Este es el comando nfdump que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
nfdump - programa de visualización y análisis de netflow
SINOPSIS
nfdump [opciones] [filtrar]
DESCRIPCIÓN
nfdump es el programa de visualización y análisis de netflow del conjunto de herramientas nfdump. Lee el
netflow datos de archivos almacenados por nfcapd y procesa los flujos de acuerdo con las opciones
dado. La sintaxis del filtro es comparable a tcpdump y extendida para datos de netflow. Nfdump
También puede mostrar muchas estadísticas diferentes de elementos de flujo y flujo de N superior.
OPCIONES
-r fichero de entrada
Leer datos de entrada de fichero de entrada. El valor predeterminado se lee desde stdin.
-R expr
Leer la entrada de una secuencia de archivos en el mismo directorio. expr puede ser uno de:
/alguna/dir Leer recursivamente todos los archivos en el directorio dir.
/ dir /presentar Leer todos los archivos que comienzan con presentar.
/ dir /archivo1: archivo2 Leer todos los archivos de file1 a file2.
Cuando se usa en combinación con una subjerarquía:
/ dir /sub1/sub2/file1:sub3/sub4/file2
Leer todos los archivos de sub1 / sub2 / file1 sub3 / sub4 / file2 iterando sobre todo lo requerido
niveles de jerarquía.
Nota: los archivos se leen en secuencia alfabética.
-M expr
Leer la entrada de varios directorios. expr parece: / cualquier / ruta / a / dir1: dir2: dir3 etc.
y se expandirá a los directorios: / cualquier / ruta / a / dir1, / cualquier / ruta / a / dir2 y
/ cualquier / ruta / a / dir3 Se puede proporcionar cualquier número de directorios separados por dos puntos. Los archivos a
read se especifican mediante -ro -R y se espera que existan en todos los directorios dados.
Las opciones -r y -R no deben contener ninguna parte de directorio cuando se usan junto con
-METRO.
-m Ordene los registros de netflow según la fecha en que se vio por primera vez. Esta opción suele ser solo
útil junto con -M, cuando los registros de netflow se leen de diferentes fuentes,
que no están necesariamente ordenados.
-w archivo de salida
Si se especifica, escribe registros de netflow binarios en archivo de salida listo para ser procesado nuevamente
con nfdump. La salida predeterminada es ASCII en stdout. En combinación con las opciones -m, -a,
-by -B escriben caché de flujo agregado y / o ordenado en formato binario en el disco.
-f archivo de filtro
Lee la sintaxis del filtro de archivo de filtro. Nota: Cualquier filtro especificado directamente en el
la línea de comando tiene prioridad sobre -f.
-t ganar tiempo
El proceso solo fluye, que cae en la ventana de tiempo ganar tiempo, donde el ganar tiempo is
AAAA / MM / dd.hh: mm: ss [-YYYY / MM / dd.hh: mm: ss]. Se puede omitir cualquier parte de la especificación de tiempo.
Por ejemplo, AAAA / MM / dd se expande a AAAA / MM / dd.00: 00: 00-infinito y procesa todo el flujo de un
día dado en adelante. La ventana de tiempo también se puede especificar como +/- n. En este caso lo es
relativ al principio o al final de todos los flujos. +10 significa los primeros 10 segundos de todos
flujos, -10 significa los últimos 10 segundos de todos los flujos.
-c número
Limite el número de registros a procesar al primero número flujos.
-a Datos agregados de netflow. Implica automáticamente -a. La agregación se realiza en la conexión
nivel tomando el protocolo de 5 tuplas, srcip, dstip, srcport y dstport.
-A agregación
Similar a Flexible Netflow (FNF), los registros de Netflow se pueden agregar por cualquier número de
dados los campos v9. agregación es una lista separada por "," de etiquetas reconocidas del
Lista de seguidores:
protocolo IP proto
srcip Dirección IP de origen
dstip Dirección IP de destino
srcip4 / net IPv4 dirección IP de origen con máscara de red aplicada
srcip6 / net IPv6 dirección IP de origen con máscara de red aplicada
dstip4 / net IPv4 dirección IP de destino con máscara de red aplicada
dstip6 / net IPv6 dirección IP de destino con máscara de red aplicada
srcnet Aplicar netmask srcmask en el registro de netflow para la IP de origen
dstnet Aplicar máscara de red dstmask en el registro de flujo de red para la IP de destino
srcport Puerto de origen
dstport Puerto de destino
srcmask Máscara de origen
dstmask Máscara de destino
srcvlan Fuente vlan etiqueta
dstvlan Etiqueta de vlan de destino
srcas Fuente AS número
dstas Número de AS de destino
nextas BGP Siguiente AS
prevas BGP Anterior AS
inif Número de interfaz de entrada SNMP
outif Número de interfaz de salida SNMP
siguiente IP siguiente salto
bgpnext BGP siguiente salto
insrcmac En la dirección MAC de origen
outdstmac out dirección MAC de destino
indstmac En la dirección MAC de destino
outsrcmac Dirección MAC de origen de salida
tos Fuente tipo de servicio
srctos Fuente tipo de servicio
dsttos Tipo de servicio de destino
mpls1 MPLS etiqueta 1
mpls2 MPLS etiqueta 2
mpls3 MPLS etiqueta 3
mpls4 MPLS etiqueta 4
mpls5 MPLS etiqueta 5
mpls6 MPLS etiqueta 6
mpls7 MPLS etiqueta 7
mpls8 MPLS etiqueta 8
mpls9 MPLS etiqueta 9
mpls10 MPLS etiqueta 10
enrutador Exportando IP del enrutador
nfdump compila automáticamente un formato de salida apropiado para la agregación seleccionada
a menos que se proporcione un formato de salida explícito. El formato de salida automático es idéntico al
-o 'fmt:% ts % td % paquete % byt % bps % bpp %Florida' dónde representa el
etiquetas de agregación seleccionadas.
Ejemplo:
-A proto, srcip, dstport
-A srcas, dstas
-b Agregue los registros de flujo neto como flujos bidireccionales. Implica automáticamente -a.
La agregación se realiza a nivel de conexión tomando el protocolo de 5 tuplas, srcip, dstip,
srcport y dstport, o en orden inverso para el flujo de conexión correspondiente. Aporte
y los paquetes / bytes de salida se cuentan y se informan por separado. Ambos flujos se fusionan en
un solo registro. Se selecciona automáticamente un formato de salida apropiado, que puede
sobrescrito por cualquier opción de formato -o.
-B Como -b pero cambia automáticamente los flujos, de modo que el puerto src es> 1024 y el puerto dst es
1024 ya que a algunos exportadores no les importa enviar los flujos en el orden correcto. Se considera
para ser una opción conveniente. Si el puerto src y dst son> 1024 o <1024, los flujos son
tomado como está.
-I Imprime estadísticas de flujo desde el archivo especificado por -r, o el intervalo de tiempo especificado por -R / -M.
-D dns
Establezca dns como servidor de nombres para buscar nombres de host.
-s estadística [: p] [/ orderby]
Genere la estadística de flujo o elemento de flujo Top N. estadística puede ser:
record Estadística sobre registros de netflow atrasados.
srcip Estadística sobre direcciones IP de origen
dstip Estadística sobre direcciones IP de destino
ip Estadística sobre cualquier dirección IP (de origen o de destino)
nhip Estadística sobre las direcciones IP del siguiente salto
Estadística nhbip sobre direcciones IP de siguiente salto de BGP
Estadísticas del enrutador sobre la exportación de la dirección IP del enrutador
srcport Estadística sobre puertos de origen
Estadística dstport sobre puertos de destino
Port Estadística sobre cualquier puerto (de origen o de destino)
tos Estadística sobre el tipo de servicio - src predeterminado
srctos Estadística sobre el tipo de servicio src
dsttos Estadística sobre el tipo de servicio dst
dir Estadística sobre la entrada / salida de direcciones de flujo
srcas Estadística sobre números de AS fuente
Estadística dstas sobre números de destino AS
como Estadística sobre cualquier número AS (origen o destino)
inif Estadística sobre la interfaz de entrada
outif Estadística sobre la interfaz de salida
si estadística sobre cualquier interfaz
srcmask Estadística sobre la máscara src
dstmask Estadística sobre la máscara dst
srcvlan Estadística sobre la etiqueta src vlan
Estadística dstvlan sobre la etiqueta dst vlan
vlan Estadística sobre cualquier etiqueta vlan
Insrcmac Estadística sobre la dirección MAC del src de entrada
outdstmac Estadística sobre la dirección MAC de salida dst
indstmac Estadística sobre la dirección MAC dst de entrada
outsrcmac Estadística sobre la dirección MAC del src de salida
srcmac Estadística sobre cualquier dirección MAC src
Estadística dstmac sobre cualquier dirección MAC dst
inmac Estadística sobre cualquier dirección MAC de entrada
outmac Estadística sobre cualquier dirección MAC de salida
máscara Estadística sobre cualquier máscara
proto Estadística sobre protocolos IP
mpls1 Estadística sobre la etiqueta MPLS 1
mpls2 Estadística sobre la etiqueta MPLS 2
mpls3 Estadística sobre la etiqueta MPLS 3
mpls4 Estadística sobre la etiqueta MPLS 4
mpls5 Estadística sobre la etiqueta MPLS 5
mpls6 Estadística sobre la etiqueta MPLS 6
mpls7 Estadística sobre la etiqueta MPLS 7
mpls8 Estadística sobre la etiqueta MPLS 8
mpls9 Estadística sobre la etiqueta MPLS 9
mpls10 Estadística sobre la etiqueta MPLS 10
sysid Internal SysID del exportador
Estadísticas de NSEL / ASA
evento Evento NSEL / ASA
xevent evento extendido NSEL / ASA
xsrcip NSEL / ASA dirección IP src traducida
puerto src traducido xsrcport NSEL / ASA
xdstip Dirección IP dst traducida NSEL / ASA
xdstport Puerto dst traducido NSEL / ASA
IACL de entrada de NSEL / ASA
iace NSEL / ASA ingreso ACE
ixace NSEL / ASA entrada xACE
eacl NSEL / ASA salida ACL
eace NSEL / ASA egreso ACE
exace NSEL / ASA egreso xACE
Estadísticas de NAT
evento NAT nevent
vrf / ivrf entrada NAT vrf
evrf vrf de salida de NAT
nsrcip NAT src dirección IP
puerto nsrcport NAT src
ndstip NAT dst dirección IP
puerto dst NAT ndstport
Añadiendo :p al nombre de la estadística, la estadística resultante se divide en transporte
protocolos de capa. El valor predeterminado son las estadísticas independientes del protocolo de transporte.
orderby es opcional y especifica el orden en el que se ordenan las estadísticas y puede
be flujos, paquetes, bytes, pps, bps or bpp. Puede especificar más de uno orderby lo cual
da como resultado la misma estadística pero ordenada de manera diferente. Si no orderby es dado,
las estadísticas están ordenadas por flujos. Puede especificar tantas estadísticas de elementos de flujo -s como
la línea de comando para la misma ejecución.
Ejemplo:
-s srcip -s ip / flujos -s dstport / pps / paquetes / bytes -s registro / bytes
-O orderby
Especifica el valor predeterminado orderby para estadísticas de elementos de flujo -s, que se aplica cuando no
orderby se da en -s. orderby puede ser flujos, paquetes, bytes, pps, bps or bpp. valores predeterminados
a flujos.
-l [+/-] núm_paquete
Limite la salida de estadísticas a aquellos registros por encima o por debajo del número_paquete límite.
número_paquete acepta números positivos o negativos seguidos de 'K', 'M' o 'G' 10E3, 10E6
o flujos 10E9 respectivamente. Véase también la nota en -L
-L [+/-] byte_num
Limite la salida de estadísticas a aquellos registros por encima o por debajo del núm_byte límite. núm_byte
acepta números positivos o negativos seguidos de 'K', 'M' o 'G' 10E3, 10E6 o 10E9
bytes respectivamente. Nota: Estos límites solo se aplican a las estadísticas y agregados
salidas generadas con -a -s. Para filtrar los registros de netflow por paquetes y bytes, use el
filtrar la sintaxis 'paquetes' y 'bytes' que se describen a continuación.
-n número
Defina el número de las N principales estadísticas. El valor predeterminado es 10. Si se especifica 0, el
el número es ilimitado.
-o formato
Selecciona el formato de salida para imprimir flujos o estadísticas de registro de flujo (registro -s). los
los siguientes formatos están disponibles:
raw Imprime cada registro de flujo de archivo en varias líneas.
línea Imprime cada flujo en una línea. Formato predeterminado.
largo Imprime cada flujo en una línea con más detalles
biline Igual que la línea, pero para flujos bidir
bilong Igual que long, pero para flujos bidir
extendido Imprima cada flujo en una línea con aún más detalles.
nsel Imprima cada evento NSEL en una línea. Predeterminado si NSEL / ASA está habilitado.
nel Imprima cada evento NAT en una línea. Predeterminado si NEL está habilitado.
csv Salida separada por comas para procesamiento legible por máquina.
pipe Formato legible por máquina heredado: campos '|' apartado.
fmt:formato Formato de salida definido por el usuario.
Para cada formato de salida definido excepto -o fmt: un formato de salida largo IPv6
existe. línea6, long6 y extendido6. Vea salida formatos a continuación para más información.
-q Suprima la línea del encabezado y las estadísticas en la parte inferior.
-N Imprima números sin formato en la salida. Más fácil para el análisis posterior.
-i ident
Cambie la etiqueta de identificación en el archivo, especificada por -r a ident
-v presentar
Verificar presentar. Imprime la versión del archivo de datos, el número de bloques y el estado de la compresión.
-E presentar
Imprimir lista de exportadores / muestreadores que se encuentra en presentar. En el caso de un archivo recopilador nfcapd, un
Se imprimen estadísticas adicionales por exportador con el número de flujos, paquetes y
errores de secuencia.
-x presentar
Escanee e imprima mapas de extensión ubicados en el archivo de archivo
-z Comprimir flujos. Utilice la compresión LZO1X-1 rápida en el archivo de salida.
-j presentar
Comprimir / descomprimir un archivo determinado. Si el archivo está comprimido, descomprímelo y viceversa.
versa.
-Z Compruebe la sintaxis del filtro y salga. Establece el valor de retorno en consecuencia.
-X Compila la sintaxis del archivador y vuelca la tabla del motor de filtrado a la salida estándar. Esto es para
solo con fines de depuración.
-V Imprima la versión de nfdump y salga.
-h Imprima el texto de ayuda en la salida estándar con todas las opciones y salga.
DEVOLUCION VALOR
Returns
0 Sin error.
255 Error de inicialización.
254 Error en la sintaxis del filtro.
250 Error interno.
SALIDA FORMATOS
El formato de salida crudo imprime cada registro de flujo en varias líneas, incluida toda la información
disponible en el registro. Ésta es la vista más detallada de un flujo.
Otros formatos de salida imprimen cada flujo en una sola línea. Los formatos de salida predefinidos son línea,
long y extendido El formato de salida línea es el formato de salida predeterminado cuando no hay ningún formato
especificado. Limita la información a los detalles de la conexión, así como al número de
paquetes, bytes y flujos.
El formato de salida long es idéntico al formato línea, e incluye adicionales
información como las banderas de TCP y el tipo de servicio.
El formato de salida extendido es idéntico al formato long, e incluye adicionales
información calculada como pps, bps y bpp.
Campos:
Fecha de tus señales comienzo: Flujo de hora de inicio visto por primera vez. Formato ISO 8601 que incluye milisegundos.
Duración: Duración del flujo en segundos y milisegundos. Si los flujos se agregan,
duración es el lapso de tiempo durante todo el período de tiempo desde que se vio por primera vez hasta que se vio por última vez.
Por lo tanto: Protocolo utilizado en la conexión.
Src IP Dirección: Puerto: Dirección IP de origen y puerto de origen.
Horario de verano IP Dirección: Puerto: Dirección IP de destino y puerto de destino. En caso de ICMP, puerto
se decodifica como type.code.
Banderas Indicadores de TCP en OR de la conexión.
Tos: Tipo de servicio.
Paquetes: El número de paquetes en este flujo. Si los flujos se agregan, los paquetes se
resumió.
bytes: El número de bytes en este flujo. Si los flujos se agregan, los bytes se suman
arriba.
pp: Los paquetes calculados por segundo: número de paquetes / duración. Si los flujos son
agregado, esto da como resultado el promedio de pps durante este período de tiempo.
bps: Los bits calculados por segundo: 8 * número de bytes / duración. Si los flujos son
agregado, esto da como resultado el promedio de puntos básicos durante este período de tiempo.
Bpp: Los bytes calculados por paquete: número de bytes / número de paquetes. Si los flujos son
agregado esto da como resultado el promedio de pb durante este período de tiempo.
Flujos: Número de caudales. Si los flujos se enumeran solamente, este número siempre es 1. Si los flujos son
agregado, esto muestra el número de flujos agregados a un registro.
Los números mayores a 1'000'000 (1000 * 1000), se escalan a 4 dígitos y un dígito decimal
incluido el factor de escala M, G or T para una salida más limpia, p. ej. 923.4 M
Para que la salida sea más legible, las direcciones IPv6 se reducen a 16 caracteres. los
siete dígitos más y siete menos conectados con dos puntos '..' se muestran en cualquier normal
formatos de salida. Para mostrar la dirección IPv6 completa, utilice el formato largo apropiado, que
es el nombre del formato seguido de un 6.
Ejemplo: -o línea muestra una dirección IPv6 como 2001: 23..80: d01e donde como el formato -o line6
muestra la dirección IPv6 en toda su longitud 2001:234:aabb::211:24ff:fe80:d01e.
combinación de -o línea -6 es equivalente a -o line6.
El formato de salida fmt: le permite definir su propio formato de salida. Un formato
description formato consta de una sola línea que contiene cadenas arbitrarias y formato
especificador como se describe a continuación
% Inserta el predefinido formato en esta posición. p.ej %línea
% ts Hora de inicio: vista por primera vez
% te Hora de finalización: visto por última vez
% tr Hora a la que el recolector recibió el flujo
% td Duración
% pr Protocolo
%Exp ID de exportador
% eng Tipo de motor / ID
% sa Dirección de la fuente
% da Dirección de destino
%savia Dirección de origen: Puerto
%salto Dirección de destino: Puerto
% sp Puerto de origen
% dp Puerto de destino
% sn Red de origen, máscara aplicada
% dn Red de destino, máscara aplicada
%Nueva Hampshire Dirección IP del siguiente salto
% nhb Dirección IP del siguiente salto de BGP
%real academia de bellas artes Dirección IP del enrutador
% sas Fuente AS
% das Destino AS
% nas Siguiente AS
% pas AS anterior
%en Interfaz de entrada num
%fuera Interfaz de salida núm
% paquete Paquetes: entrada predeterminada
% ipkt Paquetes de entrada
% opkt Paquetes de salida
% byt Bytes: entrada predeterminada
% ibyt Bytes de entrada
% obyt Bytes de salida
%Florida Flujos
% flg Banderas de TCP
% tos Tos - src predeterminado
% stos TOS de origen
% dtos horario de verano
% dir Dirección: ingreso, egreso
% smk Máscara src
% dmk Máscara Dst
% fwd Estado de reenvío
% svln Etiqueta src vlan
% dvln Etiqueta dst vlan
% ismc Ingrese Src Mac Addr
% odmc Salida Dst Mac Addr
% idmc Ingrese Dst Mac Addr
% osmc Salida Src Mac Addr
% mpls1 Etiqueta MPLS 1
% mpls2 Etiqueta MPLS 2
% mpls3 Etiqueta MPLS 3
% mpls4 Etiqueta MPLS 4
% mpls5 Etiqueta MPLS 5
% mpls6 Etiqueta MPLS 6
% mpls7 Etiqueta MPLS 7
% mpls8 Etiqueta MPLS 8
% mpls9 Etiqueta MPLS 9
% mpls10 Etiqueta MPLS 10
% mpls Etiquetas MPLS 1-10
% bps bps - bits por segundo
% pps pps - paquetes por segundo
% bpp bps: bytes por paquete
Formatos específicos de NSEL
% nfc ID de conexión NSEL
% evt Evento NSEL
% xevt Evento extendido de NSEL
% mseg Tiempo de evento NSEL en mseg
% iacl ACL de entrada de NSEL
% eacl ACL de salida de NSEL
% xsa Dirección IP NSEL XLATE src
% xda NSEL XLATE dst dirección IP
% xsp Puerto NSEL XLATE src
% xdp Puerto NSEL SLATE dst
% xsap Dirección de origen de Xlate: Puerto
% xdap Dirección de destino de Xlate: Puerto
%tu nombre Nombre de usuario de NSEL
Formatos específicos de NEL / NAT
% nevt Evento NAT - igual que% evt
% ivrf ID de VRF de entrada de NAT
% evrf ID de VRF de salida de NAT
% nsa Dirección IP NAT src
% nda Dirección IP NAT dst
% nsp Puerto NAT src
% ndp Puerto dst NAT
% pbstart Inicio del bloque de grupo NAT
% pbend Extremo del bloque de la piscina NAT
% pbstep Paso de bloque de piscina NAT
% pbsize Tamaño del bloque de la agrupación NAT
Formatos nprobe
% cl Latencia del cliente
% sl Latencia del servidor
%Alabama Latencia de la aplicación
Ejemplo: el formato de salida estándar long se puede crear como
-o "fmt:% ts % td % pr %savia -> %salto % flg % tos % paquete % byt %Florida"
También puede definir su propio formato de salida y compilarlo en nfdump. Ver nfdump.c
. Salida Formatos para obtener más información.
La característica csv El formato de salida está destinado a ser leído por otro programa para su posterior procesamiento. Como
un ejemplo, vea el programa Perl parse_csv.pl. El formato de salida cvs consta de uno o
más bloques de salida y un bloque de resumen. Cada bloque de salida comienza con una línea de índice cvs
seguido de las líneas de registro cvs. Las lneas de ndice describen el orden, cmo cada siguiente
El registro está compuesto.
Ejemplo:
Línea de índice: ts, te, td, sa, da, sp, dp, pr, ...
Record line: 2004-07-11 10:30:00,2004-07-11 10:30:10,10.010,...
Todos los registros están en formato legible ASCII. Los números no se escalan, por lo que cada línea se puede
analizado.
Índices utilizados en nfdump 1.6:
ts, te, td registros de tiempo: t-start, t-end, duration
sa, da src dirección dst sp, dp src, puerto dst
pr protocolo PF_INET o PF_INET6
banderas de flg TCP:
000001 FINA.
000010 SYN
000100 RESTABLECER
001000 EMPUJE
010000 ACK
100000 URGENTE
por ejemplo, 6 => SYN + RESET
estado de reenvío de fwd
stos src tos
paquetes de entrada ipkt, ibyt / bytes
opkt, paquetes de salida obyt, bytes
entrada, salida interfaz de entrada / salida número SNMP
sas, das src, dst AS
smk, dmk src, máscara dst
dtos dst para
dirección dir
nh, dirección IP nhb nethop, IP del siguiente salto bgp
svln, dvln src, dst vlan id
ismc, odmc input src, salida dst MAC
idmc, osmc input dst, output src MAC
mpls1, mpls2 MPLS etiqueta 1-10
mpls3, mpls4
mpls5, mpls6
mpls7, mpls8
mpls9, mpls10
IP del enrutador ra
tipo / id del motor del enrutador eng
Consulte parse_csv.pl para obtener más detalles.
FILTRO
La sintaxis del filtro es similar a la conocida biblioteca pcap utilizada por tcpdump. El filtro
se puede especificar en la línea de comando después de todas las opciones o en un archivo separado. Eso
puede abarcar varias líneas. Cualquier cosa después de un '#' se trata como un comentario y se ignora
final de la línea. Prácticamente no hay límite en la longitud de la expresión de filtro. Todos
las palabras clave son independientes de las mayúsculas y minúsculas.
Cualquier filtro consta de una o más expresiones expr. Cualquier numero de expr se puede vincular
juntos:
expr y expr, expr or expr, No expr y ( expr ).
Expr puede ser una de las siguientes primitivas de filtro:
incluir
@incluir
incluir el contenido de en el filtro.
ip versión
inet or ipv4 para IPv4
inet6 or ipv6 para IPv6
protocolo
proto
proto
dónde es un protocolo conocido como tcp, udp, icmp, icmp6, gre, esp, ah, etc.
o un número de protocolo válido: 6, 17 etc.
IP de facturación
[src | dst] ip
[src | dst] host
con como cualquier dirección IPv4, IPv6 válida o un nombre de host calificado completo. En caso
de un nombre de host, la dirección IP se busca en DNS. Si hay más de una dirección IP
se encuentra, todas las direcciones IP están encadenadas. (ip1 or ip2 or ip3 ... )
Para comprobar si una dirección IP está en una lista de IP conocidas, utilice
[src | dst] ip in [ ]
[src | dst] host in [ ]
es una lista separada por espacios o comas de individuos o totalmente calificado
nombres de host, que se buscan en DNS. Si se encuentra más de una dirección IP, todas
Las direcciones IP se incluyen en la lista.
[src | dst]
Las direcciones IP, las redes, los puertos, el número de AS, etc.pueden seleccionarse específicamente utilizando un
calificador de dirección, como src o dst. También se pueden utilizar en combinación con
y y or. tal como src y dst ip ...
del sistema,
[src | dst] red a B C D señores
Seleccione la red IPv4 a B C D con máscara de red señores.
[src | dst] red /
con como una red IPv4 o IPv6 válida y como mascarillas. El número de máscara
Los bits deben coincidir con la familia de direcciones adecuada en IPv4 o IPv6. Las redes pueden ser
abreviados como 172.16 / 16 si no son ambiguos.
Puerto
[src | dst] Puerto [compensación]
con como cualquier número de puerto válido. Si comp se omite,
Se asume '='. comp se explica con más detalle a continuación.
[src | dst] Puerto in [ ]
Un puerto se puede comparar con una lista conocida, donde es una lista separada por espacios
de números de puerto individuales.
ICMP
tipo icmp
código icmp
con como un tipo / código icmp válido. Esto implica automáticamente proto icmp.
Router ID
tipo de motor
id-motor
id del sistema
con como un tipo / ID de motor de enrutador válido o ID de exportador (0..255).
Fácil de usar
[adentro | afuera] if
Seleccione entrada o salida o cualquier ID de interfaz, con número como el número de interfaz SNMP.
Ejemplo: in if 3
AS números
[src | dst | anterior | siguiente] as [compensación]
Selecciona fuente, destino, anterior, siguiente o cualquier número de AS con como cualquier valido como
número. Se admiten números AS de 32 bits. Si comp se omite, se asume '='. comp is
explicado con más detalle a continuación.
[src | dst | anterior | siguiente] as in [ ]
Un número AS se puede comparar con una lista conocida, donde es un espacio o una coma
lista separada de números AS individuales.
Prefijo máscara los bits
[src | dst] máscara
con como cualquier valor de bit de máscara de prefijo válido.
VLAN etiquetas
[src | dst] vlan
con como cualquier etiqueta vlan válida.
Banderas
banderas
con como una combinación de:
UN RECONOCIMIENTO.
S SIN.
F ALETA.
R Reiniciar.
P Empuje.
U Urgente.
X Todas las banderas encendidas.
El orden de las banderas no es relevante. Las banderas no mencionadas se tratan como indiferentes.
Para obtener esos flujos con solo el indicador SYN establecido, use la sintaxis 'banderas S y No
banderas AFRPU'.
Siguiente salto IP
Next ip
con como dirección IP IPv4 / IPv6 del enrutador del siguiente salto.
Siguiente salto enrutador IP in la BGP dominio
bgp siguiente ip
con como IP del enrutador de siguiente salto IPv4 / IPv6 en el dominio BGP. (v9 # 18)
Router IP
Router ip
Filtre los flujos según la dirección IP del enrutador exportador.
dirección MAC direcciones
[InOutSrcDst] Mac
Con cualquier dirección MAC válida. Mac puede ser más específico especificado mediante el uso de cualquier
combinación de un especificador de dirección según lo definido por CISCO v9. in src, in dst, out src,
out dst.
MPLS etiquetas
mpls etiqueta [compensación]
Con como cualquier etiqueta mpls número 1..10. Filtra la etiqueta exactamente especificada .
mpls eos [compensación]
Filtra la etiqueta de fin de pila para un valor dado .
mpls Exp [compensación]
Filtra trozos experimentales de etiqueta con 0..7.
Paquetes
paquetes [compensación] [escala]
Para filtrar los registros de netflow con un recuento de paquetes específico.
Ejemplo: paquetes > 1k
Bytes
bytes [compensación] [escala]
Para filtrar los registros de netflow con un recuento de bytes específico.
Ejemplo: bytes 46 filtra todos los paquetes IPv4 vacíos
Agregado flujos
flujos [compensación] [escala]
Para filtrar registros de flujo neto con un número específico de flujos agregados.
Tipo of Servicio (TOS)
[Origen Destino] tos
Con 0..255. Para compatibilidad con nfump 1.5.x: tos es equivalente a
src tos
Paquetes per segundo: Calculado .
pps [compensación] número [escala]
Para filtrar flujos con paquetes específicos por segundo.
Duración: Calculado valor
duración [compensación] número
Filtrar por flujos con duración específica en milisegundos.
Bits per segundo: Calculado .
bps [compensación] número [escala]
Para filtrar flujos con bytes específicos por segundo.
Bytes per paquete: Calculado .
bpp [compensación] número [escala]
Para filtrar flujos con bytes específicos por paquete.
escala factor de escala. Quizás k m g. El factor es 1000
comp Se admiten los siguientes comparadores:
=, ==, >, <, Ecualizador LT, GT . If comp se omite, se asume '='.
NSEL / ASA soluciones y filtros:
NSEL / ASA Eventos
tan evento
tan evento [compensación]
seleccione el evento NSEL / ASA por nombre o número. Si se da como número, se puede comparar con un
número
NSEL / ASA negado razón
tan evento negado
Seleccione un evento denegado NSEL / ASA por tipo
NSEL / ASA extendido eventos
tan xevento [compensación]
Seleccione un evento extendido de NSELL ASA por número o, opcionalmente, compare por un número.
X-tarde IP direcciones y puertos
[src | dst] xip
Seleccione la traducido IP de facturación
[src | dst] xnet /
con como una red IPv4 o IPv6 traducida válida y como mascarillas. los
El número de bits de máscara debe coincidir con la familia de direcciones adecuada en IPv4 o IPv6.
Las redes pueden abreviarse como 172.16 / 16 si no son ambiguas.
[src | dst] exportar
Seleccione el puerto traducido
NSEL / ASA ingreso egreso
preámbulo [compensación] número
Seleccionar / comparar an preámbulo ACL
salida ACL [compensación]
Seleccionar / comparar una ACL de salida
NEL soluciones y NAT filtros:
NAT Eventos
nat evento
nat evento [compensación]
seleccione el evento NEL NAT por nombre o número. Si se da como número, se puede comparar con un
número
NEL NAT ip direcciones y puertos
[src | dst] cortar
Seleccione la NAT IP de facturación
[src | dst] puerto
Seleccione la NAT Puerto
NEL NAT vrf
preámbulo vrf Seleccione el vrf
EJEMPLOS
nfdump -r /y/dir/nfcapd.201107110845 -c 100 'proto tcp y ( src ip 172.16.17.18 or dst
ip 172.16.17.19 )' Vuelca los primeros 100 registros de flujo de red que coinciden con el filtro dado:
nfdump -r /y/dir/nfcapd.201107110845 -B Asignar flujos coincidentes como un solo bin-direccional
flujo.
nfdump -R /y/dir/nfcapd.201107110845:nfcapd.200407110945 'anfitrión 192.168.1.2 ' Vuelca todo
registros de netflow del host 192.168.1.2 desde el 11 de julio 08:45 - 09:45
nfdump -M / a / y / dir1: dir2 -R nfcapd.200407110845: nfcapd.200407110945 -s grabar -n 20
Genera las 20 estadísticas principales de las 08:45 a las 09:45 de 3 fuentes
nfdump -r /y/dir/nfcapd.201107110845 -s grabar -n 20 -o extendido Genera el Top 20
estadísticas, formato de salida extendido
nfdump -r /y/dir/nfcapd.201107110845 -s grabar -n 20 'en if 5 y bps > 10k ' genera
las 20 estadísticas principales de los flujos procedentes de la interfaz 5
nfdump -r /y/dir/nfcapd.201107110845 'inet6 y proto tcp y ( src Puerto > 1024 y dst
Puerto 80 ) Vuelca todas las conexiones IPv80 del puerto 6 a cualquier servidor web.
NOTAS
Generar estadísticas para archivos de datos de unos cientos de MB no es un problema. Sin embargo sea
tenga cuidado si desea crear estadísticas de varios GB de datos. Esto puede consumir mucho
memoria y puede tardar un poco. La anonimización del flujo se ha trasladado a nfanon.
Utilice nfdump en línea utilizando los servicios de onworks.net
