นี่คือคำสั่ง nfdump ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
nfdump - netflow แสดงและวิเคราะห์โปรแกรม
เรื่องย่อ
nfdump [ตัวเลือก] [กรอง]
DESCRIPTION
nfdump เป็นโปรแกรมแสดงผลและวิเคราะห์ netflow ของชุดเครื่องมือ nfdump มันอ่านว่า
ข้อมูล netflow จากไฟล์ที่จัดเก็บโดย nfcapd และประมวลผลโฟลว์ตามตัวเลือก
ที่ให้ไว้. ไวยากรณ์ตัวกรองเปรียบได้กับ tcpdump และขยายสำหรับข้อมูล netflow Nfdump
ยังสามารถแสดงสถิติการไหลของ N บนสุดและองค์ประกอบการไหลที่แตกต่างกันมากมาย
OPTIONS
-r ไฟล์อินพุต
อ่านข้อมูลอินพุตจาก ไฟล์อินพุต. ค่าเริ่มต้นจะอ่านจาก stdin
-R ด่วน
อ่านอินพุตจากลำดับของไฟล์ในไดเร็กทอรีเดียวกัน ด่วน อาจเป็นหนึ่งใน:
/ใด ๆ/dir อ่านซ้ำไฟล์ทั้งหมดในไดเรกทอรี dir.
/ผบ/ไฟล์ อ่านไฟล์ทั้งหมดที่ขึ้นต้นด้วย ไฟล์.
/ผบ/ไฟล์1:ไฟล์2 อ่านไฟล์ทั้งหมดจาก file1 ไปยัง file2.
เมื่อใช้ร่วมกับลำดับชั้นย่อย:
/ผบ/sub1/sub2/file1:sub3/sub4/file2
อ่านไฟล์ทั้งหมดจาก ย่อย1/sub2/file1 ย่อย3/sub4/file2 วนซ้ำทุกสิ่งที่จำเป็น
ระดับลำดับชั้น
หมายเหตุ: ไฟล์จะถูกอ่านตามลำดับตัวอักษร
-M ด่วน
อ่านข้อมูลจากหลายไดเร็กทอรี ด่วน ดูเหมือนกับ: /ใด ๆ/เส้นทาง/ถึง/dir1:dir2:dir3 เป็นต้น
และจะถูกขยายไปยังไดเร็กทอรี: /ใด ๆ/เส้นทาง/to/dir1, /ใด ๆ/เส้นทาง/to/dir2 และ
/ใด ๆ/เส้นทาง/to/dir3 อาจมีการกำหนดไดเร็กทอรีที่คั่นด้วยเครื่องหมายทวิภาคจำนวนเท่าใดก็ได้ ไฟล์ไปยัง
read ถูกระบุโดย -r หรือ -R และคาดว่าจะมีอยู่ในไดเร็กทอรีที่กำหนดทั้งหมด
ตัวเลือก -r และ -R ต้องไม่มีส่วนไดเร็กทอรีใด ๆ เมื่อใช้ร่วมกับ
-NS.
-m เรียงลำดับเร็กคอร์ด netflow ตามวันที่เห็นครั้งแรก ปกติตัวเลือกนี้เท่านั้น
มีประโยชน์ร่วมกับ -M เมื่อบันทึก netflow ถูกอ่านจากแหล่งต่างๆ
ซึ่งไม่จำเป็นต้องเรียงลำดับ
-w ไฟล์เอาต์พุต
หากระบุให้เขียนไบนารี netflow บันทึกไปยัง ไฟล์เอาต์พุต พร้อมประมวลผลอีกครั้ง
ด้วย nfdump เอาต์พุตเริ่มต้นคือ ASCII บน stdout ร่วมกับตัวเลือก -m, -a,
-b และ -B เขียนแคชโฟลว์รวมและ/หรือเรียงลำดับในรูปแบบไบนารีลงดิสก์
-f ไฟล์ตัวกรอง
อ่านไวยากรณ์ตัวกรองจาก ไฟล์ตัวกรอง. หมายเหตุ: ตัวกรองใด ๆ ที่ระบุโดยตรงบน
บรรทัดคำสั่งมีความสำคัญเหนือกว่า -f
-t เวลาวิน
กระบวนการไหลเท่านั้นซึ่งอยู่ในกรอบเวลา เวลาวินที่นี่มี เวลาวิน is
YYYY/MM/dd.hh:mm:ss[-YYYY/MM/dd.hh:mm:ss]. ส่วนใดส่วนหนึ่งของข้อกำหนดเวลาอาจถูกละเว้น
เช่น YYYY/MM/dd ขยายเป็น YYYY/MM/dd.00:00:00-infinity และประมวลผลโฟลว์ทั้งหมดจาก
กำหนดวันเป็นต้นไป. กรอบเวลาอาจระบุเป็น +/- n ในกรณีนี้คือ
สัมพันธ์กับจุดเริ่มต้นหรือจุดสิ้นสุดของกระแสทั้งหมด +10 หมายถึง 10 วินาทีแรกของทั้งหมด
โฟลว์ -10 หมายถึง 10 วินาทีสุดท้ายของโฟลว์ทั้งหมด
-c NUM
จำกัดจำนวนเรคคอร์ดที่จะประมวลผลเป็นอันดับแรก NUM กระแส
-a รวมข้อมูลเน็ตโฟลว์ หมายถึง -a โดยอัตโนมัติ การรวบรวมจะทำที่การเชื่อมต่อ
ระดับโดยใช้โปรโตคอล 5-tuple, srcip, dstip, srcport และ dstport
-A การรวมตัว
คล้ายกับ Flexible Netflow (FNF) บันทึก netflow สามารถรวมเป็นจำนวนเท่าใดก็ได้
ให้ฟิลด์ v9 การรวมตัว เป็น ',' รายการที่คั่นของแท็กที่รู้จักของ
รายการต่อไปนี้:
โปรโตคอล IP โปรโต
srcip ที่อยู่ IP ต้นทาง
dstip ที่อยู่ IP ปลายทาง
ที่อยู่ IP ของแหล่งที่มา srcip4/net IPv4 โดยใช้ netmask
ที่อยู่ IP ของแหล่งที่มา srcip6/net IPv6 โดยใช้ netmask
ที่อยู่ IP ปลายทาง dstip4/net IPv4 ที่ใช้ netmask
ที่อยู่ IP ปลายทาง dstip6/net IPv6 ที่ใช้ netmask
srcnet ใช้ netmask srcmask ในบันทึก netflow สำหรับ IP ที่มา
dstnet ใช้ netmask dstmask ในบันทึก netflow สำหรับ IP ปลายทาง
srcport พอร์ตต้นทาง
dstport พอร์ตปลายทาง
srcmask มาสก์ที่มา
dstmask มาสก์ปลายทาง
srcvlan ซอร์ส vlan label
dstvlan ปลายทาง vlan label
srcas หมายเลข AS ที่มา
dstas หมายเลข AS ปลายทาง
nextas BGP ถัดไป AS
prevas BGP ก่อนหน้า AS
inif SNMP อินพุตอินเทอร์เฟซหมายเลข
outif หมายเลขอินเทอร์เฟซเอาต์พุต SNMP
IP ถัดไป กระโดดต่อไป
bgpnext BGP กระโดดต่อไป
insrcmac ในที่อยู่ MAC ต้นทาง
outdstmac ออกที่อยู่ MAC ปลายทาง
indstmac ปลายทางที่อยู่ MAC
outsrcmac ออกที่อยู่ MAC ต้นทาง
tos ประเภทแหล่งที่มาของบริการ
srctos ประเภทแหล่งที่มาของบริการ
dsttos ประเภทปลายทางของบริการ
mpls1 ป้ายกำกับ MPLS 1
mpls2 ป้ายกำกับ MPLS 2
mpls3 ป้ายกำกับ MPLS 3
mpls4 ป้ายกำกับ MPLS 4
mpls5 ป้ายกำกับ MPLS 5
mpls6 ป้ายกำกับ MPLS 6
mpls7 ป้ายกำกับ MPLS 7
mpls8 ป้ายกำกับ MPLS 8
mpls9 ป้ายกำกับ MPLS 9
mpls10 ป้ายกำกับ MPLS 10
เราเตอร์ การส่งออกเราเตอร์ IP
nfdump รวบรวมรูปแบบเอาต์พุตที่เหมาะสมสำหรับการรวมที่เลือกโดยอัตโนมัติ
เว้นแต่จะมีการกำหนดรูปแบบเอาต์พุตที่ชัดเจน รูปแบบเอาต์พุตอัตโนมัติเหมือนกับ
-o 'fmt:%ts % td %แพ็ค % ไบต์ % ต่อวินาที %bpp %fl' ที่ไหน เป็นตัวแทนของ
แท็กการรวมที่เลือก
ตัวอย่าง:
-A โปรโต srcip dstport
-A srcas, dstas
-b รวมเร็กคอร์ด netflow เป็นโฟลว์แบบสองทิศทาง หมายถึง -a โดยอัตโนมัติ
การรวมเสร็จสิ้นในระดับการเชื่อมต่อโดยใช้โปรโตคอล 5-tuple, srcip, dstip,
srcport และ dstport หรือลำดับย้อนกลับสำหรับโฟลว์การเชื่อมต่อที่เกี่ยวข้อง ป้อนข้อมูล
และเอาต์พุตแพ็กเก็ต/ไบต์จะถูกนับและรายงานแยกกัน ทั้งสองกระแสรวมกันเป็น
บันทึกเดียว รูปแบบเอาต์พุตที่เหมาะสมจะถูกเลือกโดยอัตโนมัติ ซึ่งอาจ
เขียนทับโดยตัวเลือกรูปแบบ -o ใดๆ
-B เช่นเดียวกับ -b แต่สลับโฟลว์โดยอัตโนมัติเช่นพอร์ต src > 1024 และพอร์ต dst คือ
1024 เนื่องจากผู้ส่งออกบางรายไม่สนใจที่จะส่งกระแสข้อมูลตามลำดับที่เหมาะสม ก็ถือว่า
เพื่อเป็นทางเลือกที่สะดวก หากพอร์ต src และ dst เป็น > 1024 หรือ < 1024 โฟลว์จะเป็น
เอาตามที่เป็นอยู่
-I พิมพ์สถิติโฟลว์จากไฟล์ที่ระบุโดย -r หรือช่วงเวลาที่ระบุโดย -R/-M
-D DNS
ชุด DNS เป็นเนมเซิร์ฟเวอร์เพื่อค้นหาชื่อโฮสต์
-s สถิติ[:p][/orderby]
สร้างสถิติโฟลว์หรือองค์ประกอบโฟลว์สูงสุด สถิติ เป็นไปได้:
บันทึก สถิติเกี่ยวกับเรคคอร์ด netflow ที่ถูกรวบรวม
srcip สถิติเกี่ยวกับที่อยู่ IP ต้นทาง
dstip สถิติเกี่ยวกับที่อยู่ IP ปลายทาง
ip สถิติเกี่ยวกับที่อยู่ IP ใดๆ (ต้นทางหรือปลายทาง)
nhip สถิติเกี่ยวกับที่อยู่ IP ของฮ็อพถัดไป
สถิติ nhbip เกี่ยวกับที่อยู่ IP ฮ็อพถัดไปของ BGP
สถิติเกี่ยวกับการส่งออกที่อยู่ IP ของเราเตอร์
srcport สถิติเกี่ยวกับพอร์ตต้นทาง
dstport สถิติเกี่ยวกับพอร์ตปลายทาง
พอร์ต สถิติเกี่ยวกับพอร์ตใด ๆ (ต้นทางหรือปลายทาง)
tos สถิติเกี่ยวกับประเภทของบริการ - src . เริ่มต้น
srctos สถิติเกี่ยวกับประเภทของบริการ src
dsttos สถิติเกี่ยวกับประเภทของบริการ dst
dir สถิติเกี่ยวกับทิศทางการไหลเข้า/ออก
srcas สถิติเกี่ยวกับหมายเลข AS แหล่งที่มา
dstas สถิติเกี่ยวกับหมายเลข AS ปลายทาง
เป็นสถิติเกี่ยวกับหมายเลข AS (ต้นทางหรือปลายทาง) ใด ๆ
inif สถิติเกี่ยวกับอินเทอร์เฟซอินพุต
outif สถิติเกี่ยวกับอินเทอร์เฟซเอาต์พุต
ถ้าสถิติเกี่ยวกับอินเทอร์เฟซใด ๆ
srcmask สถิติเกี่ยวกับ src mask
dstmask สถิติเกี่ยวกับ dst mask
srcvlan สถิติเกี่ยวกับ src vlan label
dstvlan สถิติเกี่ยวกับ dst vlan label
vlan สถิติเกี่ยวกับ vlan label
insrcmac สถิติเกี่ยวกับการป้อนข้อมูล src MAC address
outdstmac สถิติเกี่ยวกับเอาต์พุต dst MAC address
indstmac สถิติเกี่ยวกับการป้อนที่อยู่ MAC dst
outsrcmac สถิติเกี่ยวกับเอาต์พุต src MAC address
srcmac สถิติเกี่ยวกับที่อยู่ MAC ของ src
dstmac สถิติเกี่ยวกับที่อยู่ MAC ของ dst
inmac สถิติเกี่ยวกับอินพุต MAC address
outmac สถิติเกี่ยวกับที่อยู่ MAC ของเอาต์พุต
หน้ากาก สถิติเกี่ยวกับหน้ากากใด ๆ
proto สถิติเกี่ยวกับโปรโตคอล IP
mpls1 สถิติเกี่ยวกับฉลาก MPLS 1
mpls2 สถิติเกี่ยวกับฉลาก MPLS 2
mpls3 สถิติเกี่ยวกับฉลาก MPLS 3
mpls4 สถิติเกี่ยวกับฉลาก MPLS 4
mpls5 สถิติเกี่ยวกับฉลาก MPLS 5
mpls6 สถิติเกี่ยวกับฉลาก MPLS 6
mpls7 สถิติเกี่ยวกับฉลาก MPLS 7
mpls8 สถิติเกี่ยวกับฉลาก MPLS 8
mpls9 สถิติเกี่ยวกับฉลาก MPLS 9
mpls10 สถิติเกี่ยวกับฉลาก MPLS 10
sysid ภายใน SysID ของผู้ส่งออก
สถิติ NSEL/ASA
เหตุการณ์ NSEL/ASA เหตุการณ์
xevent NSEL/ASA ขยายเหตุการณ์
xsrcip NSEL/ASA ที่แปลที่อยู่ IP ของ src
xsrcport NSEL/ASA ที่แปลแล้ว src port
xdstip NSEL/ASA ที่แปลที่อยู่ IP dst
xdstport NSEL/ASA ที่แปลแล้ว dst port
iacl NSEL/ASA ทางเข้า ACL
iace NSEL/ASA ทางเข้า ACE
ixace NSEL/ASA ทางเข้า xACE
eacl NSEL/ASA ทางออก ACL
eace ทางออก NSEL/ASA ACE
exace ทางออก NSEL/ASA xACE
สถิติ NAT
เหตุการณ์ NAT nevent
vrf/ivrf NAT ทางเข้า vrf
evrf NAT ทางออก vrf
nsrcip NAT src ที่อยู่ IP
nsrcport NAT พอร์ต src
ndstip NAT ที่อยู่ IP dst
ndstport NAT พอร์ตdst
โดยการเพิ่ม :p สำหรับชื่อสถิติ สถิติผลลัพธ์จะถูกแบ่งออกเป็นการขนส่ง
โปรโตคอลชั้น ค่าเริ่มต้นคือสถิติที่ไม่ขึ้นกับโปรโตคอลการขนส่ง
สั่งโดย เป็นทางเลือกและระบุลำดับโดยที่สถิติถูกสั่งและ can
be ไหล, แพ็คเก็ต, ไบต์, PPS, bps or บีพีพี. คุณสามารถระบุได้มากกว่าหนึ่ง สั่งโดย ที่
ผลลัพธ์ในสถิติเดียวกัน แต่เรียงลำดับต่างกัน ถ้าไม่ สั่งโดย จะได้รับ
สถิติเรียงลำดับโดย ไหล. คุณสามารถระบุสถิติองค์ประกอบการไหลของ -s ได้มากบน
บรรทัดคำสั่งสำหรับการรันเดียวกัน
ตัวอย่าง:
-s สคริป -s ไอพี/โฟลว์ -s dstport/pps/แพ็คเก็ต/ไบต์ -s บันทึก/ไบต์
-O สั่งโดย
ระบุค่าเริ่มต้น สั่งโดย สำหรับสถิติองค์ประกอบการไหล -s ซึ่งใช้เมื่อไม่มี
สั่งโดย จะได้รับที่ -s สั่งโดย เป็นไปได้ ไหล, แพ็คเก็ต, ไบต์, PPS, bps or บีพีพี. ค่าเริ่มต้น
ไปยัง ไหล.
-l [+/-]แพ็คเก็ต_num
จำกัดสถิติการส่งออกไปยังบันทึกเหล่านั้นที่อยู่ด้านบนหรือด้านล่าง แพ็คเก็ต_num ขีด จำกัด
แพ็คเก็ต_num ยอมรับตัวเลขบวกหรือลบตามด้วย 'K' , 'M' หรือ 'G' 10E3, 10E6
หรือ 10E9 ไหลตามลำดับ ดูหมายเหตุเพิ่มเติมที่ -L
-L [+/-] ไบต์_num
จำกัดสถิติการส่งออกไปยังบันทึกเหล่านั้นที่อยู่ด้านบนหรือด้านล่าง byte_num ขีด จำกัด byte_num
ยอมรับตัวเลขบวกหรือลบตามด้วย 'K' , 'M' หรือ 'G' 10E3, 10E6 หรือ 10E9
ไบต์ตามลำดับ หมายเหตุ ข้อจำกัดเหล่านี้ใช้กับสถิติและรวมเท่านั้น
เอาต์พุตที่สร้างด้วย -a -s ในการกรองเร็กคอร์ด netflow ตามแพ็กเก็ตและไบต์ ให้ใช้คำสั่ง
ไวยากรณ์ตัวกรอง 'แพ็กเก็ต' และ 'ไบต์' ที่อธิบายไว้ด้านล่าง
-n NUM
กำหนดตัวเลขสำหรับสถิติ Top N ค่าเริ่มต้นเป็น 10 หากระบุ 0 ไว้
ไม่จำกัดจำนวน
-o รูป
เลือกรูปแบบเอาต์พุตเพื่อพิมพ์สถิติโฟลว์หรือเรกคอร์ดโฟลว์ (เร็กคอร์ด -s) NS
มีรูปแบบดังต่อไปนี้:
raw พิมพ์แต่ละไฟล์บันทึกโฟลว์หลายบรรทัด
บรรทัด พิมพ์แต่ละโฟลว์ในหนึ่งบรรทัด รูปแบบเริ่มต้น
ยาว พิมพ์แต่ละโฟลว์ในบรรทัดเดียวพร้อมรายละเอียดเพิ่มเติม
biline เช่นเดียวกับสาย แต่สำหรับกระแส bidir
bilong เท่าเดิม แต่สำหรับกระแสบิดีร์
Extended พิมพ์แต่ละโฟลว์ในบรรทัดเดียวพร้อมรายละเอียดเพิ่มเติม
nsel พิมพ์แต่ละเหตุการณ์ NSEL ในหนึ่งบรรทัด ค่าเริ่มต้นหากเปิดใช้งาน NSEL/ASA
nel พิมพ์แต่ละเหตุการณ์ NAT ในหนึ่งบรรทัด ค่าเริ่มต้นหากเปิดใช้งาน NEL
เอาต์พุต csv ที่คั่นด้วยเครื่องหมายจุลภาคสำหรับการประมวลผลที่เครื่องอ่านได้
ไปป์รูปแบบที่อ่านได้ของเครื่อง Legacy: ฟิลด์ '|' แยกออกจากกัน.
เอฟเอ็ม:รูป รูปแบบเอาต์พุตที่ผู้ใช้กำหนด
สำหรับแต่ละรูปแบบเอาต์พุตที่กำหนด ยกเว้น -o fmt: รูปแบบเอาต์พุตแบบยาว IPv6
ที่มีอยู่ บรรทัดที่ 6, long6 และ ขยาย6. ดู เอาท์พุต รูปแบบ ด้านล่างสำหรับข้อมูลเพิ่มเติม
-q ระงับบรรทัดส่วนหัวและสถิติที่ด้านล่าง
-N พิมพ์ตัวเลขธรรมดาในผลลัพธ์ ง่ายกว่าสำหรับการแยกวิเคราะห์ภายหลัง
-i ident
เปลี่ยนป้ายกำกับในไฟล์ ระบุโดย -r to ident
-v ไฟล์
ตรวจสอบ ไฟล์. พิมพ์เวอร์ชันไฟล์ข้อมูล จำนวนบล็อก และสถานะการบีบอัด
-E ไฟล์
พิมพ์รายชื่อผู้ส่งออก/ตัวอย่างที่พบใน ไฟล์. ในกรณีของไฟล์ตัวรวบรวม nfcapd an
สถิติเพิ่มเติมต่อผู้ส่งออกพิมพ์ด้วยจำนวนโฟลว์ แพ็กเก็ต และ
ข้อผิดพลาดของลำดับ
-x ไฟล์
สแกนและพิมพ์แผนที่นามสกุลที่อยู่ในไฟล์
-z บีบอัดกระแส ใช้การบีบอัด LZO1X-1 ที่รวดเร็วในไฟล์เอาต์พุต
-j ไฟล์
บีบอัด/คลายการบีบอัดไฟล์ที่กำหนด หากไฟล์ถูกบีบอัด ให้คลายการบีบอัดและกลับ
ในทางกลับกัน
-Z ตรวจสอบไวยากรณ์ตัวกรองและออก ตั้งค่าส่งคืนตามนั้น
-X รวบรวมไวยากรณ์ filer และดัมพ์ตารางกลไกกรองไปที่ stdout นี่สำหรับ
วัตถุประสงค์ในการดีบักเท่านั้น
-V พิมพ์เวอร์ชัน nfdump และออก
-h พิมพ์ข้อความช่วยเหลือใน stdout พร้อมตัวเลือกทั้งหมดและออก
กลับ มูลค่า
คืนสินค้า
0 ไม่มีข้อผิดพลาด
255 การเริ่มต้นล้มเหลว
254 ข้อผิดพลาดในไวยากรณ์ตัวกรอง
250 ข้อผิดพลาดภายใน
เอาท์พุท รูปแบบ
รูปแบบผลลัพธ์ ดิบ พิมพ์แต่ละบันทึกโฟลว์หลายบรรทัด รวมถึงข้อมูลทั้งหมด
มีอยู่ในบันทึก นี่คือมุมมองที่ละเอียดที่สุดในโฟลว์
รูปแบบเอาต์พุตอื่นจะพิมพ์แต่ละโฟลว์ในบรรทัดเดียว รูปแบบเอาต์พุตที่กำหนดไว้ล่วงหน้าคือ เส้น,
ยาว และ ขยาย รูปแบบผลลัพธ์ เส้น เป็นรูปแบบเอาต์พุตเริ่มต้นเมื่อไม่มีรูปแบบเป็น
ระบุไว้ มันจำกัด imformation กับรายละเอียดการเชื่อมต่อตลอดจนจำนวน
แพ็กเก็ต ไบต์ และโฟลว์
รูปแบบผลลัพธ์ ยาว เหมือนกับรูปแบบ เส้นและรวมถึงเพิ่มเติม
ข้อมูล เช่น แฟล็ก TCP และประเภทของบริการ
รูปแบบผลลัพธ์ ขยาย เหมือนกับรูปแบบ ยาวและรวมถึงเพิ่มเติม
ข้อมูลที่คำนวณได้เช่น PPS, bps และ บีพีพี.
ทุ่ง:
วันที่ ไหล เริ่มต้น: เริ่มการไหลของเวลาเห็นครั้งแรก รูปแบบ ISO 8601 รวมถึงมิลลิวินาที
ระยะเวลา: ระยะเวลาของการไหลในหน่วยวินาทีและมิลลิวินาที ถ้ารวมกระแสแล้ว
ระยะเวลา คือช่วงเวลาตลอดช่วงระยะเวลาตั้งแต่เห็นครั้งแรกจนเห็นครั้งสุดท้าย
โปรโต: โปรโตคอลที่ใช้ในการเชื่อมต่อ
ซีเนียร์ IP Addr:พอร์ต: ที่อยู่ IP ต้นทางและพอร์ตต้นทาง
ด IP Addr:พอร์ต: ที่อยู่ IP ปลายทางและพอร์ตปลายทาง ในกรณีของ ICMP พอร์ต
ถูกถอดรหัสเป็น type.code
ธง: TCP ตั้งค่าสถานะ ORed ของการเชื่อมต่อ
ไอ: ประเภทของบริการ
แพ็คเก็ต: จำนวนแพ็กเก็ตในโฟลว์นี้ ถ้าโฟลว์ถูกรวมเข้าด้วยกัน แพ็กเก็ตจะเป็น
สรุป.
ไบต์: จำนวนไบต์ในโฟลว์นี้ ถ้าโฟลว์ถูกรวม ไบต์จะถูกรวม
ขึ้น
พีเอส: แพ็กเก็ตที่คำนวณต่อวินาที: จำนวนแพ็กเก็ต / ระยะเวลา ถ้ากระแสคือ
รวมผลลัพธ์นี้ใน pps เฉลี่ยในช่วงเวลานี้
บิตต่อวินาที: บิตที่คำนวณต่อวินาที: 8 * จำนวนไบต์ / ระยะเวลา ถ้ากระแสคือ
รวมผลลัพธ์นี้เป็น bps เฉลี่ยในช่วงเวลานี้
บีพีพี: ไบต์ที่คำนวณต่อแพ็กเก็ต: จำนวนไบต์ / จำนวนแพ็กเก็ต ถ้ากระแสคือ
รวมผลลัพธ์นี้เป็น bpp เฉลี่ยในช่วงเวลานี้
กระแส: จำนวนการไหล ถ้าโฟลว์ถูกระบุไว้เท่านั้น ตัวเลขนี้จะเป็น 1 เสมอ ถ้าโฟลว์คือ
รวม นี้แสดงจำนวนของโฟลว์รวมไปยังหนึ่งเรกคอร์ด
ตัวเลขที่มากกว่า 1'000'000 (1000*1000) จะถูกปรับเป็น 4 หลักและทศนิยมหนึ่งหลัก
รวมทั้งปัจจัยมาตราส่วน M, G or T เพื่อผลผลิตที่สะอาดขึ้น เช่น 923.4 M
เพื่อให้เอาต์พุตอ่านง่ายขึ้น ที่อยู่ IPv6 จะถูกย่อเหลือ 16 อักขระ NS
เจ็ดหลักและเจ็ดหลักที่น้อยที่สุดเชื่อมต่อกับจุดสองจุด '..' จะแสดงตามปกติ
รูปแบบเอาต์พุต หากต้องการแสดงที่อยู่ IPv6 แบบเต็ม ให้ใช้รูปแบบยาวที่เหมาะสม ซึ่ง
เป็นชื่อรูปแบบ ตามด้วย a 6.
ตัวอย่าง: -o เส้น แสดงที่อยู่ IPv6 เป็น 2001:23..80:d01e ที่เป็นรูปแบบ -o บรรทัดที่ 6
แสดงที่อยู่ IPv6 แบบเต็มความยาว 2001:234:aabb::211:24ff:fe80:d01eส่วน
การรวมกันของ -o เส้น -6 เทียบเท่ากับ -o บรรทัดที่ 6.
รูปแบบผลลัพธ์ เอฟเอ็ม: ให้คุณกำหนดรูปแบบเอาต์พุตของคุณเองได้ รูปแบบ
ลักษณะ รูป ประกอบด้วยบรรทัดเดียวที่มีสตริงและรูปแบบที่กำหนดเอง
ตัวระบุตามที่อธิบายไว้ด้านล่าง
% แทรกที่กำหนดไว้ล่วงหน้า รูป ในตำแหน่งนี้ เช่น %ไลน์
% ts เวลาเริ่มต้น - เห็นครั้งแรก
% te เวลาสิ้นสุด - เห็นครั้งสุดท้าย
% tr เวลาที่นักสะสมได้รับโฟลว์
% td ระยะเวลา
%ราคา โปรโตคอล
% exp รหัสผู้ส่งออก
%อังกฤษ ประเภทเครื่องยนต์/รหัส
%sa ที่อยู่ต้นทาง
%ดา ที่อยู่ปลายทาง
% น้ำนม ที่มาที่อยู่:พอร์ต
%แดป ที่อยู่ปลายทาง:พอร์ต
%sp พอร์ตต้นทาง
%dp พอร์ตปลายทาง
%sn เครือข่ายต้นทาง ใช้มาสก์
%dn เครือข่ายปลายทาง ใช้มาสก์
%nh ที่อยู่ IP ถัดไป
%nhb ที่อยู่ IP ของ BGP Next-hop
%รา ที่อยู่ IP ของเราเตอร์
%sa ที่มา AS
%ดาส ปลายทาง AS
%nas AS . ถัดไป
% พาส AS . ก่อนหน้า
%ใน อินพุตอินเทอร์เฟซ num
%ออก เอาต์พุตอินเทอร์เฟซจำนวน
%แพ็ค แพ็คเก็ต - อินพุตเริ่มต้น
%ipkt อินพุตแพ็คเก็ต
%ตัวเลือก เอาต์พุตแพ็คเก็ต
% ไบต์ ไบต์ - อินพุตเริ่มต้น
%ibyte ไบต์อินพุต
% ทำตาม ไบต์เอาต์พุต
%ชั้น กระแส
%flg TCP แฟล็ก
% ถึง Tos - ค่าเริ่มต้น src
%stos Src ทอส
%dtos ดีเอสที ทอส
%ผบ ทิศทาง: เข้า, ออก
% smk หน้ากาก Src
%dmk หน้ากาก Dst
%fwd สถานะการส่งต่อ
%svln ป้ายกำกับ Src vlan
%dvln Dst vlan ป้าย
%ismc อินพุต Src Mac Addr
%odmc เอาต์พุต Dst Mac Addr
%idmc อินพุต Dst Mac Addr
%ออสแมค เอาต์พุต Src Mac Addr
%mpls1 ฉลาก MPLS 1
%mpls2 ฉลาก MPLS 2
%mpls3 ฉลาก MPLS 3
%mpls4 ฉลาก MPLS 4
%mpls5 ฉลาก MPLS 5
%mpls6 ฉลาก MPLS 6
%mpls7 ฉลาก MPLS 7
%mpls8 ฉลาก MPLS 8
%mpls9 ฉลาก MPLS 9
%mpls10 ฉลาก MPLS 10
%mppls ฉลาก MPLS 1-10
% ต่อวินาที bps - บิตต่อวินาที
%หน้า pps - แพ็กเก็ตต่อวินาที
%bpp bps - ไบต์ต่อแพ็คเกจ
รูปแบบเฉพาะของ NSEL
%เอ็นเอฟซี ID การเชื่อมต่อ NSEL
% ทั้งหมด เหตุการณ์ NSEL
%xevt NSEL ขยายกิจกรรม
%มิลลิวินาที เวลาเหตุการณ์ NSEL ในหน่วย msec
%ไอเอซีแอล NSEL ทางเข้า ACL
%ecl NSEL ทางออก ACL
%xsa ที่อยู่ IP NSEL XLATE src
%xda NSEL XLATE ที่อยู่ IP dst
%xsp พอร์ต NSEL XLATE src
%xdp พอร์ต NSEL SLATE dst
%xsap Xlate ที่มาที่อยู่:พอร์ต
%xdap Xlate ที่อยู่ปลายทาง:พอร์ต
%ชื่อ ชื่อผู้ใช้ NSEL
รูปแบบเฉพาะ NEL/NAT
% ถัดไป เหตุการณ์ NAT - เหมือนกับ %evt
%ไออาร์เอฟ NAT เข้า VRF ID
%evrf NAT ทางออก VRF ID
%nsa NAT src ที่อยู่ IP
%nda NAT ที่อยู่ IP dst
%nsp พอร์ต NAT src
%ndp พอร์ต NAT dst
%pbstart NAT พูลบล็อกเริ่มต้น
%pโค้งงอ ปลายบล็อกพูล NAT
%pbขั้น ขั้นตอนบล็อกพูล NAT
%pbขนาด ขนาดบล็อกพูล NAT
รูปแบบ Nprobe
%cl เวลาในการตอบสนองของไคลเอ็นต์
%sl เวลาในการตอบสนองของเซิร์ฟเวอร์
%อัล เวลาในการตอบสนองของแอปพลิเคชัน
ตัวอย่าง: รูปแบบเอาต์พุตมาตรฐาน ยาว สามารถสร้างได้เป็น
-o "fmt:%ts % td %ราคา % น้ำนม -> %แดป %flg % ถึง %แพ็ค % ไบต์ %fl"
คุณยังกำหนดรูปแบบเอาต์พุตของคุณเองและคอมไพล์เป็น nfdump ได้ ดู nfdump.c
ส่วน เอาท์พุต รูปแบบ .
การขอ CSV รูปแบบเอาต์พุตมีจุดประสงค์เพื่อให้โปรแกรมอื่นอ่านเพื่อการประมวลผลต่อไป เนื่องจาก
ตัวอย่าง ดูโปรแกรม parse_csv.pl Perl รูปแบบเอาต์พุต cvs ประกอบด้วยหนึ่งหรือ
บล็อกผลลัพธ์เพิ่มเติมและบล็อกสรุปหนึ่งบล็อก แต่ละบล็อกเอาท์พุตเริ่มต้นด้วยบรรทัดดัชนี cvs
ตามด้วยบรรทัดบันทึก cvs เส้นดัชนีอธิบายลำดับ ว่าแต่ละอันตามมาอย่างไร
บันทึกประกอบด้วย
ตัวอย่าง:
เส้นดัชนี: ts,te,td,sa,da,sp,dp,pr,...
Record line: 2004-07-11 10:30:00,2004-07-11 10:30:10,10.010,...
บันทึกทั้งหมดอยู่ในรูปแบบ ASCII ที่สามารถอ่านได้ ตัวเลขไม่ได้ถูกปรับขนาด ดังนั้นแต่ละบรรทัดจึงสามารถเป็น . ได้อย่างง่ายดาย
แยกวิเคราะห์
ดัชนีที่ใช้ใน nfdump 1.6:
ts,te,td บันทึกเวลา: t-start, t-end, Duration
sa,da src ที่อยู่ dst sp,dp src, dst port
โปรโตคอล pr PF_INET หรือ PF_INET6
flg ธง TCP:
000001 ฟิน
000010 ซิน
000100 รีเซ็ต
001000 ผลักดัน
010000 บค
100000 ด่วน
เช่น 6 => SYN + RESET
สถานะการส่งต่อ fwd
สตอส src ทอส
ipkt,ibyte แพ็กเก็ตอินพุต/ไบต์
opkt, obyt แพ็กเก็ตเอาต์พุต, ไบต์
อินพุต/เอาต์พุตอินเทอร์เฟซ SNMP number
sas,das src,dst AS
smk, dmk src, dst mask
dtos dst ถึง
ทิศทาง dir
nh,nhb ที่อยู่ IP ของ nethop, bgp next hop IP
svln, dvln src, dst vlan รหัส
ismc, odmc อินพุต src, เอาต์พุต dst MAC
idmc, osmc อินพุต dst, เอาต์พุต src MAC
mpls1,mpls2 ป้ายกำกับ MPLS 1-10
mpls3,mpls4
mpls5,mpls6
mpls7,mpls8
mpls9,mpls10
ra เราเตอร์ IP
eng ประเภทเครื่องยนต์ของเราเตอร์/id
ดู parse_csv.pl สำหรับรายละเอียดเพิ่มเติม
FILTER
ไวยากรณ์ตัวกรองคล้ายกับไลบรารี pcap ที่รู้จักกันดีซึ่งใช้โดย tcpdump ตัวกรอง
สามารถระบุได้ในบรรทัดคำสั่งหลังจากตัวเลือกทั้งหมดหรือในไฟล์แยกต่างหาก มัน
สามารถขยายได้หลายบรรทัด สิ่งใดก็ตามที่อยู่หลัง '#' จะถือเป็นความคิดเห็นและละเว้น
จุดสิ้นสุดของบรรทัด แทบไม่มีการจำกัดความยาวของนิพจน์ตัวกรอง ทั้งหมด
คำหลักเป็นกรณีอิสระ
ตัวกรองใด ๆ ประกอบด้วยนิพจน์หนึ่งหรือหลายนิพจน์ ด่วน. . จำนวนเท่าใดก็ได้ ด่วน สามารถเชื่อมโยงได้
ด้วยกัน:
ด่วน และ หมดอายุ, หมดอายุ or ประสบการณ์, ไม่ ประสบการณ์และ ( ด่วน ).
นิพจน์ สามารถเป็นหนึ่งในตัวกรองพื้นฐานต่อไปนี้:
ประกอบด้วย
@รวม
รวมถึงเนื้อหาของ ลงในตัวกรอง
ip รุ่น
inet or ipv4 สำหรับ IPv4
ไอเน็ต6 or ipv6 สำหรับ IPv6
โปรโตคอล
โปรโต
โปรโต
ที่ไหน เป็นที่รู้จักโปรโตคอลเช่น TCP, UDP, ไอซีเอ็มพี, icmp6, GRE, ESP, ahฯลฯ
หรือหมายเลขโปรโตคอลที่ถูกต้อง: 6, 17 เป็นต้น
IP ที่อยู่
[src|dst] ip
[src|dst] เจ้าภาพ
สีสดสวย เป็น IPv4 ที่อยู่ IPv6 ที่ถูกต้อง หรือชื่อโฮสต์แบบเต็ม เผื่อ
ของชื่อโฮสต์ ที่อยู่ IP จะถูกค้นหาใน DNS หากมีที่อยู่ IP มากกว่าหนึ่งที่อยู่
พบที่อยู่ IP ทั้งหมดถูกล่ามโซ่ไว้ด้วยกัน (ip1 or ip2 or ip3 ... )
หากต้องการตรวจสอบว่าที่อยู่ IP อยู่ในรายการ IP ที่รู้จักหรือไม่ ให้ใช้
[src|dst] ip in [ ]
[src|dst] เจ้าภาพ in [ ]
เป็นช่องว่างหรือรายการคั่นด้วยเครื่องหมายจุลภาคของบุคคล หรือมีคุณสมบัติครบถ้วน
ชื่อโฮสต์ซึ่งค้นหาใน DNS หากพบที่อยู่ IP มากกว่าหนึ่งที่อยู่ทั้งหมด
ที่อยู่ IP ถูกใส่ลงในรายการ
[src|dst]
ที่อยู่ IP, เครือข่าย, พอร์ต, หมายเลข AS ฯลฯ สามารถเลือกได้โดยเฉพาะโดยใช้ a
ตัวระบุทิศทาง เช่น src หรือ dst. นอกจากนี้ยังสามารถใช้ร่วมกับ
และ และ or. เช่น สิ่งอำนวยความสะดวก และ dst ip ...
เครือข่าย
[src|dst] สุทธิ เอบีซีดี mrs
เลือกเครือข่าย IPv4 เอบีซีดี ด้วยเน็ตมาสก์ mrs.
[src|dst] สุทธิ /
สีสดสวย เป็นเครือข่าย IPv4 หรือ IPv6 ที่ถูกต้องและ เป็นหน้ากาก จำนวนหน้ากาก
บิตต้องตรงกับตระกูลที่อยู่ที่เหมาะสมใน IPv4 หรือ IPv6 เครือข่ายอาจจะ
ตัวย่อเช่น 172.16/16 หากชัดเจน
ท่าเรือ
[src|dst] พอร์ต [คอมพ์]
สีสดสวย เป็นหมายเลขพอร์ตที่ถูกต้อง ถ้า คอมพ์ ถูกละเว้น
'=' ถูกสันนิษฐาน คอมพ์ อธิบายรายละเอียดเพิ่มเติมด้านล่าง
[src|dst] พอร์ต in [ ]
พอร์ตสามารถเปรียบเทียบกับรายการรู้ โดยที่ เป็นรายการที่คั่นด้วยช่องว่าง
ของหมายเลขพอร์ตแต่ละรายการ
ICMP
icmp-ประเภท
รหัส icmp
สีสดสวย เป็นประเภท/รหัส icmp ที่ถูกต้อง นี้หมายความโดยอัตโนมัติ โปรโต ไอซีเอ็มพี.
เราเตอร์ ID
ประเภทเครื่องยนต์
รหัสเครื่องยนต์
ซิสซิด
สีสดสวย เป็นประเภท/id ของเราเตอร์หรือรหัสผู้ส่งออกที่ถูกต้อง (0..255)
อินเตอร์เฟซ
[เข้า|ออก] if
เลือกอินพุตหรือเอาต์พุตหรือ ID อินเทอร์เฟซด้วย NUM เป็นหมายเลขอินเทอร์เฟซ SNMP
ตัวอย่าง: in if 3
AS ตัวเลข
[src|dst|ก่อนหน้า|ถัดไป] as [คอมพ์]
เลือกต้นทาง ปลายทาง ก่อนหน้า ถัดไป หรือหมายเลข AS ใดๆ ด้วย ตามที่ถูกต้องใด ๆ as
ตัวเลข. รองรับหมายเลข AS 32 บิต ถ้า คอมพ์ ละเว้น '=' จะถูกถือว่า คอมพ์ is
อธิบายรายละเอียดเพิ่มเติมด้านล่าง
[src|dst|ก่อนหน้า|ถัดไป] as in [ ]
หมายเลข AS สามารถเปรียบเทียบกับรายการรู้ โดยที่ เป็นช่องว่างหรือลูกน้ำ
แยกรายการหมายเลข AS แต่ละรายการ
อุปสรรค หน้ากาก บิต
[src|dst] หน้ากาก
สีสดสวย เป็นค่าบิตมาสก์ส่วนนำหน้าที่ถูกต้อง
วลาน ฉลาก
[src|dst] วแลน
สีสดสวย เป็นเลเบล vlan ที่ถูกต้อง
ธง
ธง
สีสดสวย เป็นการรวมกันของ:
เอเอเค.
เอส ซิน.
เอฟฟิน.
R รีเซ็ต
พี พุช.
ด่วน.
X เปิดแฟล็กทั้งหมด
ลำดับของธงไม่เกี่ยวข้อง แฟล็กที่ไม่ได้กล่าวถึงจะถือว่าไม่สนใจ
เพื่อให้ได้โฟลว์เหล่านั้นด้วยชุดแฟล็ก SYN เท่านั้น ให้ใช้ไวยากรณ์ 'ธง S และ ไม่
ธง เอเอฟอาร์พียู'.
ถัดไป กระโดด IP
ถัดไป ip
สีสดสวย เป็น IPv4/IPv6 IP address ของเราเตอร์ hop ถัดไป
ถัดไปกระโดด เราเตอร์ IP in BGP โดเมน
bgpถัดไป ip
สีสดสวย เป็น IP ของเราเตอร์ IPv4/IPv6 next-hop ในโดเมน BGP ( v9 #18 )
เราเตอร์ IP
เราเตอร์ ip
กรองโฟลว์ตามที่อยู่ IP ของเราเตอร์ที่ส่งออก
MAC ที่อยู่
[InOutSrcDst] Mac
ด้วยระบบเส้นทาง ที่อยู่ MAC ที่ถูกต้อง Mac สามารถระบุได้เฉพาะเจาะจงมากขึ้นโดยใช้any
การรวมกันของตัวระบุทิศทางตามที่กำหนดโดย CISCO v9 in สิ่งอำนวยความสะดวก, in dst, ออก สิ่งอำนวยความสะดวก,
ออก dst.
MPLS ฉลาก
mps ฉลาก [คอมพ์]
ด้วยระบบเส้นทาง เป็นป้ายกำกับ mpls หมายเลข 1..10 กรองป้ายกำกับที่ระบุทุกประการ .
mps EOS [คอมพ์]
กรองป้ายกำกับ End of Stack สำหรับค่าที่กำหนด .
mps exp [คอมพ์]
กรองบิตทดลองของฉลาก สีสดสวย 0..7.
แพ็คเก็ต
แพ็คเก็ต [คอมพ์] [มาตราส่วน]
เพื่อกรองเร็กคอร์ด netflow ด้วยจำนวนแพ็กเก็ตเฉพาะ
ตัวอย่าง: แพ็คเก็ต > 1k
ไบต์
ไบต์ [คอมพ์] [มาตราส่วน]
เพื่อกรองเร็กคอร์ด netflow ด้วยจำนวนไบต์เฉพาะ
ตัวอย่าง: ไบต์ 46 กรองแพ็กเก็ต IPv4 ที่ว่างเปล่าทั้งหมด
รวม ไหล
ไหล [คอมพ์] [มาตราส่วน]
เพื่อกรองเร็กคอร์ด netflow ด้วยจำนวนเฉพาะของโฟลว์รวม
ประเภท of บริการ (ทศ)
[ที่มาปลายทาง] TOS
ด้วยระบบเส้นทาง 0. เพื่อความเข้ากันได้กับ nfump 255.x: TOS เทียบเท่ากับ
สิ่งอำนวยความสะดวก TOS
แพ็คเก็ต ต่อ วินาที: คำนวณ มูลค่า
PPS [คอมพ์] NUM [มาตราส่วน]
เพื่อกรองโฟลว์ด้วยแพ็กเก็ตเฉพาะต่อวินาที
ระยะเวลา: คำนวณ ความคุ้มค่า
ระยะเวลา [คอมพ์] NUM
เพื่อกรองโฟลว์ด้วยระยะเวลาที่กำหนดในหน่วยมิลลิวินาที
เกร็ด ต่อ วินาที: คำนวณ มูลค่า
bps [คอมพ์] NUM [มาตราส่วน]
เพื่อกรองโฟลว์ที่มีไบต์เฉพาะต่อวินาที
ไบต์ ต่อ แพ็คเก็ต: คำนวณ มูลค่า
บีพีพี [คอมพ์] NUM [มาตราส่วน]
เพื่อกรองโฟลว์ที่มีไบต์เฉพาะต่อแพ็กเก็ต
ขนาด ปัจจัยการปรับขนาด อาจจะ k m g. ปัจจัยคือ 1000
คอมพ์ รองรับเครื่องเปรียบเทียบต่อไปนี้:
=, - >, <, อีคิว, แอลที GT . If คอมพ์ ละเว้น '=' จะถูกถือว่า
NSEL/เอเอสเอ โดยเฉพาะ ฟิลเตอร์:
NSEL/เอเอสเอ อีเว้นท์
ดังนั้น เหตุการณ์
ดังนั้น เหตุการณ์ [คอมพ์]
เลือกเหตุการณ์ NSEL/ASA ตามชื่อหรือหมายเลข หากกำหนดเป็นตัวเลขก็เปรียบได้กับ a
จำนวน
NSEL/เอเอสเอ ปฏิเสธ เหตุผล
ดังนั้น เหตุการณ์ ปฏิเสธ
เลือกเหตุการณ์ปฏิเสธ NSEL/ASA ตามประเภท
NSEL/เอเอสเอ ขยาย เหตุการณ์
ดังนั้น กิจกรรมซีเวนต์ [คอมพ์]
เลือกเหตุการณ์ NSELL ASA แบบขยายตามตัวเลข หรือจะเปรียบเทียบด้วยตัวเลขก็ได้
X-สาย IP ที่อยู่ และ พอร์ต
[src|dst] ซิป
เลือก แปล IP ที่อยู่
[src|dst] เอ็กซ์เน็ต /
สีสดสวย เป็นเครือข่าย IPv4 หรือ IPv6 ที่แปลแล้วและ เป็นหน้ากาก NS
จำนวนของมาสก์บิตต้องตรงกับตระกูลที่อยู่ที่เหมาะสมใน IPv4 หรือ IPv6
เครือข่ายอาจใช้อักษรย่อ เช่น 172.16/16 หากไม่คลุมเครือ
[src|dst] ส่งออก
เลือกพอร์ตที่แปล
NSEL/เอเอสเอ ทางเข้า/ออก
สิทธิในการเข้า [คอมพ์] จำนวน
เลือก/เปรียบเทียบ an สิทธิในการเข้า ACL
ออก ACL [คอมพ์]
เลือก/เปรียบเทียบ ACL . ขาออก
ใน โดยเฉพาะ NAT ฟิลเตอร์:
NAT อีเว้นท์
แน็ต เหตุการณ์
แน็ต เหตุการณ์ [คอมพ์]
เลือกเหตุการณ์ NEL NAT ตามชื่อหรือหมายเลข หากกำหนดเป็นตัวเลขก็เปรียบได้กับ a
จำนวน
ใน NAT ip ที่อยู่ และ พอร์ต
[src|dst] หยิก
เลือก NAT IP ที่อยู่
[src|dst] เอ็นพอร์ต
เลือก NAT พอร์ต
ใน NAT วีอาร์เอฟ
สิทธิในการเข้า วีอาร์เอฟ เลือก vrf
ตัวอย่าง
nfdump -r /และ/dir/nfcapd.201107110845 -c 100 โปรโต TCP และ ( สิ่งอำนวยความสะดวก ip 172.16.17.18 or dst
ip 172.16.17.19 )' ดัมพ์เร็กคอร์ด netflow 100 รายการแรกที่ตรงกับตัวกรองที่กำหนด:
nfdump -r /และ/dir/nfcapd.201107110845 -B การจับคู่แมปโฟลว์เป็นแบบซิงเกิ้ลสองทิศทาง
ไหล.
nfdump -R /และ/dir/nfcapd.201107110845:nfcapd.200407110945 'เจ้าภาพ '192.168.1.2 ทิ้งทั้งหมด
บันทึก netflow ของโฮสต์ 192.168.1.2 ตั้งแต่วันที่ 11 กรกฎาคม 08:45 - 09:45 น
nfdump -M /ถึง/และ/dir1:dir2 -R nfcapd.200407110845:nfcapd.200407110945 -s ระเบียน -n 20
สร้างสถิติ 20 อันดับแรกจาก 08:45 ถึง 09:45 น. จาก 3 แหล่ง
nfdump -r /และ/dir/nfcapd.201107110845 -s ระเบียน -n 20 -o ขยาย สร้าง 20 อันดับแรก
สถิติ, รูปแบบเอาต์พุตขยาย
nfdump -r /และ/dir/nfcapd.201107110845 -s ระเบียน -n 20 'ของ if 5 และ bps > 10k' สร้าง
สถิติ 20 อันดับแรกจากโฟลว์ที่มาจากอินเทอร์เฟซ 5
nfdump -r /และ/dir/nfcapd.201107110845 'inet6 และ โปรโต TCP และ ( สิ่งอำนวยความสะดวก พอร์ต > 1024 และ dst
พอร์ต 80 ) ดัมพ์การเชื่อมต่อพอร์ต 80 IPv6 ทั้งหมดไปยังเว็บเซิร์ฟเวอร์ใดๆ
หมายเหตุ
การสร้างสถิติสำหรับไฟล์ข้อมูลไม่กี่ร้อย MB นั้นไม่มีปัญหา อย่างไรก็ตามจะ
ระวังถ้าคุณต้องการสร้างสถิติของข้อมูลหลาย GB นี้อาจกินมากของ
หน่วยความจำและอาจใช้เวลาสักครู่ การลบชื่อโฟลว์ได้ย้ายเข้าสู่ nfanon แล้ว
ใช้ nfdump ออนไลน์โดยใช้บริการ onworks.net
