nfdump - 云端在线

程序：

您的姓名

nfdump - 网络流量显示和分析程序

概要

转储 [选项] [筛选]

商品描述

转储 是nfdump工具集的netflow展示和分析程序。 它读取
来自 nfcapd 存储的文件的 netflow 数据并根据选项处理流
给。 过滤器语法与 tcpdump 类似，并针对 netflow 数据进行了扩展。 转储
还可以显示许多不同的前 N ​​个流量和流量元素统计信息。

配置

-r 输入文件
从中读取输入数据 输入文件. 默认从标准输入读取。

-R 表达式
从同一目录中的一系列文件中读取输入。 表达式 可能是以下之一：
/任何/DIR 递归读取目录中的所有文件 DIR.
/目录/文件 读取以开头的所有文件 文件.
/目录/文件 1:文件 2 从中读取所有文件 file1 至 file2.

与子层次结构结合使用时：
/目录/sub1/sub2/file1:sub3/sub4/file2
从中读取所有文件 子1/子2/文件1 子3/子4/文件2 迭代所有需要的
层级。

注意：文件按字母顺序读取。

-M 表达式
从多个目录读取输入。 表达式 好像： /任何/路径/到/dir1:dir2:dir3 等等
并将扩展到以下目录： /任何/路径/到/dir1, /任何/路径/到/dir2 和
/任何/路径/到/dir3 可以给出任意数量的以冒号分隔的目录。 文件到
read 由 -r 或 -R 指定，并且应该存在于所有给定的目录中。
选项 -r 和 -R 与以下选项一起使用时不得包含任何目录部分
-M。

-m 根据第一次看到的日期对 netflow 记录进行排序。 此选项通常仅
与 -M 结合使用，当从不同来源读取 netflow 记录时，
不一定要排序。

-w 输出文件
如果指定，则将二进制网络流记录写入 输出文件 准备再次处理
与 nfdump。 默认输出是标准输出上的 ASCII。 结合选项 -m, -a,
-b 和 -B 以二进制格式将聚合和/或排序的流缓存写入磁盘。

-f 过滤文件
从中读取过滤器语法 过滤文件. 注意：任何直接在
命令行优先于 -f。

-t 时间赢
只处理落在时间窗口内的流 时间赢，其中 时间赢 is
YYYY/MM/dd.hh:mm:ss[-YYYY/MM/dd.hh:mm:ss]。 时间规范的任何部分都可以省略
例如 YYYY/MM/dd 扩展为 YYYY/MM/dd.00:00:00-infinity 并处理所有来自 a
从那天起。 时间窗口也可以指定为 +/- n。 在这种情况下是
相对于所有流的开始或结束。 +10 表示前 10 秒
流，-10 表示所有流的最后 10 秒。

-c NUM
将要处理的记录数限制为第一条 NUM 流动。

-a 聚合网络流量数据。 自动暗示 -a。 聚合在连接时完成
通过采用 5 元组协议、srcip、dstip、srcport 和 dstport 来实现级别。

-A 聚合
类似于灵活的网络流 (FNF)，网络流记录可以由任意数量的聚合
给定 v9 字段。 聚合 是一个 ',' 分隔的识别标签列表
以下列表：
proto IP 协议
srcip 源IP地址
dstip 目标 IP 地址
srcip4/net IPv4 源 IP 地址和应用的网络掩码
srcip6/net IPv6 源 IP 地址和应用的网络掩码
dstip4/net IPv4 目标 IP 地址和应用的网络掩码
dstip6/net IPv6 目标 IP 地址和应用的网络掩码
srcnet 在源 IP 的网络流记录中应用网络掩码 srcmask
dstnet 在目标 IP 的网络流记录中应用网络掩码 dstmask
srcport 源端口
dstport 目的端口
srcmask 源掩码
dstmask 目标掩码
srcvlan 源 vlan 标签
dstvlan 目标 vlan 标签
srcas 源 AS 编号
dstas 目标 AS 编号
nextas BGP 下一个 AS
prevas BGP 以前的 AS
inif SNMP 输入接口号
outif SNMP 输出接口编号
下一个 IP 下一跳
bgpnext BGP 下一跳
insrcmac 在源MAC地址
outdstmac 输出目的 MAC 地址
indstmac 目的MAC地址
outsrcmac 输出源 MAC 地址
tos 源服务类型
srctos 源服务类型
dsttos 目的地服务类型
mpls1 MPLS 标签 1
mpls2 MPLS 标签 2
mpls3 MPLS 标签 3
mpls4 MPLS 标签 4
mpls5 MPLS 标签 5
mpls6 MPLS 标签 6
mpls7 MPLS 标签 7
mpls8 MPLS 标签 8
mpls9 MPLS 标签 9
mpls10 MPLS 标签 10
router 导出路由器IP

nfdump 自动为选定的聚合编译适当的输出格式
除非给出了明确的输出格式。 自动输出格式与
-o 'fmt:%ts ％td %包 % 字节 %bps %bpp %f' 在哪里代表
选定的聚合标签。

示例：
-A proto、srcip、dstport

-A srcas,dsta

-b 将网络流记录聚合为双向流。 自动暗示 -a。
通过采用 5 元组协议、srcip、dstip、
srcport 和 dstport，或对应连接流的相反顺序。 输入
和输出数据包/字节是分开计算和报告的。 两个流合并为
一个记录。 自动选择合适的输出格式，可以是
被任何 -o 格式选项覆盖。

-B 像 -b 但自动交换流，这样 src 端口 > 1024 和 dst 端口是
1024 因为一些出口商不关心以正确的顺序发送流。 它被认为
成为一个方便的选择。 如果 src 和 dst 端口 > 1024 或 < 1024，则流为
照原样。

-I 从 -r 指定的文件或 -R/-M 指定的时间段打印流量统计信息。

-D DNS
选择 DNS 作为名称服务器来查找主机名。

-s 统计[:p][/orderby]
生成 Top N 流量或流量元素统计量。 统计 可：
record 关于排列的 netflow 记录的统计信息。
srcip 源IP地址统计
dstip 目的IP地址统计
ip 有关任何（源或目标）IP 地址的统计信息
nhip 下一跳IP地址统计
nhbip BGP下一跳IP地址统计
router 导出路由器IP地址的统计信息
srcport 源端口统计
dstport 目的端口统计
port 有关任何（源或目标）端口的统计信息
tos 有关服务类型的统计信息 - 默认 src
srctos 关于src服务类型的统计
dsttos dst 服务类型统计
dir 流向入口/出口统计
srcas 统计源AS号
dstas 目的AS号统计
作为有关任何（源或目标）AS 编号的统计信息
inif 输入接口统计
outif 输出接口统计
if 任何接口的统计信息
srcmask src 掩码统计
dstmask dst 掩码统计
srcvlan src vlan标签统计
dstvlan dst vlan标签统计
vlan 统计任意 vlan 标签
insrcmac 关于输入src MAC地址的统计
outdstmac 输出dst MAC地址统计
indstmac 关于输入dst MAC地址的统计
outsrcmac 输出src MAC地址统计
srcmac 任何 src MAC 地址的统计信息
dstmac 统计任何 dst MAC 地址
inmac 有关任何输入 MAC 地址的统计信息
outmac 有关任何输出 MAC 地址的统计信息
mask 有关任何面具的统计信息
proto IP 协议统计
mpls1 MPLS标签1的统计信息
mpls2 MPLS标签2的统计信息
mpls3 MPLS标签3的统计信息
mpls4 MPLS标签4的统计信息
mpls5 MPLS标签5的统计信息
mpls6 MPLS标签6的统计信息
mpls7 MPLS标签7的统计信息
mpls8 MPLS标签8的统计信息
mpls9 MPLS标签9的统计信息
mpls10 MPLS标签10的统计信息
sysid 导出器的内部 SysID

NSEL/ASA 统计数据
事件 NSEL/ASA 事件
xevent NSEL/ASA 扩展事件
xsrcip NSEL/ASA 转换后的 src IP 地址
xsrcport NSEL/ASA 翻译的 src 端口
xdstip NSEL/ASA 转换的 dst IP 地址
xdstport NSEL/ASA 转换的 dst 端口
iacl NSEL/ASA 入口 ACL
iace NSEL/ASA 入口 ACE
ixace NSEL/ASA 入口 xACE
eacl NSEL/ASA 出口 ACL
eace NSEL/ASA 出口 ACE
exace NSEL/ASA 出口 xACE

NAT 统计信息
nevent NAT 事件
vrf/ivrf NAT 入口 vrf
evrf NAT 出口 vrf
nsrcip NAT 源 IP 地址
nsrcport NAT 源端口
ndstip NAT dst IP 地址
ndstport NAT dst 端口

通过添加 :p 到统计名称，结果统计拆分为传输
层协议。 默认为独立于传输协议的统计信息。

排序依据 是可选的，指定统计信息的排序顺序，并且可以
be 流动, 包, 字节, PPS, BPS or 苯丙氨酸. 您可以指定多个 排序依据 这
结果相同，但排序不同。 如果不 排序依据 给出，
统计信息按以下顺序排序 流动. 您可以指定尽可能多的 -s 流元素统计信息
同一运行的命令行。

示例：
-s srcip -s ip/流量 -s dstport/pps/数据包/字节 -s 记录/字节

-O 排序依据
指定默认值 排序依据 对于流元素统计 -s，当没有时适用
排序依据 在 -s 处给出。 排序依据 可 流动, 包, 字节, PPS, BPS or 苯丙氨酸. 默认值
至 流动.

-l [+/-]packet_num
将统计输出限制为高于或低于 数据包编号 限制。
数据包编号 接受正数或负数后跟 'K' , 'M' 或 'G' 10E3, 10E6
或 10E9 流分别。 另请参阅 -L 处的注释

-L [+/-]字节数
将统计输出限制为高于或低于 字节数 限制。 字节数
接受正数或负数后跟 'K' 、'M' 或 'G' 10E3、10E6 或 10E9
字节分别。 请注意： 这些限制仅适用于统计和汇总
使用 -a -s 生成的输出。 要按数据包和字节过滤网络流记录，请使用
过滤语法“数据包”和“字节”如下所述。

-n NUM
定义前 N 个统计信息的数量。 默认为 10。如果指定了 0，则
数量不限。

-o 格式
选择输出格式以打印流或流记录统计信息（-s 记录）。 这
以下格式可用：
raw 在多行上打印每个文件流记录。
line 在一行上打印每个流。 默认格式。
long 在一行上打印每个流程，并提供更多详细信息
biline 与 line 相同，但用于双向流
bilong 与 long 相同，但用于双向流
扩展在一行上打印每个流程，并提供更多详细信息。
nsel 在一行上打印每个 NSEL 事件。 如果启用 NSEL/ASA，则为默认值。
nel 在一行上打印每个 NAT 事件。 如果启用 NEL，则为默认值。
csv 逗号分隔输出，用于机器可读处理。
管道传统机器可读格式：字段“|” 分开了。
文件：格式 用户定义的输出格式。
对于除 -o fmt 之外的每个定义的输出格式： IPv6 长输出格式
存在。 第6行， long6 和 Extended6。 看 产量 格式 了解更多信息。

-q 抑制标题行和底部的统计信息。

-N 在输出中打印纯数字。 更容易进行后解析。

-i IDENT
更改文件中的标识标签，由 -r 指定为 IDENT

-v 文件
确认 文件. 打印数据文件版本、块数和压缩状态。

-E 文件
打印出口商/取样器列表中找到 文件. 对于 nfcapd 收集器文件，
每个出口商的额外统计数据打印有流量、数据包和
序列错误。

-x 文件
扫描并打印位于文件文件中的扩展映射

-z 压缩流量。 在输出文件中使用快速 LZO1X-1 压缩。

-j 文件
压缩/解压缩给定的文件。 如果文件被压缩，则解压缩它，反之亦然
反之亦然。

-Z 检查过滤器语法并退出。 相应地设置返回值。

-X 编译文件管理器语法并将过滤器引擎表转储到标准输出。 这是为了
仅用于调试目的。

-V 打印 nfdump 版本并退出。

-h 在标准输出上使用所有选项打印帮助文本并退出。

返回 VALUE

Returns & Exchanges
0 没有错误。
255 初始化失败。
254 过滤器语法错误。
250 内部错误。

OUTPUT FORMATS

输出格式 原 在多行上打印每个流记录，包括所有信息
记录中可用。 这是流的最详细视图。

其他输出格式在一行上打印每个流。 预定义的输出格式是 线,
长 和 扩展 输出格式 线 是没有格式时的默认输出格式
指定的。 它将信息限制为连接细节以及数量
数据包、字节和流。

输出格式 长 与格式相同 线，并包括额外的
TCP 标志和服务类型等信息。

输出格式 扩展 与格式相同 长，并包括额外的
计算信息，例如 PPS, BPS 和 苯丙氨酸.

领域：

日期 流 开始： 开始时间流第一次看到。 ISO 8601 格式，包括毫秒。

学制： 以秒和毫秒为单位的流持续时间。 如果流量汇总，
为期 是从第一次看到到最后看到整个时间段的时间跨度。

原型： 连接中使用的协议。

SRC IP 地址：端口： 源IP地址和源端口。

夏令时 IP 地址：端口： 目的IP地址和目的端口。 在ICMP的情况下，端口
被解码为 type.code。

标志： 连接的 TCP 标志 ORed。

咳嗽： 服务类型。

数据包： 此流中的数据包数。 如果流被聚合，数据包是
总结。

字节： 此流中的字节数。 如果聚合流，则将字节相加
向上。

pps： 每秒计算的数据包数：数据包数/持续时间。 如果流量是
将此结果汇总为该时间段内的平均 pps。

基点： 计算出的每秒位数：8 * 字节数/持续时间。 如果流量是
将此结果汇总为该时间段内的平均 bps。

基点： 计算出的每包字节数：字节数/包数。 如果流量是
将此结果汇总为该时间段内的平均 bpp。

流量： 流数。 如果仅列出流，则此数字始终为 1。如果流是
聚合，这显示了一个记录的聚合流数。

大于 1'000'000 (1000*1000) 的数字缩放为 4 位数字和一位十进制数字
包括比例因子 M, G or T 为了更清洁的输出，例如 923.4 M

为了使输出更具可读性，IPv6 地址被缩减为 16 个字符。 这
用两个点连接的最多七位和最少七位数字 '..' 显示在任何正常
输出格式。 要显示完整的 IPv6 地址，请使用适当的长格式，即
是格式名称后跟 6.

示例： -o 线 将 IPv6 地址显示为 2001:23..80:d01e 格式在哪里 -o 6号线
全长显示 IPv6 地址 2001:234:aabb::211:24ff:fe80:d01e。 该
的组合 -o 线 -6 相当于 -o 6号线.

输出格式 文件： 允许您定义自己的输出格式。 一种格式
描述 格式 由包含任意字符串和格式的单行组成
说明符如下所述

% 插入预定义 格式 在这个位置。 例如 ％线
％ts 开始时间 - 首次出现
％te 结束时间 - 最后一次出现
％tr 收集器接收到流的时间
％td 时间长度
%pr 协议
%exp 出口商编号
%工程 发动机类型/ID
%s 源地址
%da 目的地址
％树液 源地址：端口
%dap 目的地址：港口
%sp 源端口
%dp 目的端口
%sn 源网络，应用了掩码
%dn 目标网络，已应用掩码
%nh 下一跳 IP 地址
%nhb BGP 下一跳 IP 地址
%r 路由器 IP 地址
%sas 源AS
%das 目标AS
%nas 下一个 AS
%通过 以前的AS
％在 输入接口编号
％出去 输出接口数
%包 数据包 - 默认输入
%ipkt 输入包
%选择 输出数据包
% 字节 字节 - 默认输入
%ibyte 输入字节
% 字节 输出字节
%f 流动
%标志 TCP 标志
%tos Tos - 默认 src
%stos 源代码
%dtos 日期托斯
%目录 方向：入口，出口
%smk 源掩码
%dmk Dst 掩码
%转发 转发状态
%svn src vlan 标签
%dvn Dst vlan 标签
%ismc 输入源 Mac 地址
%odmc 输出 Dst Mac 地址
%idmc 输入 Dst Mac 地址
%osmc 输出 Src Mac 地址
%mpls1 MPLS 标签 1
%mpls2 MPLS 标签 2
%mpls3 MPLS 标签 3
%mpls4 MPLS 标签 4
%mpls5 MPLS 标签 5
%mpls6 MPLS 标签 6
%mpls7 MPLS 标签 7
%mpls8 MPLS 标签 8
%mpls9 MPLS 标签 9
%mpls10 MPLS 标签 10
%mpls MPLS 标签 1-10
%bps bps - 每秒位数
%个数 pps - 每秒数据包数
%bpp bps - 每个包的字节数

NSEL 特定格式
%nfc NSEL 连接 ID
%事件 NSEL事件
%xvt NSEL 扩展事件
%毫秒 NSEL 事件时间（以毫秒为单位）
%iacl NSEL 入口 ACL
%ecl NSEL 出口 ACL
%xsa NSEL XLATE src IP 地址
%xda NSEL XLATE dst IP 地址
%xsp NSEL XLATE src 端口
%xdp NSEL SLATE dst 端口
%xsap Xlate源地址：端口
%xdap Xlate 目的地址：端口
%uname NSEL 用户名

NEL/NAT 特定格式
%新 NAT 事件 - 与 %evt 相同
%ivrf NAT 入口 VRF ID
%evrf NAT 出口 VRF ID
%nsa NAT 源 IP 地址
%nda NAT dst IP 地址
%nsp NAT 源端口
%ndp NAT dst 端口
%pb开始 NAT 池块启动
%p 弯曲 NAT 池块结束
%pb步 NAT池块步骤
%pb大小 NAT 池块大小

Nprobe 格式
%cl 客户端延迟
%sl 服务器延迟
%al 应用延迟

示例：标准输出格式 长 可以创建为
-o "fmt:%ts ％td %pr ％树液 -> %dap %标志 %tos %包 % 字节 %f"

您还可以定义自己的输出格式并将其编译到 nfdump 中。 参见 nfdump.c
部分 输出 格式 ，了解更多详情。

这款 CSV 输出格式旨在由另一个程序读取以进行进一步处理。 作为
一个例子，参见 parse_csv.pl Perl 程序。 cvs 输出格式由一个或
更多的输出块和一个汇总块。 每个输出块都以一个 cvs 索引行开始
紧接着是 cvs 记录行。 索引行描述了顺序，每行如何
记录组成。

示例：
索引线：ts,te,td,sa,da,sp,dp,pr,...
Record line: 2004-07-11 10:30:00,2004-07-11 10:30:10,10.010,...

所有记录均采用 ASCII 可读格式。 数字没有缩放，所以每一行都可以很容易地
解析。

nfdump 1.6 中使用的索引：

ts,te,td 时间记录：t-start、t-end、duration
sa,da src dst 地址 sp,dp src, dst 端口
pr 协议 PF_INET 或 PF_INET6
标志 TCP 标志：
000001 FIN。
000010同步
000100重设
001000亿推
010000 确认
100000 紧急
例如 6 => SYN + RESET
前向转发状态
stos 源码
ipkt,ibyt 输入数据包/字节
opkt,obyt 输出数据包，字节
in,out 输入/输出接口 SNMP 编号
sas、das src、dst AS
smk,dmk src, dst 掩码
dtos dst tos
方向
nh,nhb nethop IP 地址，bgp 下一跳 IP
svln、dvln src、dst vlan id
ismc,odmc 输入 src，输出 dst MAC
idmc,osmc 输入 dst，输出 src MAC
mpls1,mpls2 MPLS 标签 1-10
mpls3,mpls4
mpls5,mpls6
mpls7,mpls8
mpls9,mpls10
ra路由器IP
eng 路由器引擎类型/ID

有关更多详细信息，请参阅 parse_csv.pl。

FILTER

过滤器语法类似于 tcpdump 使用的众所周知的 pcap 库。 过滤器
可以在命令行中的所有选项之后指定，也可以在单独的文件中指定。 它
可以跨越几行。 '#' 之后的任何内容都被视为注释并被忽略
队伍的尽头。 过滤器表达式的长度几乎没有限制。 全部
关键字与大小写无关。

任何过滤器都由一个或多个表达式组成 表达式. 任意数量 表达式 可以链接
一起：

表达式 和 表达式, 表达式 or 表达式， 而不去 expr 和 ( 表达式 ).

表达式 可以是以下过滤器原语之一：

包括
@包括
包括内容 进入过滤器。

ip 版本
INET or ipv4 用于 IPv4
网络6 or ipv6 用于 IPv6

协议
原
原
哪里 是已知的协议，例如 TCP, UDP, 国际会议, icmp6, GRE, ESP, ah等等。
或有效的协议编号： 6, 17 等等

IP 地址
[来源|目的地] ip
[来源|目的地] 主持人
- 作为任何有效的 IPv4、IPv6 地址或完全限定的主机名。 如果
对于主机名，IP 地址在 DNS 中查找。 如果多个 IP 地址
找到后，所有 IP 地址都链接在一起。 (IP1 or ip2 or ip3 ... )

要检查 IP 地址是否在已知 IP 列表中，请使用
[来源|目的地] ip in [ ]
[来源|目的地] 主持人 in [ ]
是空格或逗号分隔的个人列表 或完全合格
主机名，在 DNS 中查找。 如果找到多个 IP 地址，则所有
IP 地址被放入列表中。

[来源|目的地]
IP 地址、网络、端口、AS 号等可以通过使用
方向限定符，例如 src 或 DST. 它们也可以与
和 和 or. 如 SRC 和 DST ip ...

网络
[来源|目的地] 净 A B C D 微信公众号
选择 IPv4 网络 A B C D 用网络掩码 微信公众号.

[来源|目的地] 净 /
- 作为有效的 IPv4 或 IPv6 网络，并且 作为掩码。 口罩数量
位必须与 IPv4 或 IPv6 中的适当地址族匹配。 网络可能是
如果它们是明确的，则缩写为 172.16/16。

港口
[来源|目的地] 端口 [补偿]
- 作为任何有效的端口号。 如果 补偿 省略，
'=' 是假设的。 补偿 下面更详细地解释。
[来源|目的地] 端口 in [ ]
可以将端口与已知列表进行比较，其中 是一个空格分隔的列表
单个端口号。

ICMP
icmp 类型
icmp 代码
- 作为有效的 icmp 类型/代码。 这自动暗示 原 国际会议.

路由器 ID
发动机类型
引擎 ID
系统ID
- 作为有效的路由器引擎类型/ID 或导出器 ID(0..255)。

接口
[进|出] if
选择输入或输出或任一接口 ID，使用 NUM 作为 SNMP 接口号。
示例： in if 3

AS 数字
[src|dst|上一个|下一个] as [补偿]
选择源、目标、上一个、下一个或任何 AS 编号 任何有效的
数字。 支持 32 位 AS 编号。 如果 补偿 省略，假定为 '='。 补偿 is
下面更详细地解释。

[src|dst|上一个|下一个] as in [ ]
可以将 AS 编号与已知列表进行比较，其中 是空格或逗号
单独的 AS 编号列表。

字首 面膜 位
[来源|目的地] 面膜
- 作为任何有效的前缀掩码位值。

弗兰 标签
[来源|目的地] VLAN
- 作为任何有效的 vlan 标签。

旗
标志
- 作为以下组合：
一个确认。
同步。
F 鳍。
R 重置。
P 推。
紧急。
X 所有标志都打开。
标志的顺序无关紧要。 未提及的标志被视为无关紧要。
为了获得那些只设置了 SYN 标志的流，请使用语法 '标志 S 和 而不去
标志 非洲工业联合会'.

点击下一页 跳 IP
下页 ip
- 作为下一跳路由器的 IPv4/IPv6 IP 地址。

下一跳 路由器的 IP in 此 BGP 域
下一个 ip
- 作为 BGP 域中 IPv4/IPv6 下一跳路由器的 IP。 ( v9 #18 )

路由器 IP
路由器 ip
根据出口路由器的 IP 地址过滤流。

苹果电脑 地址
[输入输出源目标] MAC
通过 任何有效的 MAC 地址。 MAC 可以使用 any 更具体地指定
由 CISCO v9 定义的方向说明符的组合。 in SRC, in DST, 输出 SRC,
输出 DST.

MPLS协议 标签
聚光灯 标签 [补偿]
通过 作为任何 mpls 标签编号 1..10。 过滤完全指定的标签.
聚光灯 EOS [补偿]
过滤给定值的栈尾标签 .
聚光灯 经验值 [补偿]
过滤标签的实验位 - 0..7。

包
包 [补偿] [规模]
过滤具有特定数据包计数的网络流记录。
示例： 包 > 1k

字节
字节 [补偿] [规模]
过滤具有特定字节数的网络流记录。
示例： 字节 46 过滤所有空的 IPv4 数据包

汇总 流动
流动 [补偿] [规模]
过滤具有特定数量聚合流的网络流记录。

类型 of 服务 （TOS）
[来源目的地] 咳嗽
通过 0..255。 为了与 nfump 1.5.x 兼容： 咳嗽 相当于
SRC 咳嗽

包 为 第二： 计算 计算值。
PPS [补偿] NUM [规模]
过滤每秒具有特定数据包的流。

学制： 计算 折扣值
为期 [补偿] NUM
过滤具有特定持续时间（以毫秒为单位）的流。

位 为 第二： 计算 计算值。
BPS [补偿] NUM [规模]
过滤每秒具有特定字节数的流。

字节 为 包： 计算 计算值。
苯丙氨酸 [补偿] NUM [规模]
过滤每个数据包具有特定字节的流。

规模 比例因子。 也许 k m g. 因子是 1000

补偿 支持以下比较器：
=, ==， >, <, 情商， LT， GT . If 补偿 省略，假定为 '='。

NSEL/ASA 具体的 筛选器：

NSEL/ASA 创建
所以 活动
所以 活动 [补偿]
按名称或编号选择 NSEL/ASA 事件。 如果以数字形式给出，则可以与
数

NSEL/ASA 否认 原因
所以 活动 否认
按类型选择 NSEL/ASA 拒绝事件

NSEL/ASA 扩展 事件
所以 事件 [补偿]
按编号选择扩展的 NSELL ASA 事件，或可选择按编号进行比较。

X-后期 IP 地址 和 港口
[来源|目的地] ip
选择 此 翻译 IP 地址

[来源|目的地] 网络 /
- 作为有效的已转换 IPv4 或 IPv6 网络和 作为掩码。 这
掩码位数必须与 IPv4 或 IPv6 中的适当地址族相匹配。
如果网络没有歧义，则可以缩写为 172.16/16。

[来源|目的地] 端口
选择翻译的端口

NSEL/ASA 入口/出口
进入 [补偿] 数
选择/比较 an 进入 ACL

出口 ACL [补偿]
选择/比较出口 ACL

IN 具体的 NAT 筛选器：

NAT 创建
NAT 活动
NAT 活动 [补偿]
按名称或编号选择 NEL NAT 事件。 如果以数字形式给出，则可以与
数

IN NAT ip 地址 和 港口
[来源|目的地] 掐
选择 此 NAT IP 地址

[来源|目的地] 端口
选择 此 NAT 端口

IN NAT VRF
进入 VRF 选择 VRF

示例

转储 -r /和/目录/nfcapd.201107110845 -c 100 '原型 TCP 和 ( SRC ip 172.16.17.18 or DST
ip 172.16.17.19 )' 转储与给定过滤器匹配的前 100 条 netflow 记录：

转储 -r /和/目录/nfcapd.201107110845 -B 将匹配流映射为双向单流
流。

转储 -R /和/目录/nfcapd.201107110845:nfcapd.200407110945 '主持人 192.168.1.2“ 全部转储
192.168.1.2 月 11 日 08:45 - 09:45 主机 XNUMX 的网络流量记录

转储 -M /到/和/dir1:dir2 -R nfcapd.200407110845:nfcapd.200407110945 -s 记录 -n 20
从 20:08 到 45:09 从 45 个来源生成前 3 位统计数据

转储 -r /和/目录/nfcapd.201107110845 -s 记录 -n 20 -o 扩展 生成前 20 名
统计，扩展输出格式

转储 -r /和/目录/nfcapd.201107110845 -s 记录 -n 20 '的 if 5 和 BPS > 10k' 生成
来自接口 20 的流量的前 5 个统计信息

转储 -r /和/目录/nfcapd.201107110845 'inet6 和 原 TCP 和 ( SRC 端口 > 1024 和 DST
端口 80 ) 将所有端口 80 IPv6 连接转储到任何 Web 服务器。

附注

为几百 MB 的数据文件生成统计信息是没有问题的。 然而是
如果要创建几 GB 数据的统计信息，请小心。 这可能会消耗很多
内存，可能需要一段时间。 流匿名化已进入 nfanon。

使用 onworks.net 服务在线使用 nfdump