nfdump - Trực tuyến trên Đám mây

Chạy nfdump trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks trên Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS

Đây là lệnh nfdump có thể được chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS

Chạy trong Ubuntu Chạy trong Fedora Chạy trong Windows Sim Chạy trong MACOS Sim

CHƯƠNG TRÌNH:

TÊN

nfdump - chương trình hiển thị và phân tích netflow

SYNOPSIS

nfdump [tùy chọn] [lọc]

MÔ TẢ

nfdump là chương trình hiển thị và phân tích netflow của bộ công cụ nfdump. Nó đọc
dữ liệu netflow từ các tệp được nfcapd lưu trữ và xử lý các luồng theo các tùy chọn
được cho. Cú pháp bộ lọc có thể so sánh với tcpdump và được mở rộng cho dữ liệu netflow. Nfdump
cũng có thể hiển thị nhiều thống kê dòng chảy và phần tử dòng N trên cùng khác nhau.

LỰA CHỌN

-r tập tin đầu vào
Đọc dữ liệu đầu vào từ tập tin đầu vào. Mặc định được đọc từ stdin.

-R thể hiện
Đọc đầu vào từ một chuỗi các tệp trong cùng một thư mục. thể hiện có thể là một trong số:
/không tí nào/dir Đọc đệ quy tất cả các tệp trong thư mục dir.
/ dir /hồ sơ Đọc tất cả các tệp bắt đầu bằng hồ sơ.
/ dir /file1: file2 Đọc tất cả các tệp từ tệp1 đến tệp2.

Khi sử dụng kết hợp với phân cấp phụ:
/ dir /sub1/sub2/file1:sub3/sub4/file2
Đọc tất cả các tệp từ sub1 / sub2 / file1 sub3 / sub4 / file2 lặp lại tất cả các yêu cầu
các cấp độ phân cấp.

Lưu ý: các tệp được đọc theo thứ tự bảng chữ cái.

-M thể hiện
Đọc đầu vào từ nhiều thư mục. thể hiện giống như: / any / path / to / dir1: dir2: dir3 và vv
và sẽ được mở rộng đến các thư mục: / any / path / to / dir1, / any / path / to / dir2 và
/ any / path / to / dir3 Bất kỳ số lượng thư mục được phân tách bằng dấu hai chấm có thể được cung cấp. Các tập tin
đọc được chỉ định bởi -r hoặc -R và dự kiến sẽ tồn tại trong tất cả các thư mục nhất định.
Các tùy chọn -r và -R không được chứa bất kỳ phần thư mục nào khi được sử dụng cùng với
-NS.

-m Sắp xếp các bản ghi netflow theo ngày được nhìn thấy đầu tiên. Tùy chọn này thường chỉ
hữu ích khi kết hợp với -M, khi các bản ghi netflow được đọc từ các nguồn khác nhau,
mà không nhất thiết phải được sắp xếp.

-w tập tin đầu ra
Nếu được chỉ định, ghi các bản ghi netflow nhị phân vào tập tin đầu ra sẵn sàng được xử lý lại
với nfdump. Đầu ra mặc định là ASCII trên stdout. Kết hợp với các tùy chọn -m, -a,
-b và -B ghi bộ đệm lưu lượng tổng hợp và / hoặc được sắp xếp ở định dạng nhị phân vào đĩa.

-f bộ lọc
Đọc cú pháp bộ lọc từ bộ lọc. Lưu ý: Bất kỳ bộ lọc nào được chỉ định trực tiếp trên
dòng lệnh được ưu tiên hơn -f.

-t thắng thời gian
Quy trình chỉ diễn ra, rơi vào cửa sổ thời gian thắng thời gian, Nơi thắng thời gian is
YYYY / MM / dd.hh: mm: ss [-YYYY / MM / dd.hh: mm: ss]. Có thể bỏ qua bất kỳ phần nào của thông số thời gian
ví dụ: YYYY / MM / dd mở rộng thành YYYY / MM / dd.00: 00: 00-infinity và xử lý tất cả luồng từ a
ngày nhất định trở đi. Cửa sổ thời gian cũng có thể được chỉ định là +/- n. Trong trường hợp này, nó là
tương đối với đầu hoặc cuối của tất cả các luồng. +10 có nghĩa là 10 giây đầu tiên của tất cả
dòng chảy, -10 có nghĩa là 10 giây cuối cùng của tất cả các dòng chảy.

-c num
Giới hạn số lượng bản ghi để xử lý đầu tiên num chảy.

-a Tổng hợp dữ liệu luồng ròng. Tự động ngụ ý -a. Tổng hợp được thực hiện khi kết nối
cấp bằng cách sử dụng giao thức 5 tuple, srcip, dstip, srcport và dstport.

-A tập hợp
Tương tự như Netflow linh hoạt (FNF), các bản ghi netflow có thể được tổng hợp theo bất kỳ số
các trường v9 đã cho. tập hợp là một danh sách được phân tách bằng ',' các thẻ được công nhận của
theo danh sach:
giao thức IP proto
địa chỉ IP nguồn srcip
dstip Địa chỉ IP đích
địa chỉ IP nguồn srcip4 / net IPv4 với mặt nạ mạng được áp dụng
địa chỉ IP nguồn srcip6 / net IPv6 với mặt nạ mạng được áp dụng
dstip4 / net IPv4 địa chỉ IP đích với mặt nạ mạng được áp dụng
dstip6 / net IPv6 địa chỉ IP đích với mặt nạ mạng được áp dụng
srcnet Áp dụng netmask srcmask trong bản ghi netflow cho IP nguồn
dstnet Áp dụng netmask dstmask trong bản ghi netflow cho IP đích
srcport Cổng nguồn
dstport Cổng đích
mặt nạ nguồn srcmask
dstmask Mặt nạ đích
srcvlan Nguồn vlan nhãn
dstvlan Nhãn vlan đích
srcas Số AS nguồn
dstas Số AS đích
tiếp theo BGP Tiếp theo AS
prevas BGP Trước AS
inif SNMP số giao diện đầu vào
outif số giao diện đầu ra SNMP
IP tiếp theo bước tiếp theo
bgpnext BGP bước tiếp theo
insrcmac Trong địa chỉ MAC nguồn
vượt ra ngoài địa chỉ MAC đích
indstmac Trong địa chỉ MAC đích
outsrcmac Địa chỉ MAC nguồn ra
tos Loại dịch vụ nguồn
srctos Loại nguồn của dịch vụ
dsttos Loại dịch vụ đích đến
mpls1 MPLS nhãn 1
mpls2 MPLS nhãn 2
mpls3 MPLS nhãn 3
mpls4 MPLS nhãn 4
mpls5 MPLS nhãn 5
mpls6 MPLS nhãn 6
mpls7 MPLS nhãn 7
mpls8 MPLS nhãn 8
mpls9 MPLS nhãn 9
mpls10 MPLS nhãn 10
bộ định tuyến Xuất IP bộ định tuyến

nfdump tự động biên dịch một định dạng đầu ra thích hợp cho tập hợp đã chọn
trừ khi định dạng đầu ra rõ ràng được đưa ra. Định dạng đầu ra tự động giống với
-o 'fmt:% ts % td % pkt % byt % bps % bpp % fl ' ở đâu Đại diện cho
các thẻ tổng hợp đã chọn.

Ví dụ:
-A proto, srcip, dstport

-A srcas, dstas

-b Tổng hợp các bản ghi luồng ròng dưới dạng luồng hai chiều. Tự động ngụ ý -a.
Tổng hợp được thực hiện ở cấp độ kết nối bằng cách sử dụng giao thức 5 tuple, srcip, dstip,
srcport và dstport, hoặc thứ tự ngược lại cho luồng kết nối tương ứng. Đầu vào
và các gói / byte đầu ra được đếm và báo cáo riêng biệt. Cả hai luồng được hợp nhất thành
một bản ghi duy nhất. Định dạng đầu ra thích hợp được chọn tự động, có thể là
bị ghi đè bởi bất kỳ tùy chọn định dạng -o nào.

-B Giống như -b nhưng tự động hoán đổi các luồng, chẳng hạn như cổng src là> 1024 và cổng dst là
1024 vì một số nhà xuất khẩu không quan tâm đến việc gửi các luồng theo thứ tự thích hợp. Nó được coi là
là một lựa chọn thuận tiện. Nếu cổng src và dst> 1024 hoặc <1024, các luồng là
được thực hiện như là.

-I In thống kê luồng từ tệp được chỉ định bởi -r hoặc khe thời gian được chỉ định bởi -R / -M.

-D dns
Thiết lập dns làm máy chủ định danh để tra cứu tên máy chủ.

-s thống kê [: p] [/ orderby]
Tạo luồng N hoặc thống kê phần tử luồng hàng đầu. thống kê có thể:
record Thống kê về các bản ghi netflow tổng hợp.
Thống kê srcip về địa chỉ IP nguồn
dstip Thống kê về địa chỉ IP đích
ip Thống kê về bất kỳ địa chỉ IP (nguồn hoặc đích) nào
nhip Thống kê về địa chỉ IP next hop
nhbip Thống kê về địa chỉ IP của BGP next hop
bộ định tuyến Thống kê về xuất địa chỉ IP bộ định tuyến
srcport Thống kê về các cổng nguồn
dstport Thống kê về các cảng đích
port Thống kê về bất kỳ cổng nào (nguồn hoặc đích)
tos Thống kê về loại dịch vụ - src mặc định
srctos Thống kê về loại dịch vụ src
dsttos Thống kê về loại dịch vụ dst
dir Thống kê về hướng dòng chảy vào / ra
srcas Thống kê về số AS nguồn
dstas Thống kê về số AS đích
dưới dạng Thống kê về bất kỳ số AS (nguồn hoặc đích) nào
inif Thống kê về giao diện đầu vào
outif Thống kê về giao diện đầu ra
nếu Thống kê về bất kỳ giao diện nào
srcmask Thống kê về src mask
dstmask Thống kê về dst mask
srcvlan Thống kê về nhãn src vlan
dstvlan Thống kê về nhãn dst vlan
vlan Thống kê về bất kỳ nhãn vlan nào
insrcmac Thống kê về địa chỉ MAC đầu vào src
Số liệu thống kê về địa chỉ MAC dst đầu ra
indstmac Thống kê về địa chỉ MAC dst đầu vào
outsrcmac Thống kê về địa chỉ MAC đầu ra src
srcmac Thống kê về bất kỳ địa chỉ MAC src nào
dstmac Thống kê về bất kỳ địa chỉ MAC dst nào
Inmac Statistic về bất kỳ địa chỉ MAC đầu vào nào
outmac Thống kê về bất kỳ địa chỉ MAC đầu ra nào
mặt nạ Thống kê về bất kỳ mặt nạ nào
proto Thống kê về các giao thức IP
mpls1 Thống kê về nhãn MPLS 1
mpls2 Thống kê về nhãn MPLS 2
mpls3 Thống kê về nhãn MPLS 3
mpls4 Thống kê về nhãn MPLS 4
mpls5 Thống kê về nhãn MPLS 5
mpls6 Thống kê về nhãn MPLS 6
mpls7 Thống kê về nhãn MPLS 7
mpls8 Thống kê về nhãn MPLS 8
mpls9 Thống kê về nhãn MPLS 9
mpls10 Thống kê về nhãn MPLS 10
sysid Internal SysID của nhà xuất khẩu

Thống kê NSEL / ASA
sự kiện NSEL / sự kiện ASA
sự kiện mở rộng xevent NSEL / ASA
xsrcip NSEL / ASA đã dịch địa chỉ IP src
xsrcport NSEL / ASA đã dịch cổng src
xdstip NSEL / ASA địa chỉ IP dst đã dịch
xdstport NSEL / ASA đã dịch cổng dst
iacl NSEL / ASA thâm nhập ACL
iace NSEL / ASA xâm nhập ACE
ixace NSEL / ASA xâm nhập xACE
eacl NSEL / ASA ACL đầu ra
eace NSEL / ASA ra ACE
exace NSEL / ASA đầu ra xACE

Số liệu thống kê NAT
sự kiện NAT nevent
vrf / ivrf NAT xâm nhập vrf
evrf NAT đi ra vrf
nsrcip NAT src địa chỉ IP
Cổng nsrcport NAT src
ndstip NAT dst địa chỉ IP
ndstport NAT cổng dst

Bằng cách thêm :p đến tên thống kê, thống kê kết quả được chia thành vận chuyển
các giao thức lớp. Mặc định là thống kê độc lập với giao thức truyền tải.

đặt bởi là tùy chọn và chỉ định thứ tự mà số liệu thống kê được sắp xếp và có thể
be chảy, gói, byte, pps, bps or bpp. Bạn có thể chỉ định nhiều hơn một đặt bởi cái nào
kết quả trong cùng một thống kê nhưng có thứ tự khác nhau. Nếu không đặt bởi được đưa ra,
thống kê được sắp xếp theo chảy. Bạn có thể chỉ định thống kê phần tử luồng bao nhiêu phần tử trên
dòng lệnh cho cùng một lần chạy.

Ví dụ:
-s srcip -s ip / flow -s dstport / pps / packets / byte -s ghi / byte

-O đặt bởi
Chỉ định giá trị mặc định đặt bởi cho thống kê phần tử luồng -s, áp dụng khi không
đặt bởi được đưa ra tại -s. đặt bởi có thể chảy, gói, byte, pps, bps or bpp. Mặc định
đến chảy.

-l [+/-] pack_num
Giới hạn đầu ra thống kê cho những bản ghi đó ở trên hoặc dưới pack_num giới hạn.
pack_num chấp nhận số dương hoặc số âm theo sau là 'K', 'M' hoặc 'G' 10E3, 10E6
hoặc 10E9 chảy tương ứng. Xem thêm ghi chú tại -L

-L [+/-] byte_num
Giới hạn đầu ra thống kê cho những bản ghi đó ở trên hoặc dưới số byte giới hạn. số byte
chấp nhận số dương hoặc số âm theo sau là 'K', 'M' hoặc 'G' 10E3, 10E6 hoặc 10E9
byte tương ứng. Lưu ý: Các giới hạn này chỉ áp dụng cho các thống kê và tổng hợp
kết quả đầu ra được tạo với -a -s. Để lọc các bản ghi netflow theo gói và byte, hãy sử dụng
cú pháp lọc 'gói' và 'byte' được mô tả bên dưới.

-n num
Xác định số cho N thống kê hàng đầu. Mặc định là 10. Nếu 0 được chỉ định,
số lượng là không giới hạn.

-o định dạng
Chọn định dạng đầu ra để in luồng hoặc thống kê bản ghi luồng (bản ghi -s). Các
các định dạng sau có sẵn:
raw In từng bản ghi luồng tệp trên nhiều dòng.
dòng In mỗi dòng trên một dòng. Định dạng mặc định.
dài In từng luồng trên một dòng với nhiều chi tiết hơn
biline Giống như dòng, nhưng đối với dòng bidir
bilong Tương tự như dài, nhưng đối với dòng chảy bidir
mở rộng In từng luồng trên một dòng với nhiều chi tiết hơn.
nsel In từng sự kiện NSEL trên một dòng. Mặc định nếu NSEL / ASA được bật.
nel In mỗi sự kiện NAT trên một dòng. Mặc định nếu NEL được bật.
csv Đầu ra được phân tách bằng dấu phẩy để xử lý máy có thể đọc được.
pipe Định dạng có thể đọc được của máy kế thừa: các trường '|' ly thân.
fmt:định dạng Định dạng đầu ra do người dùng xác định.
Đối với mỗi định dạng đầu ra đã xác định ngoại trừ -o fmt: định dạng đầu ra dài IPv6
tồn tại. dòng6, long6 và mở rộng6. Thấy đầu ra định dạng dưới đây để biết thêm thông tin.

-q Bỏ dòng tiêu đề và số liệu thống kê ở dưới cùng.

-N In các số đơn giản ở đầu ra. Dễ dàng hơn để phân tích cú pháp sau.

-i danh tính
Thay đổi nhãn nhận dạng trong tệp, được chỉ định bởi -r thành danh tính

-v hồ sơ
Xác minh hồ sơ. In phiên bản tệp dữ liệu, số khối và trạng thái nén.

-E hồ sơ
In danh sách nhà xuất khẩu / người lấy mẫu được tìm thấy trong hồ sơ. Trong trường hợp tệp bộ sưu tập nfcapd, một
thống kê bổ sung cho mỗi nhà xuất khẩu được in với số lượng luồng, gói và
lỗi trình tự.

-x hồ sơ
Quét và in các bản đồ mở rộng nằm trong tệp tệp

-z Nén dòng chảy. Sử dụng nén LZO1X-1 nhanh trong tệp đầu ra.

-j hồ sơ
Nén / Giải nén một tệp nhất định. Nếu tệp đã được nén, hãy giải nén nó và ngược lại
ngược lại.

-Z Kiểm tra cú pháp bộ lọc và thoát. Đặt giá trị trả về cho phù hợp.

-X Biên dịch cú pháp bộ lọc và chuyển bảng công cụ lọc sang stdout. Cái này dành cho
chỉ mục đích gỡ lỗi.

-V In phiên bản nfdump và thoát.

-h In văn bản trợ giúp trên stdout với tất cả các tùy chọn và thoát.

TRỞ VỀ VALUE

Hoàn trả
0 Không có lỗi.
255 Khởi tạo không thành công.
254 Lỗi trong cú pháp bộ lọc.
250 Lỗi nội bộ.

OUTPUT M FORU ĐƠN

Định dạng đầu ra nguyên in mỗi bản ghi luồng trên nhiều dòng, bao gồm tất cả thông tin
có sẵn trong hồ sơ. Đây là cái nhìn chi tiết nhất về một luồng.

Các định dạng đầu ra khác in từng luồng trên một dòng. Các định dạng đầu ra được xác định trước là hàng,
Dài và gia tăng Định dạng đầu ra hàng là định dạng đầu ra mặc định khi không có định dạng
được chỉ định. Nó giới hạn sự thay đổi đối với các chi tiết kết nối cũng như số lượng
gói, byte và luồng.

Định dạng đầu ra Dài giống hệt với định dạng hàngvà bao gồm bổ sung
thông tin chẳng hạn như cờ TCP và Loại dịch vụ.

Định dạng đầu ra gia tăng giống hệt với định dạng Dàivà bao gồm bổ sung
thông tin tính toán chẳng hạn như pps, bps và bpp.

Lĩnh vực:

Ngày dòng chảy bắt đầu: Bắt đầu dòng thời gian nhìn thấy đầu tiên. Định dạng ISO 8601 bao gồm mili giây.

Thời gian: Thời lượng của luồng tính bằng giây và mili giây. Nếu các luồng được tổng hợp,
thời gian là khoảng thời gian trong toàn bộ khoảng thời gian từ lần nhìn thấy đầu tiên đến lần nhìn thấy cuối cùng.

Nguyên mẫu: Giao thức được sử dụng trong kết nối.

Sr. IP Addr: Cổng: Địa chỉ IP nguồn và cổng nguồn.

dst IP Addr: Cổng: Địa chỉ IP đích và cổng đích. Trong trường hợp ICMP, cổng
được giải mã dưới dạng type.code.

Cờ: Cờ TCP ORed của kết nối.

Ho: Loại hình dịch vụ.

Các gói: Số lượng gói trong luồng này. Nếu các luồng được tổng hợp, các gói
tóm tắt.

Số byte: Số byte trong luồng này. Nếu các luồng được tổng hợp, các byte được tổng hợp
lên.

trang: Các gói được tính trên giây: số gói / thời lượng. Nếu dòng chảy là
tổng hợp điều này dẫn đến pps trung bình trong khoảng thời gian này.

bps: Số bit được tính toán trên giây: 8 * số byte / thời lượng. Nếu dòng chảy là
tổng hợp điều này dẫn đến bps trung bình trong khoảng thời gian này.

Bpp: Số byte được tính trên mỗi gói: số byte / số gói. Nếu dòng chảy là
tổng hợp điều này dẫn đến bpp trung bình trong khoảng thời gian này.

Chảy: Số lượng dòng chảy. Nếu các luồng chỉ được liệt kê, thì con số này là khá lớn 1. Nếu các luồng
được tổng hợp, điều này hiển thị số lượng luồng tổng hợp vào một bản ghi.

Các số lớn hơn 1'000'000 (1000 * 1000), được chia tỷ lệ thành 4 chữ số và một chữ số thập phân
bao gồm cả hệ số tỷ lệ M, G or T cho đầu ra sạch hơn, ví dụ 923.4 M

Để làm cho đầu ra dễ đọc hơn, địa chỉ IPv6 được thu nhỏ xuống còn 16 ký tự. Các
bảy chữ số nhiều nhất và bảy chữ số ít nhất được kết nối với hai dấu chấm '..' được hiển thị trong bất kỳ bình thường
các định dạng đầu ra. Để hiển thị địa chỉ IPv6 đầy đủ, hãy sử dụng định dạng dài thích hợp,
là tên định dạng được theo sau bởi một 6.

Ví dụ: -o hàng hiển thị địa chỉ IPv6 dưới dạng 2001: 23..80: d01e định dạng ở đâu -o dòng 6
hiển thị toàn bộ thời lượng địa chỉ IPv6 2001:234:aabb::211:24ff:fe80:d01e. Các
sự kết hợp của -o hàng -6 tương đương với -o dòng 6.

Định dạng đầu ra fmt: cho phép bạn xác định định dạng đầu ra của riêng mình. Một định dạng
Mô tả định dạng bao gồm một dòng duy nhất chứa các chuỗi và định dạng tùy ý
thông số kỹ thuật như được mô tả bên dưới

% Chèn những gì được xác định trước định dạng tại vị trí này. ví dụ %hàng
% ts Thời gian bắt đầu - lần đầu tiên nhìn thấy
% te Thời gian kết thúc - nhìn thấy lần cuối
% tr Thời gian dòng chảy được nhận bởi bộ thu
% td Độ dài khóa học
% pr Nghị định thư
%NS ID nhà xuất khẩu
% eng Loại động cơ / ID
% sa Địa chỉ nguồn
% da Địa chỉ đích
%nhựa cây Địa chỉ nguồn: Port
% dap Địa chỉ đích: Cảng
% sp Cổng nguồn
% dp Cảng đích
% sn Mạng nguồn, đã áp dụng mặt nạ
% dn Mạng đích, đã áp dụng mặt nạ
% nh Địa chỉ IP bước tiếp theo
% nhb Địa chỉ IP BGP Next-hop
% ra Địa chỉ IP của bộ định tuyến
% sas Nguồn AS
% das Đích đến AS
% nas AS tiếp theo
% pas AS trước đó
%trong Số giao diện đầu vào
%ngoài Số giao diện đầu ra
% pkt Gói - đầu vào mặc định
% ipkt Các gói đầu vào
% opkt Các gói đầu ra
% byt Byte - đầu vào mặc định
% ibyt Số byte đầu vào
% obyt Số byte đầu ra
% fl Chảy
% flg Cờ TCP
% tos Tos - src mặc định
% stos Src Tos
% dtos Dst Tos
% dir Hướng: xâm nhập, đi ra
% smk Mặt nạ src
% dmk Mặt nạ Dst
% fwd Trạng thái chuyển tiếp
% svln Nhãn src vlan
% dvln Nhãn dst vlan
% ismc Đầu vào Src Mac Addr
% odmc Đầu ra Dst Mac Addr
% idmc Nhập Dst Mac Addr
% osmc Đầu ra Src Mac Addr
% mpls1 Nhãn MPLS 1
% mpls2 Nhãn MPLS 2
% mpls3 Nhãn MPLS 3
% mpls4 Nhãn MPLS 4
% mpls5 Nhãn MPLS 5
% mpls6 Nhãn MPLS 6
% mpls7 Nhãn MPLS 7
% mpls8 Nhãn MPLS 8
% mpls9 Nhãn MPLS 9
% mpls10 Nhãn MPLS 10
% mpls Nhãn MPLS 1-10
% bps bps - bit trên giây
% pps pps - gói mỗi giây
% bpp bps - byte mỗi gói

Các định dạng cụ thể của NSEL
% nfc ID kết nối NSEL
% evt Sự kiện NSEL
% xevt Sự kiện mở rộng NSEL
% msec Thời gian sự kiện NSEL tính bằng mili giây
% iacl NSEL thâm nhập ACL
% eacl ACL đầu ra NSEL
% xsa Địa chỉ IP NSEL XLATE src
% xda Địa chỉ IP dst NSEL XLATE
% xsp Cổng NSEL XLATE src
% xdp Cổng dst NSEL SLATE
% xsap Địa chỉ nguồn Xlate: Cổng
% xdap Địa chỉ Đích Xlate: Cổng
% uname Tên người dùng NSEL

Các định dạng cụ thể NEL / NAT
% nevt Sự kiện NAT - giống như% evt
% ivrf ID VRF xâm nhập NAT
% evrf ID VRF đầu ra NAT
% nsa Địa chỉ IP NAT src
% nda Địa chỉ IP NAT dst
% nsp NAT src cổng
% ndp Cổng NAT dst
% pbstart Bắt đầu khối nhóm NAT
% pbend Kết thúc khối nhóm NAT
% pbstep Bước khối nhóm NAT
% pbsize Kích thước khối hồ bơi NAT

Định dạng Nprobe
% cl Thời gian chờ của khách hàng
% sl Độ trễ của máy chủ
% al Độ trễ ứng dụng

Ví dụ: định dạng đầu ra tiêu chuẩn Dài có thể được tạo ra như
-o "fmt:% ts % td % pr %nhựa cây -> % dap % flg % tos % pkt % byt % fl "

Bạn cũng có thể xác định định dạng đầu ra của riêng mình và biên dịch nó thành nfdump. Xem nfdump.c
phần Đầu ra Định dạng để biết thêm chi tiết.

Sản phẩm csv định dạng đầu ra dự định sẽ được đọc bởi một chương trình khác để xử lý thêm. Như
một ví dụ, hãy xem chương trình parse_csv.pl Perl. Định dạng đầu ra cvs bao gồm một hoặc
nhiều khối đầu ra hơn và một khối tóm tắt. Mỗi khối đầu ra bắt đầu bằng một dòng chỉ số cvs
tiếp theo là các dòng ghi cvs. Các dòng chỉ mục mô tả thứ tự, cách mỗi dòng sau
bản ghi được sáng tác.

Ví dụ:
Dòng chỉ số: ts, te, td, sa, da, sp, dp, pr, ...
Record line: 2004-07-11 10:30:00,2004-07-11 10:30:10,10.010,...

Tất cả các bản ghi đều ở dạng có thể đọc được ASCII. Các con số không được chia tỷ lệ, vì vậy mỗi dòng có thể dễ dàng
đã phân tích cú pháp.

Các chỉ số được sử dụng trong nfdump 1.6:

bản ghi thời gian ts, te, td: t-start, t-end, time
sa, da src dst địa chỉ sp, dp src, dst port
giao thức pr PF_INET hoặc PF_INET6
flg TCP Cờ:
000001 VÒNG.
000010 TỔNG HỢP
000100 ĐẶT LẠI
001000 PUSH
010000 ACK
100000 KHẨN CẤP
ví dụ 6 => SYN + ĐẶT LẠI
trạng thái chuyển tiếp fwd
tos src tos
ipkt, gói / byte đầu vào ibyt
opkt, gói đầu ra obyt, byte
vào, ra giao diện đầu vào / đầu ra Số SNMP
sas, das src, dst AS
smk, dmk src, mặt nạ dst
dtos dst tos
hướng dir
nh, nhb nethop IP address, bgp next hop IP
svln, dvln src, dst vlan id
ismc, đầu vào odmc src, đầu ra dst MAC
idmc, dst đầu vào osmc, đầu ra src MAC
nhãn mpls1, mpls2 MPLS 1-10
mpls3, mpls4
mpls5, mpls6
mpls7, mpls8
mpls9, mpls10
ra IP của bộ định tuyến
loại động cơ / id của bộ định tuyến eng

Xem parse_csv.pl để biết thêm chi tiết.

LỌC

Cú pháp bộ lọc tương tự như thư viện pcap nổi tiếng được sử dụng bởi tcpdump. Bộ lọc
có thể được chỉ định trên dòng lệnh sau tất cả các tùy chọn hoặc trong một tệp riêng biệt. Nó
có thể kéo dài một số dòng. Mọi thứ sau dấu '#' đều được coi là nhận xét và bị bỏ qua đối với
cuối dòng. Hầu như không có giới hạn về độ dài của biểu thức bộ lọc. Tất cả các
các từ khóa không phụ thuộc vào chữ hoa chữ thường.

Bất kỳ bộ lọc nào bao gồm một hoặc nhiều biểu thức thể hiện. Bất kỳ số nào trong số thể hiện có thể được liên kết
cùng với nhau:

thể hiện và exp, exp or kinh nghiệm, không expr và ( thể hiện ).

kinh nghiệm có thể là một trong những bộ lọc nguyên thủy sau:

bao gồm
@bao gồm
bao gồm nội dung của vào bộ lọc.

ip phiên bản
inet or ipv4 cho IPv4
inet6 or ipv6 cho IPv6

giao thức
do đó
do đó
Ở đâu là giao thức đã biết, chẳng hạn như tcp, udp, icmp, icmp6, gre, đặc biệt, ah, Vv
hoặc số giao thức hợp lệ: 6, 17 và vv

IP địa chỉ
[src | dst] ip
[src | dst] chủ nhà
với dưới dạng bất kỳ địa chỉ IPv4, IPv6 hợp lệ hoặc tên máy chủ đủ điều kiện. Trong trường hợp
của tên máy chủ, địa chỉ IP được tra cứu trong DNS. Nếu nhiều hơn một địa chỉ IP
được tìm thấy, tất cả các địa chỉ IP được liên kết với nhau. (ip1 or ip2 or ip3 ... )

Để kiểm tra xem một địa chỉ IP có trong danh sách IP đã biết hay không, hãy sử dụng
[src | dst] ip in [ ]
[src | dst] chủ nhà in [ ]
là một danh sách cá nhân được phân tách bằng dấu cách hoặc dấu phẩy hoặc đủ điều kiện
tên máy chủ, được tra cứu trong DNS. Nếu tìm thấy nhiều hơn một địa chỉ IP, tất cả
Địa chỉ IP được đưa vào danh sách.

[src | dst]
Địa chỉ IP, mạng, cổng, số AS, v.v. có thể được chọn cụ thể bằng cách sử dụng
định hướng, chẳng hạn như src hoặc dst. Chúng cũng có thể được sử dụng kết hợp với
và và or. nhu la src và dst ip ...

mạng
[src | dst] net A B C D mnrs
Chọn mạng IPv4 A B C D với mặt nạ mạng mnrs.

[src | dst] net /
với là mạng IPv4 hoặc IPv6 hợp lệ và dưới dạng mặt nạ. Số lượng mặt nạ
các bit phải khớp với địa chỉ thích hợp trong IPv4 hoặc IPv6. Mạng có thể
giảm bớt chẳng hạn như 172.16 / 16 nếu chúng không rõ ràng.

Hải cảng
[src | dst] cổng [biên dịch]
với như bất kỳ số cổng hợp lệ nào. Nếu như comp bị bỏ qua,
'=' được giả định. comp được giải thích chi tiết hơn bên dưới.
[src | dst] cổng in [ ]
Một cổng có thể được so sánh với một danh sách biết, nơi là một danh sách được phân tách bằng dấu cách
số cổng riêng lẻ.

ICMP
loại icmp
mã icmp
với như một loại / mã icmp hợp lệ. Điều này tự động ngụ ý do đó icmp.

bộ định tuyến ID
Loại động cơ
id động cơ
sysid
với như một loại công cụ bộ định tuyến / id hoặc ID nhà xuất khẩu hợp lệ (0..255).

Giao thức
[vào | ra] if
Chọn đầu vào hoặc đầu ra hoặc một trong hai ID giao diện, với num làm số giao diện SNMP.
Ví dụ: in if 3

AS số
[src | dst | pres | next] as [biên dịch]
Chọn nguồn, loại bỏ, trước đó, tiếp theo hoặc bất kỳ số AS nào với như bất kỳ hợp lệ như
con số. Số AS 32 bit được báo cáo. Nếu như comp được bỏ qua, '=' được giả định. comp is
giải thích chi tiết hơn bên dưới.

[src | dst | pres | next] as in [ ]
Một số AS có thể được so sánh với một danh sách biết, trong đó là dấu cách hoặc dấu phẩy
danh sách riêng của các số AS riêng lẻ.

Tiếp đầu ngữ mặt nạ bit
[src | dst] mặt nạ
với như bất kỳ giá trị bit mặt nạ tiền tố hợp lệ nào.

vlan nhãn
[src | dst] vlan
với như bất kỳ nhãn vlan hợp lệ nào.

Flags
cờ
với như một sự kết hợp của:
Một ACK.
TỔNG HỢP
F KẾT THÚC.
R Đặt lại.
P Đẩy.
U khẩn cấp.
X Tất cả các cờ trên.
Thứ tự của các lá cờ không liên quan. Cờ không được đề cập được coi là không quan tâm.
Để nhận được các luồng đó chỉ với cờ SYN, hãy sử dụng cú pháp 'cờ S và không
cờ AFRPU'.

Trang Tiếp hop IP
tiếp theo ip
với dưới dạng địa chỉ IP IPv4 / IPv6 của bộ định tuyến bước tiếp theo.

Bước tiếp theo của bộ định tuyến IP in các bgp miền
bgpnext ip
với dưới dạng IP của bộ định tuyến bước tiếp theo IPv4 / IPv6 trong miền BGP. (v9 # 18)

bộ định tuyến IP
Router ip
Lọc các luồng theo địa chỉ IP của bộ định tuyến xuất.

MAC địa chỉ
[InOutSrcDst] mac
Với bất kỳ địa chỉ MAC hợp lệ nào. mac có thể được chỉ định cụ thể hơn bằng cách sử dụng bất kỳ
sự kết hợp của bộ định hướng như được xác định bởi CISCO v9. in src, in dst, ra src,
ra dst.

MPLS nhãn
mpl nhãn mác [biên dịch]
Với như bất kỳ nhãn mpls nào số 1..10. Bộ lọc nhãn được chỉ định chính xác .
mpl eos [biên dịch]
Bộ lọc Nhãn cuối ngăn xếp cho một giá trị nhất định .
mpl NS [biên dịch]
Lọc các bit thử nghiệm của nhãn với 0..7.

Gói
gói [biên dịch] [tỉ lệ]
Để lọc các bản ghi netflow với số gói cụ thể.
Ví dụ: gói > 1k

Bytes
byte [biên dịch] [tỉ lệ]
Để lọc các bản ghi netflow với số byte cụ thể.
Ví dụ: byte 46 lọc tất cả các gói IPv4 trống

Tổng hợp chảy
chảy [biên dịch] [tỉ lệ]
Để lọc các bản ghi luồng ròng với một số luồng tổng hợp cụ thể.

Kiểu of Dịch vụ (ĐKDV)
[Điểm đến gốc] trẻ con
Với 0..255. Để tương thích với nfump 1.5.x: trẻ con tương đương với
src trẻ con

Gói mỗi thứ hai: Tính giá trị.
pps [biên dịch] num [tỉ lệ]
Để lọc các luồng với các gói cụ thể trên giây.

Thời gian: Tính giá trị
thời gian [biên dịch] num
Để lọc các luồng có thời lượng cụ thể tính bằng mili giây.

bits mỗi thứ hai: Tính giá trị.
bps [biên dịch] num [tỉ lệ]
Để lọc các luồng có byte cụ thể trên giây.

Bytes mỗi gói: Tính giá trị.
bpp [biên dịch] num [tỉ lệ]
Để lọc các luồng với các byte cụ thể trên mỗi gói.

tỉ lệ yếu tố nhân rộng. Có lẽ k m g. Hệ số là 1000

comp Các bộ so sánh sau được hỗ trợ:
=, ==, >, <, chỉ số cân bằng, L.T., GT . If comp được bỏ qua, '=' được giả định.

NSEL / ASA riêng bộ lọc:

NSEL / ASA Sự kiện
như vậy sự kiện
như vậy sự kiện [biên dịch]
chọn sự kiện NSEL / ASA theo tên hoặc số. Nếu cho dưới dạng số, nó có thể được so sánh với
con số

NSEL / ASA từ chối lý do
như vậy sự kiện từ chối
Chọn sự kiện bị từ chối NSEL / ASA theo loại

NSEL / ASA gia tăng sự kiện
như vậy xevent [biên dịch]
Chọn sự kiện NSELL ASA mở rộng theo số hoặc so sánh theo số tùy chọn.

X-muộn IP địa chỉ và cổng
[src | dst] xip
Chọn các dịch IP địa chỉ

[src | dst] xnet /
với là mạng IPv4 hoặc IPv6 được dịch hợp lệ và dưới dạng mặt nạ. Các
số lượng bit mặt nạ phải khớp với địa chỉ thích hợp trong IPv4 hoặc IPv6.
Các mạng có thể bị loại bỏ, chẳng hạn như 172.16 / 16 nếu chúng không rõ ràng.

[src | dst] xuất khẩu
Chọn cổng đã dịch

NSEL / ASA đi vào đi ra
xâm nhập [biên dịch] con số
Chọn / so sánh an xâm nhập ACL

đi ra ACL [biên dịch]
Chọn / so sánh ACL đầu ra

Không riêng NAT bộ lọc:

NAT Sự kiện
giáng sinh sự kiện
giáng sinh sự kiện [biên dịch]
chọn sự kiện NAT NEL theo tên hoặc số. Nếu cho dưới dạng số, nó có thể được so sánh với
con số

Không NAT ip địa chỉ và cổng
[src | dst] uống nhâm nhi
Chọn các NAT IP địa chỉ

[src | dst] cảng
Chọn các NAT cổng

Không NAT vrf
xâm nhập vrf Chọn vrf

VÍ DỤ

nfdump -r /và/dir/nfcapd.201107110845 -c 100 'proto tcp và ( src ip 172.16.17.18 or dst
ip 172.16.17.19 )' Kết xuất 100 bản ghi netflow đầu tiên phù hợp với bộ lọc đã cho:

nfdump -r /và/dir/nfcapd.201107110845 -B Các luồng đối sánh bản đồ dưới dạng đơn hướng bin
lưu lượng.

nfdump -R /và/dir/nfcapd.201107110845:nfcapd.200407110945 'tổ chức 192.168.1.2 ' Đổ bỏ tất cả
bản ghi netflow của máy chủ 192.168.1.2 từ ngày 11 tháng 08 45:09 - 45:XNUMX

nfdump -M / to / và / dir1: dir2 -R nfcapd.200407110845: nfcapd.200407110945 -s ghi -n 20
Tạo thống kê 20 hàng đầu từ 08:45 đến 09:45 từ 3 nguồn

nfdump -r /và/dir/nfcapd.201107110845 -s ghi -n 20 -o gia tăng Tạo ra 20 người hàng đầu
thống kê, định dạng đầu ra mở rộng

nfdump -r /và/dir/nfcapd.201107110845 -s ghi -n 20 'của if 5 và bps > 10k ' Tạo
20 thống kê hàng đầu từ các luồng đến từ giao diện 5

nfdump -r /và/dir/nfcapd.201107110845 'inet6 và do đó tcp và ( src cổng > 1024 và dst
cổng 80 ) Kết xuất tất cả các kết nối IPv80 cổng 6 tới bất kỳ máy chủ web nào.

GHI CHÚ

Tạo thống kê cho các tệp dữ liệu vài trăm MB không có vấn đề gì. Tuy nhiên được
cẩn thận nếu bạn muốn tạo thống kê vài GB dữ liệu. Điều này có thể tiêu tốn rất nhiều
bộ nhớ và có thể mất một lúc. Ẩn danh dòng đã chuyển sang nfanon.

Sử dụng nfdump trực tuyến bằng các dịch vụ onworks.net