüm
anahtar kelimeler büyük/küçük harf bağımsızdır.

Herhangi bir filtre bir veya daha fazla ifadeden oluşur İfade. herhangi bir sayıda İfade bağlanabilir
birlikte:

İfade ve ifade, ifade or ifade, değil ifade ve ( İfade ).

İfade aşağıdaki filtre ilkellerinden biri olabilir:

dahil
@Dahil etmek
içeriğini dahil etmek filtre içine.

ip versiyon
inet or ipv4 IPv4 için
inet6 or ipv6 IPv6 için

protokol
bu nedenle
bu nedenle
nerede gibi bilinen protokol tcp, udp, icmp, icmp6, gre, esp, ah, vb.
veya geçerli bir protokol numarası: 6, 17 vb.

IP adres
[kaynak|dst] ip
[kaynak|dst] ev sahibi
ile herhangi bir geçerli IPv4, IPv6 adresi veya tam nitelikli bir ana bilgisayar adı olarak. Durumunda
bir ana bilgisayar adının IP adresi DNS'de aranır. Birden fazla IP adresi varsa
bulunduğunda, tüm IP adresleri birbirine zincirlenir. (ip1 or ip2 or ip3 Kendi ID’n ile mağazalarını oluştur )

Bir IP adresinin bilinen bir IP listesinde olup olmadığını kontrol etmek için şunu kullanın:
[kaynak|dst] ip in [ ]
[kaynak|dst] ev sahibi in [ ]
bireylerin boşluk veya virgülle ayrılmış listesidir veya tam nitelikli
DNS'de aranan ana bilgisayar adları. Birden fazla IP adresi bulunursa, tümü
IP adresleri listeye alınır.

[kaynak|dst]
IP adresleri, ağlar, bağlantı noktaları, AS numarası vb.
src veya gibi yön niteleyici dst. ile birlikte de kullanılabilirler.
ve ve or. gibi src ve dst ip ...

ağ
[kaynak|dst] net abcd gün
IPv4 ağını seçin abcd ağ maskesi ile gün.

[kaynak|dst] net /
ile geçerli bir IPv4 veya IPv6 ağı olarak ve maskeler olarak. maske sayısı
bitler, IPv4 veya IPv6'daki uygun adres ailesiyle eşleşmelidir. ağlar olabilir
açıksa 172.16/16 gibi kısaltılır.

Liman
[kaynak|dst] Liman [bileşim]
ile herhangi bir geçerli bağlantı noktası numarası olarak. Eğer abone ol atlanmıştır,
'=' varsayılır. abone ol aşağıda daha detaylı anlatılmaktadır.
[kaynak|dst] Liman in [ ]
Bir bağlantı noktası, bilinen bir listeyle karşılaştırılabilir, burada boşlukla ayrılmış bir listedir
bireysel port numaraları.

ICMP
icmp tipi
icmp kodu
ile geçerli bir icmp türü/kodu olarak. Bu otomatik olarak ima eder bu nedenle icmp.

yönlendirici ID
motor tipi
motor kimliği
sisid
ile geçerli bir yönlendirici motor türü/kimliği veya dışa aktarıcı kimliği (0..255) olarak.

arayüzey
[giriş|çıkış] if
ile giriş veya çıkışı veya arayüz kimliğini seçin. num SNMP arayüz numarası olarak.
Örnek: in if 3

AS sayılar
[src|dst|önceki|sonraki] as [bileşim]
ile kaynak, hedef, önceki, sonraki veya herhangi bir AS numarasını seçer. herhangi bir geçerli olarak
sayı. 32bit AS numaraları desteklenir. Eğer abone ol atlanır, '=' varsayılır. abone ol is
aşağıda daha detaylı anlatılmıştır.

[src|dst|önceki|sonraki] as in [ ]
Bir AS numarası bilinen bir listeyle karşılaştırılabilir, burada boşluk veya virgül
ayrı AS numaralarının ayrılmış listesi.

Önek maske bit
[kaynak|dst] maske
ile herhangi bir geçerli önek maskesi bit değeri olarak.

Vlan etiketler
[kaynak|dst] vlan
ile herhangi bir geçerli vlan etiketi olarak.

Bayraklar
bayraklar
ile bir kombinasyonu olarak:
Bir ACK.
S SENK.
FIN.
Sıfırla.
P itin.
Acil.
X Tüm bayraklar açık.
Bayrakların sıralaması önemli değildir. Belirtilmeyen bayraklar önemsiz olarak kabul edilir.
Bu akışları yalnızca SYN bayrağı kümesiyle elde etmek için sözdizimini kullanın 'bayraklar S ve değil
bayraklar AFRPU'.

Sonraki atlama IP
sonraki ip
ile sonraki atlama yönlendiricisinin IPv4/IPv6 IP adresi olarak.

Sonraki atlama yönlendiricinin IP in the BGP domain
bgpsonraki ip
ile BGP etki alanındaki IPv4/IPv6 sonraki atlama yönlendiricisinin IP'si olarak. (v9 #18 )

yönlendirici IP
yönlendirici ip
Akışları dışa aktaran yönlendiricinin IP adresine göre filtreleyin.

MAC adresleri
[InOutSrcDst] mac
İle herhangi bir geçerli MAC adresi. mac herhangi biri kullanılarak daha spesifik belirtilebilir
CISCO v9 tarafından tanımlanan bir yön belirteci kombinasyonu. in src, in dst, dışarı src,
dışarı dst.

MPLS etiketler
MPL'ler etiket [bileşim]
İle herhangi bir mpls etiket numarası olarak 1..10. Tam olarak belirtilen etiketi filtreler .
MPL'ler eos [bileşim]
Belirli bir değer için Yığın Sonu etiketini filtreler .
MPL'ler tecrübe [bileşim]
Deneysel etiket bitlerini filtreler ile 0..7.

paketler
paketler [bileşim] [ölçek]
Belirli bir paket sayısına sahip netflow kayıtlarını filtrelemek için.
Örnek: paketler > 1k

Bytes
bayt [bileşim] [ölçek]
Belirli bir bayt sayısına sahip netflow kayıtlarını filtrelemek için.
Örnek: bayt 46 tüm boş IPv4 paketlerini filtreler

Toplu akar
akar [bileşim] [ölçek]
Belirli bir toplu akış sayısına sahip net akış kayıtlarını filtrelemek için.

Tip of Hizmet (TS)
[KaynakHedef] tos
İle 0..255. nfump 1.5.x ile uyumluluk için: tos ile eşdeğerdir
src tos

paketler başına ikinci: Hesaplanmış değeri.
pps [bileşim] num [ölçek]
Saniyede belirli paketlerle akışları filtrelemek için.

Başvurmak İçin Önemli Süreler: Hesaplanmış değer
süre [bileşim] num
Milisaniye cinsinden belirli süreli akışları filtrelemek için.

Bit başına ikinci: Hesaplanmış değeri.
bps [bileşim] num [ölçek]
Saniyede belirli baytlarla akışları filtrelemek için.

Bytes başına paket: Hesaplanmış değeri.
bpp [bileşim] num [ölçek]
Paket başına belirli baytlarla akışları filtrelemek için.

ölçek ölçekleme faktörü. Belki k m g. faktör 1000

abone ol Aşağıdaki karşılaştırıcılar desteklenir:
=, ==, >, <, ekolayzer, L.T., GT . If abone ol atlanır, '=' varsayılır.

NSEL/ASA özel filtreler:

NSEL/ASA Etkinlikler
böylece olay
böylece olay [bileşim]
ada veya numaraya göre NSEL/ASA olayını seçin. Sayı olarak verilirse, bir ile karşılaştırılabilir.
numara

NSEL/ASA inkar neden
böylece olay inkar
Türe göre bir NSEL/ASA reddedilen olayı seçin

NSEL/ASA genişletilmiş olaylar
böylece olay [bileşim]
Sayıya göre genişletilmiş bir NSELL ASA olayı seçin veya isteğe bağlı olarak bir sayı ile karşılaştırın.

çok geç IP adresleri ve portları
[kaynak|dst] Xip
Seç the tercüme IP adres

[kaynak|dst] xnet /
ile geçerli bir çevrilmiş IPv4 veya IPv6 ağı olarak ve maskeler olarak. NS
maske bitlerinin sayısı, IPv4 veya IPv6'daki uygun adres ailesiyle eşleşmelidir.
Ağlar, netlerse 172.16/16 gibi kısaltılabilir.

[kaynak|dst] Dışa Aktar
Çevrilmiş bağlantı noktasını seçin

NSEL/ASA giriş/çıkış
giriş [bileşim] numara
Seç/karşılaştır an giriş ACL

çıkış ACL [bileşim]
Bir çıkış EKL'sini seçin/karşılaştırın

NEL özel NAT filtreler:

NAT Etkinlikler
nat olay
nat olay [bileşim]
ada veya numaraya göre NEL NAT olayını seçin. Sayı olarak verilirse, bir ile karşılaştırılabilir.
numara

NEL NAT ip adresleri ve portları
[kaynak|dst] kesme
Seç the NAT IP adres

[kaynak|dst] liman
Seç the NAT Liman

NEL NAT vrf
giriş vrf vrf'yi seçin

ÖRNEKLER

nf dökümü -r /ve/dir/nfcapd.201107110845 -c 100 'proto tcp ve ( src ip 172.16.17.18 or dst
ip 172.16.17.19 )' Verilen filtreyle eşleşen ilk 100 netflow kaydını döker:

nf dökümü -r /ve/dir/nfcapd.201107110845 -B Eşleme akışlarını çift yönlü tek olarak eşleyin
akış.

nf dökümü -R /ve/dir/nfcapd.201107110845:nfcapd.200407110945 'ev sahibi 192.168.1.2 ' Tümünü boşaltır
192.168.1.2 Temmuz 11:08 - 45:09 arası ana bilgisayar 45'nin netflow kayıtları

nf dökümü -M /to/ve/dir1:dir2 -R nfcapd.200407110845:nfcapd.200407110945 -s kayıt -n 20
20 kaynaktan 08:45 - 09:45 arası En İyi 3 istatistiği oluşturur

nf dökümü -r /ve/dir/nfcapd.201107110845 -s kayıt -n 20 -o genişletilmiş İlk 20'yi oluşturur
istatistikler, genişletilmiş çıktı formatı

nf dökümü -r /ve/dir/nfcapd.201107110845 -s kayıt -n 20 'içinde if 5 ve bps > 10k' üretir
arayüz 20'ten gelen akışlardan ilk 5 istatistik

nf dökümü -r /ve/dir/nfcapd.201107110845 'inet6 ve bu nedenle tcp ve ( src Liman > 1024 ve dst
Liman 80 ) Tüm 80 IPv6 bağlantı noktası bağlantılarını herhangi bir web sunucusuna atar.

NOTLAR

Birkaç yüz MB'lık veri dosyaları için istatistik oluşturmak sorun değil. Ancak olmak
birkaç GB verinin istatistiklerini oluşturmak istiyorsanız dikkatli olun. Bu çok tüketebilir
bellek ve biraz zaman alabilir. Akış anonimleştirme, nfanon'a taşındı.

onworks.net hizmetlerini kullanarak çevrimiçi nfdump kullanın