این دستور nfdump است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
nfdump - نمایش و تجزیه و تحلیل برنامه netflow
خلاصه
nfdump [گزینه ها] [فیلتر]
شرح
nfdump نمایش جریان شبکه و برنامه تجزیه و تحلیل مجموعه ابزار nfdump است. را می خواند
داده های netflow از فایل های ذخیره شده توسط nfcapd و پردازش جریان ها بر اساس گزینه ها
داده شده. نحو فیلتر قابل مقایسه با tcpdump است و برای داده های جریان شبکه گسترش یافته است. Nfdump
همچنین می تواند بسیاری از آمارهای مختلف جریان N و عنصر جریان را نمایش دهد.
OPTIONS
-r فایل ورودی
خواندن داده های ورودی از فایل ورودی. پیش فرض از stdin خوانده می شود.
-R صادرات
ورودی دنباله ای از فایل ها را در همان دایرکتوری بخوانید. صادرات ممکن است یکی از:
/هر کدام/دیر تمام فایلهای موجود در فهرست را به صورت بازگشتی بخوانید دیر.
/dir/پرونده خواندن همه فایل ها با شروع پرونده.
/dir/file1: file2 خواندن همه فایل ها از file1 به file2.
هنگام استفاده در ترکیب با یک زیر سلسله مراتب:
/dir/sub1/sub2/file1:sub3/sub4/file2
خواندن همه فایل ها از sub1/sub2/file1 sub3/sub4/file2 تکرار بیش از همه مورد نیاز
سطوح سلسله مراتبی
توجه: فایل ها به ترتیب حروف الفبا خوانده می شوند.
-M صادرات
خواندن ورودی از چندین فهرست صادرات به نظر می رسد: /any/path/to/dir1:dir2:dir3 و غیره.
و به دایرکتوری ها گسترش خواهد یافت: /any/path/to/dir1, /any/path/to/dir2 و
/any/path/to/dir3 ممکن است هر تعداد دایرکتوری جدا شده از کولون داده شود. فایل ها به
read با -r یا -R مشخص میشوند و انتظار میرود در همه فهرستهای داده شده وجود داشته باشند.
گزینه های -r و -R نباید حاوی هیچ بخش دایرکتوری در هنگام استفاده با آنها باشد
-م.
-m سوابق جریان شبکه را بر اساس تاریخی که اولین بار مشاهده کرده اید مرتب کنید. این گزینه معمولا فقط است
هنگامی که رکوردهای جریان شبکه از منابع مختلف خوانده می شوند، در رابطه با -M مفید است.
که لزوما مرتب نمی شوند.
-w فایل خروجی
اگر مشخص شده باشد، رکوردهای جریان شبکه دودویی را مینویسد فایل خروجی آماده برای پردازش مجدد
با nfdump خروجی پیش فرض ASCII در stdout است. در ترکیب با گزینه های -m، -a،
-b، و -B، حافظه پنهان جریان جمعآوری شده و/یا مرتبشده را در قالب باینری روی دیسک مینویسند.
-f فایل فیلتر
نحو فیلتر را از آن می خواند فایل فیلتر. توجه: هر فیلتری که مستقیماً روی آن مشخص شده است
خط فرمان بر -f ارجحیت دارد.
-t تایم وین
فرآیند فقط جریان دارد که در پنجره زمانی قرار می گیرد تایم وین، که در آن تایم وین is
YYYY/MM/dd.hh:mm:ss[-YYYY/MM/dd.hh:mm:ss]. هر بخش از مشخصات زمان ممکن است حذف شود
به عنوان مثال YYYY/MM/dd به YYYY/MM/dd.00:00:00-بی نهایت گسترش می یابد و همه جریان ها را از یک
روز داده شده به بعد پنجره زمانی نیز ممکن است به صورت +/- n مشخص شود. در این مورد است
نسبت به آغاز یا پایان همه جریان ها. +10 یعنی 10 ثانیه اول همه
جریان، -10 به معنای 10 ثانیه آخر تمام جریان ها است.
-c تعداد
تعداد رکوردها را برای پردازش به رکورد اول محدود کنید تعداد جریان می یابد
-a جمع آوری داده های جریان شبکه به طور خودکار به معنی -a است. تجمیع در اتصال انجام می شود
با گرفتن پروتکل 5-tuple، srcip، dstip، srcport و dstport، سطح را در نظر بگیرید.
-A تجمع
مانند جریان شبکه انعطاف پذیر (FNF)، سوابق جریان شبکه را می توان با هر تعداد
فیلدهای v9 داده شده است. تجمع یک لیست جدا شده از برچسبهای شناسایی شده است
لیست زیر:
پروتکل IP پروتوکل
srcip آدرس IP منبع
آدرس IP مقصد dstip
آدرس IP منبع srcip4/net IPv4 با ماسک شبکه اعمال شده
آدرس IP منبع srcip6/net IPv6 با ماسک شبکه اعمال شده
آدرس IP مقصد dstip4/net IPv4 با ماسک شبکه اعمال شده
آدرس IP مقصد dstip6/net IPv6 با ماسک شبکه اعمال شده
srcnet استفاده از netmask srcmask در رکورد netflow برای IP منبع
dstnet استفاده از netmask dstmask در رکورد netflow برای مقصد IP
پورت منبع srcport
dstport پورت مقصد
srcmask ماسک منبع
dstmask ماسک مقصد
srcvlan منبع vlan برچسب
برچسب vlan مقصد dstvlan
srcas منبع شماره AS
dstas Destination AS شماره
nextas BGP Next AS
prevas BGP قبلی AS
شماره رابط ورودی inif SNMP
شماره رابط خروجی outif SNMP
آی پی بعدی هاپ بعدی
bgpnext BGP پرش بعدی
insrcmac در آدرس MAC منبع
آدرس MAC مقصد outdstmac
indstmac در آدرس MAC مقصد
outsrcmac آدرس مک منبع خروجی
tos نوع منبع سرویس
srctos نوع منبع سرویس
dsttos نوع سرویس مقصد
mpls1 برچسب MPLS 1
mpls2 برچسب MPLS 2
mpls3 برچسب MPLS 3
mpls4 برچسب MPLS 4
mpls5 برچسب MPLS 5
mpls6 برچسب MPLS 6
mpls7 برچسب MPLS 7
mpls8 برچسب MPLS 8
mpls9 برچسب MPLS 9
mpls10 برچسب MPLS 10
روتر صادر کننده IP روتر
nfdump به طور خودکار یک فرمت خروجی مناسب را برای تجمع انتخاب شده کامپایل می کند
مگر اینکه فرمت خروجی صریح داده شود. فرمت خروجی خودکار یکسان است
-o 'fmt:%ts ٪ td % pkt % بایت %bps %bpp %fl' جایی که نشان دهنده
برچسب های تجمع انتخاب شده
مثال:
-A proto,srcip,dstport
-A srcas,dstas
-b سوابق جریان خالص را به عنوان جریان های دو طرفه جمع کنید. به طور خودکار به معنی -a است.
تجمیع در سطح اتصال با استفاده از پروتکل 5 تایی، srcip، dstip، انجام می شود.
srcport و dstport یا ترتیب معکوس برای جریان اتصال مربوطه. ورودی
و بسته ها/بایت های خروجی به طور جداگانه شمارش و گزارش می شوند. هر دو جریان در ادغام می شوند
یک رکورد یک قالب خروجی مناسب به طور خودکار انتخاب می شود، که ممکن است
بازنویسی شده توسط هر گزینه فرمت -o.
-B مانند -b است اما به طور خودکار جریان ها را تعویض می کند، به طوری که پورت src > 1024 و پورت dst است.
1024 زیرا برخی از صادرکنندگان اهمیتی برای ارسال جریان ها به ترتیب مناسب ندارند. در نظر گرفته شده است
گزینه مناسبی باشد اگر پورت src و dst > 1024 یا < 1024 باشد، جریان ها عبارتند از
همانطور که هست گرفته شود
-I چاپ آمار جریان از فایل مشخص شده توسط -r، یا زمان مشخص شده توسط -R/-M.
-D دی ان اس
تنظیم دی ان اس به عنوان سرور نام برای جستجوی نام هاست.
-s آمار[:p][/orderby]
آمار جریان یا عنصر جریان Top N را ایجاد کنید. آمار می تواند:
رکورد آماری در مورد سوابق جریان خالص تقسیم بندی شده.
srcip آماری در مورد آدرس های IP منبع
dstip آماری در مورد آدرس های IP مقصد
ip آمار مربوط به هر آدرس IP (منبع یا مقصد).
آمار nhip در مورد آدرس های IP بعدی hop
nhbip آماری در مورد آدرس های IP بعدی هاپ BGP
روتر آمار در مورد صادرات آدرس IP روتر
srcport آمار در مورد پورت های منبع
dstport آمار در مورد پورت های مقصد
آمار پورت در مورد هر پورت (منبع یا مقصد).
tos آماری در مورد نوع سرویس - پیش فرض src
srctos آماری در مورد نوع سرویس src
dsttos آماری در مورد نوع سرویس dst
dir آماری در مورد جهت جریان ورودی/خروجی
srcas آماری در مورد شماره های منبع AS
dstas آماری در مورد اعداد AS مقصد
به عنوان آمار در مورد هر شماره AS (منبع یا مقصد).
inif آمار در مورد رابط ورودی
outif آمار در مورد رابط خروجی
اگر آمار در مورد هر رابط
srcmask آماری در مورد src mask
dstmask آماری در مورد dst mask
srcvlan آمار در مورد برچسب src vlan
dstvlan آمار در مورد برچسب dst vlan
vlan آمار در مورد هر برچسب vlan
insrcmac آماری در مورد آدرس MAC src ورودی
outdstmac آماری در مورد آدرس MAC خروجی dst
آمار indstmac در مورد آدرس ورودی dst MAC
outsrcmac آماری در مورد آدرس MAC خروجی src
srcmac آمار مربوط به هر آدرس MAC src
dstmac آمار مربوط به هر آدرس MAC dst
آمار inmac در مورد هر آدرس MAC ورودی
outmac آمار مربوط به هر آدرس MAC خروجی
ماسک آمار در مورد هر ماسک
proto آمار در مورد پروتکل های IP
mpls1 آماری در مورد برچسب MPLS 1
mpls2 آماری در مورد برچسب MPLS 2
mpls3 آماری در مورد برچسب MPLS 3
mpls4 آماری در مورد برچسب MPLS 4
mpls5 آماری در مورد برچسب MPLS 5
mpls6 آماری در مورد برچسب MPLS 6
mpls7 آماری در مورد برچسب MPLS 7
mpls8 آماری در مورد برچسب MPLS 8
mpls9 آماری در مورد برچسب MPLS 9
mpls10 آماری در مورد برچسب MPLS 10
sysid SysID داخلی صادرکننده
آمار NSEL/ASA
رویداد NSEL/ASA رویداد
رویداد گسترده xevent NSEL/ASA
xsrcip NSEL/ASA آدرس IP src را ترجمه کرده است
xsrcport NSEL/ASA ترجمه شده پورت src
xdstip NSEL/ASA آدرس IP dst را ترجمه کرده است
xdstport NSEL/ASA پورت dst را ترجمه کرده است
iacl NSEL/ASA ورود ACL
iace NSEL/ASA ingress ACE
ixace NSEL/ASA ingress xACE
eacl NSEL/ASA خروج ACL
eace NSEL/ASA egress ACE
exace NSEL/ASA خروج xACE
آمار NAT
رویداد NAT nevent
vrf/ivrf NAT ingress vrf
evrf NAT خروج vrf
آدرس IP nsrcip NAT src
پورت nsrcport NAT src
آدرس IP ndstip NAT dst
پورت ndstport NAT dst
با افزودن :p به نام آمار، آمار حاصل به حمل و نقل تقسیم می شود
پروتکل های لایه پیش فرض، آمار مستقل از پروتکل حمل و نقل است.
محبوب از پیش تعریف شده orderby اختیاری است و ترتیبی که آمار بر اساس آن مرتب می شود و می تواند را مشخص می کند
be جریان دارد, بسته, بایت, PPS, بیت در ثانیه or bpp. می توانید بیش از یک مورد را مشخص کنید محبوب از پیش تعریف شده orderby که
نتایج یکسان است اما ترتیب متفاوتی دارد. اگر نه محبوب از پیش تعریف شده orderby داده شده است،
آمار توسط جریان دارد. شما می توانید به تعداد -s آمار عناصر جریان را مشخص کنید
خط فرمان برای اجرای مشابه
مثال:
-s srcip -s ip/flows -s dstport/pps/packets/bytes -s رکورد/بایت
-O محبوب از پیش تعریف شده orderby
پیش فرض را مشخص می کند محبوب از پیش تعریف شده orderby برای آمار عنصر جریان -s، که زمانی اعمال می شود که هیچ
محبوب از پیش تعریف شده orderby در -s داده می شود. محبوب از پیش تعریف شده orderby می تواند جریان دارد, بسته, بایت, PPS, بیت در ثانیه or bpp. پیش فرض ها
به جریان دارد.
-l [+/-]packet_num
خروجی آمار را به رکوردهای بالاتر یا پایین تر محدود کنید بسته_تعداد حد.
بسته_تعداد اعداد مثبت یا منفی را می پذیرد و به دنبال آنها "K"، "M" یا "G" 10E3، 10E6
یا 10E9 به ترتیب جریان دارد. همچنین به یادداشت در -L مراجعه کنید
-L [+/-]بایت_تعداد
خروجی آمار را به رکوردهای بالاتر یا پایین تر محدود کنید تعداد_بایت حد. تعداد_بایت
اعداد مثبت یا منفی را می پذیرد و به دنبال آن "K"، "M" یا "G" 10E3، 10E6 یا 10E9 قرار می گیرد.
به ترتیب بایت توجه داشته باشید: این محدودیت ها فقط در مورد آمار و تجمیع اعمال می شود
خروجی های تولید شده با -a -s. برای فیلتر کردن رکوردهای جریان شبکه بر اساس بسته ها و بایت ها، از
«بستهها» و «بایتها» که در زیر توضیح داده شدهاند، نحو فیلتر کنید.
-n تعداد
عدد را برای آمار N برتر تعریف کنید. به طور پیش فرض 10. اگر 0 مشخص شده است
تعداد نامحدود است
-o قالب
قالب خروجی را برای چاپ جریان ها یا آمار رکورد جریان ( رکورد -ها) انتخاب می کند. در
فرمت های زیر موجود است:
خام هر رکورد جریان فایل را در چندین خط چاپ کنید.
خط هر جریان را در یک خط چاپ کنید. فرمت پیش فرض
long چاپ هر جریان در یک خط با جزئیات بیشتر
biline همان خط، اما برای جریان های bidir
دوبلنگ همان طولانی، اما برای جریان های بیدر
توسعه یافته هر جریان را در یک خط با جزئیات بیشتر چاپ کنید.
nsel هر رویداد NSEL را در یک خط چاپ کنید. اگر NSEL/ASA فعال باشد، پیشفرض است.
nel هر رویداد NAT را در یک خط چاپ کنید. اگر NEL فعال باشد، پیشفرض است.
csv خروجی جدا شده با کاما برای پردازش قابل خواندن توسط ماشین.
لوله Legacy قالب قابل خواندن ماشین: فیلدهای '|' جدا از هم.
fmt:قالب فرمت خروجی تعریف شده توسط کاربر
برای هر فرمت خروجی تعریف شده به جز -o fmt: فرمت خروجی طولانی IPv6
وجود دارد خط 6، long6 و تمدید شد 6است. دیدن تولید فرمت زیر برای اطلاعات بیشتر
-q خط سرصفحه و آمار را در پایین سرکوب کنید.
-N چاپ اعداد ساده در خروجی برای پس از تجزیه آسان تر است.
-i شناسایی
برچسب شناسه را در فایل تغییر دهید که با -r به مشخص شده است شناسایی
-v پرونده
تایید پرونده. نسخه فایل داده، تعداد بلوک ها و وضعیت فشرده سازی را چاپ کنید.
-E پرونده
فهرست صادرکننده/نمونهبر چاپ در یافت شد پرونده. در مورد فایل کلکتور nfcapd، یک
آمار اضافی به ازای هر صادرکننده با تعداد جریان، بسته ها و
خطاهای توالی
-x پرونده
اسکن و چاپ نقشه های پسوند واقع در فایل فایل
-z جریان ها را فشرده کنید. از فشرده سازی سریع LZO1X-1 در فایل خروجی استفاده کنید.
-j پرونده
فشرده/از حالت فشرده خارج کردن یک فایل معین. اگر فایل فشرده است، آن را از حالت فشرده خارج کنید و بالعکس
برعکس
-Z نحو فیلتر را بررسی کرده و از آن خارج شوید. مقدار بازگشتی را بر این اساس تنظیم می کند.
-X نحو فایلر را کامپایل می کند و جدول موتور فیلتر را در stdout قرار می دهد. این برای
فقط هدف اشکال زدایی
-V نسخه nfdump را چاپ کرده و خارج شوید.
-h متن راهنما را در stdout با همه گزینه ها چاپ کنید و از آن خارج شوید.
برگشت ارزش
بازده
0 بدون خطا
255 اولیه سازی انجام نشد.
254 خطا در نحو فیلتر.
250 خطای داخلی.
OUTPUT فرمها
فرمت خروجی خام هر رکورد جریان را در چندین خط چاپ می کند، از جمله تمام اطلاعات
موجود در پرونده این دقیق ترین دیدگاه در مورد یک جریان است.
سایر فرمت های خروجی هر جریان را در یک خط چاپ می کنند. فرمت های خروجی از پیش تعریف شده هستند خط,
طولانی و تمدید شده فرمت خروجی خط فرمت خروجی پیش فرض زمانی است که هیچ فرمتی وجود ندارد
مشخص شده. این اطلاعات را به جزئیات اتصال و همچنین تعداد محدود می کند
بسته ها، بایت ها و جریان ها
فرمت خروجی طولانی با قالب یکسان است خط، و شامل موارد اضافی است
اطلاعاتی مانند پرچم های TCP و نوع سرویس.
فرمت خروجی تمدید شده با قالب یکسان است طولانی، و شامل موارد اضافی است
اطلاعات محاسبه شده مانند PPS, بیت در ثانیه و bpp.
زمینه های:
تاریخ جریان شروع: جریان زمان شروع اولین بار مشاهده شد. فرمت ISO 8601 شامل میلی ثانیه.
مدت زمان: مدت زمان جریان بر حسب ثانیه و میلی ثانیه. اگر جریان ها تجمیع شوند،
مدت بازه زمانی در کل بازه زمانی از اولین دیده شدن تا آخرین دیده شدن است.
پروتو: پروتکل مورد استفاده در اتصال
Src IP آدرس: بندر: آدرس IP منبع و پورت منبع.
Dst IP آدرس: بندر: آدرس IP مقصد و پورت مقصد. در مورد ICMP، پورت
به صورت type.code رمزگشایی می شود.
پرچم ها: TCP ORed از اتصال را علامت گذاری می کند.
سرفه کردن: نوع خدمات.
بسته ها: تعداد بسته های موجود در این جریان. اگر جریان ها تجمیع شوند، بسته ها جمع می شوند
خلاصه کرد.
بایت ها: تعداد بایت های این جریان. اگر جریان ها جمع شوند، بایت ها جمع می شوند
است.
pps: بسته های محاسبه شده در ثانیه: تعداد بسته ها / مدت زمان. اگر جریان ها هستند
در مجموع این نتایج به میانگین pps در این بازه زمانی می رسد.
bps: بیت های محاسبه شده در ثانیه: 8 * تعداد بایت / مدت زمان. اگر جریان ها هستند
در مجموع این نتایج به میانگین bps در طول این بازه زمانی منجر می شود.
Bpp: بایت های محاسبه شده در هر بسته: تعداد بایت ها / تعداد بسته ها. اگر جریان ها هستند
در مجموع این منجر به میانگین bpp در این بازه زمانی می شود.
جریان ها: تعداد جریان. اگر جریانها فقط فهرست شده باشند، این عدد همیشه 1 است. اگر جریانها هستند
انباشته شده، این تعداد جریان های انباشته به یک رکورد را نشان می دهد.
اعداد بزرگتر از 1'000'000 (1000*1000)، به 4 رقم و یک رقم اعشار مقیاس می شوند.
از جمله ضریب پوسته پوسته شدن M, G or T برای خروجی تمیزتر، به عنوان مثال 923.4 M
برای خوانایی بیشتر خروجی، آدرس های IPv6 به 16 کاراکتر کوچک می شوند. در
هفت رقم بیشترین و هفت رقم کوچک که با دو نقطه متصل می شوند '..' در هر حالت عادی نمایش داده می شوند
فرمت های خروجی برای نمایش آدرس IPv6 کامل از فرمت طولانی مناسب استفاده کنید که
نام قالب به دنبال a است 6.
مثال: -o خط آدرس IPv6 را به عنوان نمایش می دهد 2001:23..80:d01e جایی که به عنوان فرمت -o line6
آدرس IPv6 را به طول کامل نمایش می دهد 2001:234:aabb::211:24ff:fe80:d01e.
ترکیبی از -o خط -6 برابر است با -o line6.
فرمت خروجی fmt: به شما امکان می دهد فرمت خروجی خود را تعریف کنید. یک قالب
شرح قالب از یک خط واحد شامل رشته ها و قالب دلخواه تشکیل شده است
مشخص کننده همانطور که در زیر توضیح داده شده است
% از پیش تعریف شده را درج می کند قالب در این موقعیت به عنوان مثال % خط
٪ ts زمان شروع - اولین بار دیده شد
٪ te زمان پایان - آخرین بازدید
٪ tr زمان دریافت جریان توسط کلکتور
٪ td مدت زمان
% pr پروتکل
% exp شناسه صادرکننده
% eng نوع موتور / شناسه
%sa آدرس منبع
%da آدرس مقصد
٪شیره آدرس منبع: بندر
%dap آدرس مقصد: بندر
%sp پورت منبع
%dp بندر مقصد
%sn شبکه منبع، ماسک اعمال شد
%dn شبکه مقصد، ماسک اعمال شد
%nh آدرس IP بعدی
%nhb آدرس IP بعدی هاپ BGP
%ra آدرس IP روتر
%sas منبع AS
%das مقصد AS
%nas بعدی AS
%pas AS قبلی
٪که در شماره رابط ورودی
% از شماره رابط خروجی
% pkt بسته ها - ورودی پیش فرض
%ipkt بسته های ورودی
%opkt بسته های خروجی
% بایت بایت - ورودی پیش فرض
%byt بایت های ورودی
%obyt بایت های خروجی
%fl جریانها
%flg پرچم های TCP
% tos Tos - پیش فرض src
%stos Src Tos
%dtos دست توس
%dir جهت: ورود، خروج
%smk ماسک Src
%dmk ماسک Dst
% fwd وضعیت حمل و نقل
%svln برچسب Src vlan
%dvln برچسب Dst vlan
%ismc Src Mac Adr را وارد کنید
%odmc خروجی Dst Mac Adr
%idmc Dst Mac Adr را وارد کنید
%osmc خروجی Src Mac Adr
%mpls1 برچسب MPLS 1
%mpls2 برچسب MPLS 2
%mpls3 برچسب MPLS 3
%mpls4 برچسب MPLS 4
%mpls5 برچسب MPLS 5
%mpls6 برچسب MPLS 6
%mpls7 برچسب MPLS 7
%mpls8 برچسب MPLS 8
%mpls9 برچسب MPLS 9
%mpls10 برچسب MPLS 10
%mpls برچسب های MPLS 1-10
%bps bps - بیت در ثانیه
%pps pps - بسته ها در ثانیه
%bpp bps - بایت در هر بسته
فرمت های خاص NSEL
%nfc شناسه اتصال NSEL
%evt رویداد NSEL
%xevt رویداد گسترده NSEL
%msec زمان رویداد NSEL بر حسب میلی ثانیه
%iacl ACL ورودی NSEL
%eacl ACL خروجی NSEL
%xsa آدرس IP NSEL XLATE src
%xda آدرس IP NSEL XLATE dst
%xsp پورت NSEL XLATE src
%xdp پورت DST NSEL SLATE
%xsap آدرس منبع Xlate: بندر
%xdap آدرس مقصد Xlate: بندر
٪اسم شما نام کاربری NSEL
فرمت های خاص NEL/NAT
% nevt رویداد NAT - مانند %evt
% ivrf شناسه VRF ورودی NAT
%evrf NAT خروجی VRF ID
%nsa آدرس IP NAT src
%nda آدرس IP NAT dst
%nsp پورت NAT src
%ndp پورت NAT dst
%pbstart شروع بلوک استخر NAT
%pbend پایان بلوک استخر NAT
%pbstep مرحله بلوک استخر NAT
%pbsize اندازه بلوک استخر NAT
فرمت های Nprobe
%cl تأخیر مشتری
%sl تأخیر سرور
%al تأخیر برنامه
مثال: فرمت خروجی استاندارد طولانی را می توان به عنوان ایجاد کرد
-o "fmt:%ts ٪ td % pr ٪شیره -> %dap %flg % tos % pkt % بایت %fl"
همچنین می توانید فرمت خروجی خود را تعریف کرده و آن را در nfdump کامپایل کنید. nfdump.c را ببینید
بخش تولید فرمت برای جزئیات بیشتر.
La CSV فرمت خروجی قرار است توسط برنامه دیگری برای پردازش بیشتر خوانده شود. مانند
به عنوان مثال، برنامه parse_csv.pl پرل را ببینید. فرمت خروجی cvs از یک یا تشکیل شده است
بلوک های خروجی بیشتر و یک بلوک خلاصه. هر بلوک خروجی با یک خط شاخص cvs شروع می شود
به دنبال آن خطوط ضبط cvs. خطوط شاخص، ترتیب، نحوه زیر کردن هر کدام را توضیح میدهند
رکورد تشکیل شده است.
مثال:
خط شاخص: ts,te,td,sa,da,sp,dp,pr,...
Record line: 2004-07-11 10:30:00,2004-07-11 10:30:10,10.010,...
تمام رکوردها به شکل ASCII قابل خواندن هستند. اعداد مقیاس بندی نمی شوند، بنابراین هر خط به راحتی می تواند باشد
تجزیه شد.
شاخص های مورد استفاده در nfdump 1.6:
رکوردهای زمان ts,te,td: t-start، t-end، مدت زمان
آدرس sa,da src dst sp,dp src, dst port
پروتکل pr PF_INET یا PF_INET6
flg TCP Flags:
000001 FIN.
000010 SYN
000100 بازنشانی
001000،XNUMX،XNUMX فشار
010000 ACK
100000 فوری
به عنوان مثال 6 => SYN + RESET
وضعیت حمل و نقل fwd
stos src tos
بسته های ورودی ipkt,byt/بایت
opkt، بسته های خروجی ابیت، بایت ها
شماره SNMP رابط ورودی/خروجی ورودی، خروجی
sas,das src, dst AS
smk,dmk src, dst mask
dtos dst tos
جهت مستقیم
آدرس IP nh، nhb nethop، IP hop بعدی bgp
svln,dvln src,dst vlan id
ismc، ورودی odmc src، خروجی dst MAC
idmc، ورودی osmc dst، خروجی src MAC
mpls1,mpls2 برچسب MPLS 1-10
mpls3,mpls4
mpls5,mpls6
mpls7,mpls8
mpls9,mpls10
آی پی روتر ra
نوع موتور روتر eng / ID
برای جزئیات بیشتر به parse_csv.pl مراجعه کنید.
FILTER
نحو فیلتر شبیه به کتابخانه شناخته شده pcap است که توسط tcpdump استفاده می شود. فیلتر
را می توان در خط فرمان بعد از همه گزینه ها یا در یک فایل جداگانه مشخص کرد. آی تی
می تواند چندین خط را پوشش دهد. هر چیزی بعد از "#" به عنوان یک نظر تلقی می شود و به آن نادیده گرفته می شود
پایان خط. عملا هیچ محدودیتی در طول بیان فیلتر وجود ندارد. همه
کلمات کلیدی مستقل از حروف کوچک و بزرگ هستند.
هر فیلتری از یک یا چند عبارت تشکیل شده است صادرات. هر تعداد از صادرات می توان پیوند داد
با یکدیگر:
صادرات و expr، expr or expr، نه expr و ( صادرات ).
Expr می تواند یکی از فیلترهای اولیه زیر باشد:
شامل
@عبارتند از
شامل محتوای به فیلتر
ip نسخه
چی or ipv4 برای IPv4
inet6 or ipv6 برای IPv6
پروتکل
proto-
proto-
جایی که پروتکل شناخته شده است مانند tcp, udp, icmp, icmp6, GRE, ESP, ah، و غیره
یا یک شماره پروتکل معتبر: 6, 17 و غیره.
IP نشانی
[src|dst] ip
[src|dst] میزبان
با مانند هر آدرس IPv4 معتبر، IPv6، یا یک نام میزبان واجد شرایط کامل. در صورت
از یک نام میزبان، آدرس IP در DNS جستجو می شود. اگر بیش از یک آدرس IP واحد باشد
یافت می شود، تمام آدرس های IP با هم زنجیر شده اند. (ip1 or ip2 or ip3 ... )
برای بررسی اینکه آیا یک آدرس IP در یک لیست IP شناخته شده است، از استفاده کنید
[src|dst] ip in [ ]
[src|dst] میزبان in [ ]
یک لیست از افراد جدا شده با فاصله یا کاما است یا واجد شرایط کامل
نامهای میزبان، که در DNS جستجو میشوند. اگر بیش از یک آدرس IP پیدا شد، همه
آدرس های IP در لیست قرار می گیرند.
[src|dst]
آدرس های IP، شبکه ها، پورت ها، شماره AS و غیره را می توان به طور خاص با استفاده از a انتخاب کرد
واجد شرایط جهت، مانند src یا dst. آنها همچنین می توانند در ترکیب با
و و or. مانند " و dst ip ...
شبکه
[src|dst] خالص آ ب پ ت چند دقیقه
شبکه IPv4 را انتخاب کنید آ ب پ ت با ماسک خالص چند دقیقه.
[src|dst] خالص /
با به عنوان یک شبکه معتبر IPv4 یا IPv6 و به عنوان ماسک بیت تعداد ماسک
بیت ها باید با خانواده آدرس مناسب در IPv4 یا IPv6 مطابقت داشته باشند. شبکه ها ممکن است
مختصر شده مانند 172.16/16 اگر بدون ابهام باشند.
بندر
[src|dst] بندر [کامپیوتر]
با به عنوان هر شماره پورت معتبر اگر کامپوننت حذف شده است،
'=' فرض می شود. کامپوننت در زیر با جزئیات بیشتر توضیح داده شده است.
[src|dst] بندر in [ ]
یک پورت را می توان با لیست دانش مقایسه کرد یک لیست جدا از فاصله است
از شماره پورت های فردی
ICMP
نوع icmp
icmp-code
با به عنوان یک نوع/کد icmp معتبر. این به طور خودکار نشان می دهد proto- icmp.
روتر ID
نوع موتور
شناسه موتور
sysid
با به عنوان یک نوع موتور روتر معتبر / شناسه یا شناسه صادرکننده (0..255).
رابط
[در|خارج] if
ورودی یا خروجی یا شناسه رابط را انتخاب کنید تعداد به عنوان شماره رابط SNMP.
مثال: in if 3
AS تعداد
[src|dst|قبلی|بعدی] as [کامپیوتر]
منبع، dstation، قبلی، بعدی یا هر شماره AS را انتخاب می کند به عنوان هر معتبر به عنوان
عدد. اعداد AS 32 بیتی پشتیبانی می شوند. اگر کامپوننت حذف شده است، '=' فرض می شود. کامپوننت is
در زیر با جزئیات بیشتر توضیح داده شده است.
[src|dst|قبلی|بعدی] as in [ ]
یک عدد AS را می توان با لیست دانش مقایسه کرد فاصله یا کاما است
فهرست جدا شده از شماره های AS منفرد.
پیشوند ماسک بیت
[src|dst] ماسک
با به عنوان هر مقدار بیت ماسک پیشوند معتبر.
ولان برچسب ها
[src|dst] VLAN
با مانند هر برچسب vlan معتبر.
پرچم
پرچم ها
با به عنوان ترکیبی از:
ACK.
SYN.
FIN.
R تنظیم مجدد.
P فشار.
U فوری.
X همه پرچم ها روی.
ترتیب پرچم ها ارتباطی ندارد. پرچم هایی که ذکر نشده اند به عنوان بی اهمیت تلقی می شوند.
برای اینکه آن جریان ها را فقط با مجموعه پرچم SYN بدست آورید، از نحو استفاده کنید.پرچم ها S و نه
پرچم ها AFRPU'.
بعدی هاپ IP
بعد ip
با به عنوان آدرس IP IPv4/IPv6 روتر hop بعدی.
بعدی پرش روتر IP in la BGP دامنه
bgpnext ip
با به عنوان IP روتر بعدی هاپ IPv4/IPv6 در دامنه BGP. ( v9 #18 )
روتر IP
روتر ip
جریانها را با توجه به آدرس IP روتر صادرکننده فیلتر کنید.
MAC آدرس
[InOutSrcDst] مک
با هر آدرس مک معتبر مک را می توان با استفاده از هر یک مشخص تر مشخص کرد
ترکیبی از یک تعیین کننده جهت که توسط CISCO v9 تعریف شده است. in ", in dst, خارج ",
خارج dst.
MPLS برچسب ها
pls برچسب [کامپیوتر]
با مانند هر برچسب pls شماره 1..10. برچسب دقیقا مشخص شده را فیلتر می کند .
pls EOS [کامپیوتر]
برچسب پایان پشته را برای یک مقدار مشخص فیلتر می کند .
pls انقضا [کامپیوتر]
بیت های آزمایشی برچسب را فیلتر می کند با 0..7.
بسته ها
بسته [کامپیوتر] [مقیاس]
برای فیلتر کردن سوابق جریان شبکه با تعداد بسته خاص.
مثال: بسته > 1k
بایت
بایت [کامپیوتر] [مقیاس]
برای فیلتر کردن رکوردهای جریان شبکه با تعداد بایت خاص.
مثال: بایت 46 تمام بسته های خالی IPv4 را فیلتر می کند
جمع شده جریان دارد
جریان دارد [کامپیوتر] [مقیاس]
برای فیلتر کردن سوابق جریان شبکه با تعداد مشخصی از جریان های انباشته.
نوع of محصولات (TOS)
[منبع مقصد] به فرم خوانده شده
با 0..255. برای سازگاری با nfump 1.5.x: به فرم خوانده شده معادل است با
" به فرم خوانده شده
بسته ها برای دومین: محاسبه شد ارزش.
PPS [کامپیوتر] تعداد [مقیاس]
برای فیلتر کردن جریان ها با بسته های خاص در ثانیه.
مدت زمان: محاسبه شد ارزش
مدت [کامپیوتر] تعداد
برای فیلتر کردن جریان هایی با مدت زمان مشخص بر حسب میلی ثانیه.
بیت برای دومین: محاسبه شد ارزش.
بیت در ثانیه [کامپیوتر] تعداد [مقیاس]
برای فیلتر کردن جریان هایی با بایت های خاص در ثانیه.
بایت برای بسته: محاسبه شد ارزش.
bpp [کامپیوتر] تعداد [مقیاس]
برای فیلتر کردن جریان هایی با بایت های خاص در هر بسته.
مقیاس ضریب پوسته پوسته شدن شاید k m g. ضریب 1000 است
کامپوننت مقایسه کننده های زیر پشتیبانی می شوند:
=, ==، >, <, EQ، LT ، GT . If کامپوننت حذف شده است، '=' فرض می شود.
NSEL/ASA خاص فیلترها:
NSEL/ASA واقعه
آسا واقعه
آسا واقعه [کامپیوتر]
رویداد NSEL/ASA را با نام یا شماره انتخاب کنید. اگر به عنوان عدد داده شود می توان آن را با a مقایسه کرد
عدد
NSEL/ASA تکذیب کرد دلیل
آسا واقعه تکذیب کرد
یک رویداد رد شده NSEL/ASA را بر اساس نوع انتخاب کنید
NSEL/ASA تمدید شده حوادث
آسا xevent [کامپیوتر]
یک رویداد NSELL ASA توسعه یافته را با تعداد انتخاب کنید، یا به صورت اختیاری با یک عدد مقایسه کنید.
ایکس دیر IP آدرس و بنادر
[src|dst] xip
انتخاب کنید la ترجمه IP نشانی
[src|dst] xnet /
با به عنوان یک شبکه معتبر IPv4 یا IPv6 ترجمه شده و به عنوان ماسک بیت در
تعداد بیت های ماسک باید با خانواده آدرس مناسب در IPv4 یا IPv6 مطابقت داشته باشد.
اگر شبکه ها بدون ابهام باشند، ممکن است به صورت اختصاری مانند 172.16/16.
[src|dst] xport
پورت ترجمه شده را انتخاب کنید
NSEL/ASA ورود، خروج
وارد شدن [کامپیوتر] عدد
انتخاب/مقایسه an وارد شدن ACL
خروج کردن ACL [کامپیوتر]
ACL خروجی را انتخاب/مقایسه کنید
در خاص NAT فیلترها:
NAT واقعه
NAT واقعه
NAT واقعه [کامپیوتر]
رویداد NEL NAT را با نام یا شماره انتخاب کنید. اگر به عنوان عدد داده شود می توان آن را با a مقایسه کرد
عدد
در NAT ip آدرس و بنادر
[src|dst] سرمازدگی
انتخاب کنید la NAT IP نشانی
[src|dst] nport
انتخاب کنید la NAT بندر
در NAT vrf
وارد شدن vrf vrf را انتخاب کنید
مثال ها
nfdump -r /and/dir/nfcapd.201107110845 -c 100 پروتو tcp و ( " ip 172.16.17.18 or dst
ip 172.16.17.19 )' 100 رکورد اول netflow را که با فیلتر داده شده مطابقت دارند تخلیه می کند:
nfdump -r /and/dir/nfcapd.201107110845 -B تطبیق نقشه به صورت تک جهته دو طرفه جریان دارد
جریان.
nfdump -R /and/dir/nfcapd.201107110845:nfcapd.200407110945 میزبان '192.168.1.2 همه را تخلیه می کند
رکوردهای جریان شبکه میزبان 192.168.1.2 از 11 ژوئیه 08:45 - 09:45
nfdump -M /to/and/dir1:dir2 -R nfcapd.200407110845:nfcapd.200407110945 -s رکورد -n 20
20 آمار برتر را از 08:45 تا 09:45 از 3 منبع تولید می کند
nfdump -r /and/dir/nfcapd.201107110845 -s رکورد -n 20 -o تمدید شده 20 برتر را ایجاد می کند
آمار، فرمت خروجی توسعه یافته
nfdump -r /and/dir/nfcapd.201107110845 -s رکورد -n 20 'که در if 5 و بیت در ثانیه > 10k' تولید می کند
20 آمار برتر از جریان های وارد شده از رابط 5
nfdump -r /and/dir/nfcapd.201107110845 'inet6 و proto- tcp و ( " بندر > 1024 و dst
بندر 80 ) تمام اتصالات IPv80 پورت 6 را به هر وب سرور منتقل می کند.
NOTES
ایجاد آمار برای فایل های داده چند صد مگابایتی مشکلی ندارد. با این حال باشد
اگر می خواهید آماری از چندین گیگابایت داده ایجاد کنید، مراقب باشید. این ممکن است مصرف زیادی داشته باشد
حافظه و ممکن است کمی طول بکشد. ناشناس سازی جریان به nfanon منتقل شده است.
با استفاده از خدمات onworks.net از nfdump آنلاین استفاده کنید
