这是可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行的命令 ra,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
ra -阅读 乌鳢(8) 数据。
版权
版权所有 (c) 2000-2003 QoSient。 版权所有。
概要
ra
ra [掠夺] [- 过滤表达式]
商品描述
Ra 读 乌鳢(8) 数据来自 标准输入,一个 argus 文件,或从远程 阿格斯服务器,
根据可选的过滤器遇到的记录 过滤表达式 ,要么
打印内容 乌鳢(5) 它遇到的记录 标准输出 或写它们
进入一个 乌鳢(5) 数据文件。
配置
-A 生成 ASCII 输出时,打印应用程序字节数。
-b 将编译的交易匹配代码转储到标准输出并停止。 这是
用于调试过滤器表达式。
-C [主持人:]
指明远程 Cisco Netflow 的可选主机和所需端口号
记录来源。 这会导致 ra(1) 打开一个 UDP 套接字,绑定到主机和
提供的端口,并尝试从打开的套接字读取 Cisco Netflow 记录。
-d
打印指定数量 来自用户数据捕获缓冲区。 这
value 可以是数字,也可以是指定字节数的表达式
源或目标缓冲区。 格式包括:
-d 32 从 src 和 dst 缓冲区打印 32 个字节
-d s24 从 src 缓冲区打印 24 个字节
-d d16 从 dst 缓冲区打印 16 个字节
-d s32:d8 从 src 缓冲区打印 32 个字节和
来自 dst 缓冲区的 8 个字节
-D
打印对应的调试信息 到 stderr,如果程序编译为
支持调试打印。 随着级别的增加,调试量也会增加
信息 ra(1) 将打印。 值范围为 1-8。
-E
在命令末尾使用过滤器表达式时,此选项将导致 ra(1)
将过滤器拒绝的记录写入
-F
使用 VHDL 语言编写 作为配置信息的来源。 这个文件的格式是
相同 资源(5). 读取的数据来自 覆盖任何先前的配置
信息。
-h 打印所有参数的解释。
-n 不要将主机号和服务号转换为名称。 -nn 将抑制翻译
协议编号,以及。
-p
打印 部分时间的精度单位数。
-q 以安静模式运行。 将 Ra 配置为不打印出记录的内容。 这可以
与 -T 和 -a 选项一起使用以支持聚合活动而不打印每个
输入记录。
-r <文件 文件 ...> -
从中读取数据 按照命令行中显示的顺序。 '-' 表示标准输入。
因为这个选项可以有很多参数,所以它必须以“-”结尾。 这
'-' 后续选项就足够了。 拉能读 GZIP(1), bzip2(1) 和
压缩(1) 压缩数据文件。
-R 可用时打印响应数据。 此选项适用于 ICMP、arp 和 BOOTP 流量
指示对这些协议特定查询的响应。
-s <[-][[+[#]]字段 ...> -
指定 领域 打印。 Ra 使用默认的打印字段列表,通过指定一个
您可以完全替换此列表,也可以修改现有的默认值
打印列表,使用可选的“-”和“+[#]”形式的命令。 可用的
要打印的字段是:
startime, lasttime, 计数, dur, avgdur,
萨德尔, 爸爸, 原型, 运动, dport, ipid,
stos, dtos, sttl, dttl, 字节, sbytes, dbytes,
pkts、spkts、dpkts、负载、损耗、速率、
srcid、ind、mac、dir、抖动、状态、用户、
赢,反,seq,vlan,mpls
例子是:
-s srcaddr 只打印源地址。
-s -bytes 从列表中删除字节字段。
-s +2srcid 添加 MAC 地址作为第二个字段。
-s mac pkts 打印 MAC 地址以及 src 和 dst pkt 计数。
-S
指定远程 阿格斯服务器 . 使用可选
-t
指定 <时间 范围> 用于匹配 乌鳢(5) 记录。 的语法 <时间
范围> 是:
时间规格[-时间规格]
时间规格:[[[yyyy/]mm/]dd.]hh[:mm[:ss]]
[yyyy/]毫米/日
-%d{yMdhms}
的例子有:
-t 14 每天下午 2 点到 3 点匹配
-t 23.11:10-14 11:10:00 - 2日下午23点
-t 11/23 23 月 XNUMX 日的所有记录
-t 1999/01/23.10 10年11月23日上午1999-XNUMX点
-t -10m 匹配 10 分钟前到现在
-t -2h5m-2h 匹配 2 小时 5 分钟前的范围
直到2小时前。
-T
阅读 乌鳢(5) 从远程服务器为 时间。
-u 使用 UTC 时间格式写出时间值。
-w
将匹配数据写入 在 乌鳢 文件格式。 一个 输出文件 '-' 指示
ra 写 乌鳢(5) 记录到标准输出,允许“链接” ra * 样式命令
在一起。
-z 打印每个 tcp 事务的 Argus TCP 状态更改。 值是
's' - 同步传输
'S' - 同步确认
'E' - TCP 建立
'f' - Fin 传输(FIN 等待状态 1)
'F' - Fin 确认(FIN 等待状态 2)
'R' - TCP 重置
-Z
打印实际的 TCP 标志值。 <'s'rc | 'd's | 'b'oth>。
'F' - 鳍
'S' - 同步
'R' - 重置
'P' - 推
'A' - 确认
'U' - 紧急指针
'7' - 未定义的第 7 位集
'8' - 未定义的第 8 位集
FILTER 表达
如果选项处理后参数仍然存在,则集合被解释为单个
过滤 表达. 为了指示参数的结束,建议在前面加上“-”
过滤器表达式被添加到命令行。
过滤器表达式指定哪个 乌鳢(5) 将选择记录进行处理。
如果不 表达 给定,则选择所有记录,否则,仅选择那些记录
这 表达 是“真”将被打印。
语法与表达式语法非常相似 转储(1), 作为 tcpdump
编译器是基础 乌鳢(5) 过滤表达式编译器。 语义为
转储(1) 的 包过滤表达式应用于事务记录时不同
过滤,因此存在一些重大差异。
这个 表达 由一个或多个 原语。 原语通常由一个 id
(姓名或号码)前面有一个或多个限定词。 有三种不同的类型
预选赛:
类型 限定词说明 id 名称或编号所指的类型。 可能的类型
旨在 编号, 主持人, 净, 端口, 咳嗽, TTL, VID和 στα μέσα.
例如,“srcid isis”、“host sphynx”、“net 192.168”、“端口域”、“ttl 1”。 如果有
没有类型限定符, 主持人 假设。
DIR 限定符指定特定的传输方向和/或来自 an ID。 可能存在
方向是 SRC, DST, SRC or DST 和 SRC 和 DST. 例如,`src sphynx'、`dst net
192.168'、`src 或 dst 端口 ftp'、`src 和 dst tos 0x0a'、`src 或 dst vid 0x12`。 如果
没有 dir 限定符, SRC or DST 假设。
原 限定符将匹配限制为特定协议。 可能的值是那些
在指定 / etc /协议 系统文件。 当之前 , 协议
./include/ethernames.h 中指定了有效的名称和数字。
除了上述之外,还有一些特殊的“原始”关键字没有跟在后面
模式: 网关, 组播和 播放. 所有这些都在下面描述。
使用单词构建更复杂的过滤器表达式 和, or 和 而不去 结合
原语。 例如,'host foo 而不是端口 ftp 而不是端口 ftp-data'。 为了节省打字,
可以省略相同的限定符列表。 例如,`tcp dst port ftp or ftp-data or domain'
与'tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'完全相同。
允许的原语是:
编号 阿古西德
如果 Argus 记录的 Argus 标识符字段为 True 编号, 这可能是一个 IP
地址、名称或十进制/十六进制数。
DST 主持人 主持人
如果 Argus 记录的 IP 目标字段为 True 主持人,这可能是
地址或姓名。
SRC 主持人 主持人
如果 Argus 记录的 IP 源字段为 True 主持人.
主持人 主持人
如果 Argus 记录的 IP 源或目标是 主持人. 任何
上面的主机表达式可以加上关键字, ip, ARP或 说唱 as
在:
ip 主持人 主持人
这相当于:
原 \ip 和 主持人 主持人
If 主持人 是具有多个 IP 地址的名称,每个地址都会被检查
匹配。
DST 主机
如果以太网目标地址为真 主机. 主机 可能是一个名字来自
/etc/ethers 或一个数字(见 醚(3N) 用于数字格式)。
SRC 主机
如果以太网源地址为真 主机.
主持人 主机
如果以太网源地址或目标地址为真 主机.
网关 主持人
如果交易使用,则为真 主持人 作为网关。 即,以太网源或
目标地址是 主持人 但 IP 源和 IP 目的地都不是
主持人. 主办方 必须是一个名字,并且必须在两者中都能找到 / etc / hosts文件 和 /etc/ethers.conf
(等价的表达式是
主持人 主机 和 而不去 主持人 主持人
可以与名称或数字一起使用 主持人 / 主机.)
DST 净 净
如果 Argus 记录的 IP 目标地址的网络号为 True 净,
可以是地址或名称。
SRC 净 净
如果 Argus 记录的 IP 源地址的网络号为 True 净.
净 净
如果 Argus 记录的 IP 源地址或目标地址具有
网络号码 净.
DST 端口 端口
如果网络事务是 ip/tcp 或 ip/udp 并且具有目标端口,则为真
价值 端口。 该 端口 可以是数字或名称 / etc /服务 (见
TCP(4P) 和 UDP(4P))。 如果使用名称,则端口号和协议都是
检查。 如果使用数字或不明确的名称,则只检查端口号
(例如, DST 端口 513 将打印 tcp/login 流量和 udp/who 流量,以及 端口
域 将打印 tcp/domain 和 udp/domain 流量)。
SRC 端口 端口
如果网络事务的源端口值为 True 端口.
端口 端口
如果 Argus 记录的源端口或目标端口为 True 端口. 任何
上面的端口表达式可以加上关键字, TCP or UDP,如:
TCP SRC 端口 端口
仅匹配 tcp 连接。
ip 原 协议
如果 Argus 记录是 ip 交易,则为真(请参阅 ip(4P)) 的协议类型
协议. 协议 可以是数字或在
/etc/协议sk.
组播
如果网络事务涉及 ip 多播地址,则为真。 通过指定
以太网多播,您可以选择涉及以太网多播的 argus 记录
地址。
播放
如果网络事务涉及 ip 广播地址,则为真。 通过指定
以太网广播,您可以选择涉及以太网广播的argus记录
地址。
原 协议
如果 Argus 记录是以太类型,则为真 协议. 协议 可以是数字或
名字像 ip, ARP或 说唱. 请注意,这些标识符也是关键字,必须是
通过反斜杠 (\) 转义。
DST TTL 数
如果 Argus 记录的目标 TTL 等于 数.
SRC TTL 数
如果 Argus 记录的源 TTL 等于 数.
TTL 数
如果 Argus 记录的源或目标 TTL 等于 数.
DST 咳嗽 数
如果 Argus 记录的目标 TOS 等于,则为真 数.
SRC 咳嗽 数
如果 Argus 记录的源 TOS 等于 数.
咳嗽 数
如果 Argus 记录的源或目标 TOS 等于 数.
DST VID 数
如果 Argus 记录的目标 VLAN id 等于,则为真 数.
SRC VID 数
如果 Argus 记录的源 VLAN id 等于 数.
VID 数
如果 Argus 记录的源或目标 VLAN id 等于 数.
DST στα μέσα 数
如果 Argus 记录的目标 MPLS 标签等于 数.
SRC στα μέσα 数
如果 Argus 记录的源 MPLS 标签等于 数.
στα μέσα 数
如果 Argus 记录的源或目标 MPLS 标签等于
数.
Ra 过滤器表达式支持特定于流状态的原语并且可以使用
选择在生成时处于这些状态的流记录。 正常,
等待, 超时, 是 or 同
选择经历碎片化的流的原语。 片段 和 腼腆
支持选择使用多对 MAC 地址的流
一生。 多
支持特定于 TCP 流的原语。 SYN, 同步, data, ECN, 结束, 芬克,
重置, 转发, 乱序 和 温舒特
支持特定于 ICMP 流的原语。 回音, 遥不可及, 重定向 和 定时
对于某些基元,方向限定符是合适的。 这些是 片段, 重置,
转发, 乱序 和 温舒特
可以使用以下方法组合原语:
一组带括号的原语和运算符(括号是特殊的
壳并且必须被转义)。
否定 (`!' 或`而不去“)。
串联 (`和“)。
交替(`or“)。
否定具有最高优先级。 交替和串联具有相同的优先级和
从左到右关联。 注意显式 和 标记,而不是并列,现在是
串联所需。
如果给出的标识符没有关键字,则假定为最近的关键字。 为了
例,
而不去 主持人 毛 和 阿努比斯
是短期的
而不去 主持人 毛 和 主持人 阿努比斯
不应与
而不去 ( 主持人 毛 or 阿努比斯 )
表达式参数可以传递给 ra(1) 作为单个参数或多个
论据,以更方便的为准。 一般情况下,如果表达式包含Shell
元字符,更容易将其作为单个带引号的参数传递。 多个参数
在解析之前用空格连接。
创业公司 的解决方案
Ra 首先搜索配置文件 .rar 首先在目录中, $阿古斯之家
然后 $ HOME。 如果一个 .rar 如果找到,则设置文件中指定的所有变量。
Ra 然后解析其命令行选项并相应地设置其内部变量。
如果在命令行中指定了配置文件,则使用“-f “ 选项,
此 .rarc 格式文件中的值取代所有其他值。
示例
报告来自主机“narly.wave.com”的所有 TCP 交易,读取交易数据
, argus 文件 阿格斯数据:
ra -r 阿格斯数据 - TCP 和 主持人 narly.wave.com网站
创建 argus 文件 icmp.log 包含所有涉及主机 nimrod 的 ICMP 事件,使用数据
, argus 文件, 但从 标准输入:
猫 argus 文件 | ra -r - -w icmp日志 - 国际会议 和 主持人 尼姆罗德
OUTPUT FORMAT
以下是对输出格式的简要说明 ra 其中报告交易
各种详细程度的数据。 一般格式为:
次 原 源主机 DIR 主机 [数数] 状态
次
的格式 次 字段由 .rarc 文件指定,使用支持的语法
例程 当地时间(3V)。 默认是 阿古斯 交易数据包含两者
开始和结束交易时间,精确到微秒。 然而, ra
根据状态,仅打印出这些日期之一 乌鳢 服务器。 什么时候
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 乌鳢 服务器以默认模式运行, ra 报告交易开始时间。
当服务器处于 DETAIL 模式时,报告事务结束时间。
mac地址
mac地址 是一个可选字段,使用 -m 旗。 mac地址 代表
为特定事务看到的第一个源和目标 MAC 地址。 这些
地址与 主机端口 字段,所以需要方向指示器
区分源MAC地址和目的MAC地址。
原 [选项 协议]
这个 原 指标由两个字段组成。 第一个是特定于协议的
称号是:
m - MPLS 封装流
q - 802.1Q 封装流
p - PPP over Enternet 封装流
E - 多重封装/标签
s - Src TCP 数据包重传
d - Dst TCP 数据包重传
* - Src 和 Dst TCP 重传
i - Src TCP 数据包乱序
r - Dst TCP 数据包乱序
& - Src 和 Dst 数据包都乱序
S - Src TCP 窗口关闭
D - Dst TCP 窗口关闭
@ - Src 和 Dst 窗口关闭
x - Src TCP 显式拥塞通知
t - 目标 TCP ECN
E - Src 和 Dst ECN
M - 多个物理层路径
I - 映射到此流的 ICMP 事件
S - IP 选项严格源路由
L - IP 选项松散源路由
T - IP 选项时间戳
+ - IP 选项安全
R - IP 选项记录路由
A - IP 选项路由器警报
O - 多个 IP 选项集
E - 未知 IP 选项集
F - 看到的碎片
f - 部分片段
V - 看到片段重叠
第二个字段表示交易中使用的上层协议。 这个领域
将包含所用协议的正式名称的前 4 个字符,如
在 RFC-1700 中定义。 阿格斯试图发现实时传输协议,
当它被使用时。 当它遇到 RTP 时,它会表明它在这个
字段,带有字符串 'rtp'。 使用 -n 选项,两次 (-nn),将导致
要显示的实际协议编号。
主持人
这个 主持人 字段是协议相关的,并且对于所有协议都将包含 IP
地址名称。 对于 TCP 和 UDP,该字段还将包含端口号/名称,
以句号分隔。
DIR
这个 DIR 字段将有交易的方向,因为可以最好地确定
来自数据,用于指示哪些主机正在传输。 对于 TCP,目录
字段表示TCP连接的实际来源,中心字符
表示交易的状态。
- - 交易正常
| - 交易被重置
o - 事务超时。
? - 交易方向未知。
数
数 是一个可选字段,使用 -c 选项。 有4个字段
被生产。 前 2 个是数据包计数,最后 2 个是字节计数
为具体交易。 这些字段与之前的主机字段配对,
并代表相应主机传输的数据包。
状态
这个 状态 字段表示交易报告的本金状态,是
协议依赖。 对于除 ICMP 之外的所有协议,该字段报告
交易的基本状态。
请求|情报 (请求|初始)
这表明这是 初始 交易的状态报告并被看到
只有当 阿格斯服务器 处于详细模式。 对于 TCP 连接,这是 REQ,
表示正在请求连接。 对于无连接协议,
比如UDP,这是 INT.
ACC (公认)
这表明发生了请求/响应条件,并且事务
已在两台主机之间检测到。 对于 TCP,这表示连接
请求已被回答,连接将被接受。 这个只能看到
当 阿格斯服务器 处于详细模式。 对于无连接协议,这个状态
表示两台主机之间有一个单一的数据包交换,并且可以
符合请求/响应事务的条件。
美国东部时间|CON (成立|连接)
此记录类型表明所报告的交易处于活动状态,并且已被
成立或正在继续。 这应该被解释为一个状态报告
当前活跃的交易。 对于 TCP,EST 状态仅在 DETAIL 模式下可见,
并表示已完成连接的三向握手。
CLO (关闭)
TCP 特定,此记录类型表示 TCP 连接已正常关闭。
TIM (暂停)
在此期间,未发现与此交易相关的活动 乌鳢 服务器超时
本协议的期限。 仅当有数据包记录时才会看到此状态
自此交易的上次报告以来。
对于 ICMP 协议, 状态 字段显示 ICMP 类型的特定方面。 ICMP
status 可以有以下值:
经合组织 回声请求
ECR 回声回复
型钢 源头淬火
红色 重定向
RTA 路由器广告
转运站 路由器请求
发送端 超过时间
PAR 参数问题
尖沙咀 时间戳请求
TSR 时间戳回复
IRQ Information Request
IRR 信息回复
马航 掩码请求
MSR 面具回复
瓮 不可达网络
尿素 无法访问的主机
URP 无法访问的端口
URF 不可达的需求碎片化
URS 无法访问的源失败
乌尔努 无法访问的 dst 网络未知
乌尔胡 无法访问的 dst 主机未知
优生 无法访问的源主机隔离
瓮保 禁止无法访问的网络管理
URHPRO 项目 禁止无法访问的主机管理
乌尔托斯 禁止无法访问的网络 TOS
优拓 禁止无法访问的主机 TOS
网址 无法访问的管理过滤器
乌尔普雷 不可达优先级冲突
乌尔库特 无法到达的优先级截止
OUTPUT 示例
这些例子显示了典型的 ra 输出,并演示了在
乌鳢 数据。 这 ra 输出是使用 -n 抑制数字的选项
翻译。
星期四 12/29 06:40:32 S TCP 132.3.31.15.6439 -> 12.23.14.77.23 CLO
这是到主机 12.23.14.77 上的 telnet 端口的正常 tcp 事务。 IP选项
看到了严格的源路由。
星期四 12/29 06:40:32 TCP 132.3.31.15.6200 <| 12.23.14.77.25 RST
这个来自主机 12.23.14.77 的 smtp 端口的 tcp 事务是 重设,表明
交易被拒绝。
星期四 12/29 03:39:05 M 免疫组化 12.88.14.10 <-> 128.2.2.10 与
这是一个igmp交易状态报告,通常与MBONE流量一起看到。 有
用于支持事务的多个源和目标 MAC 地址对,
建议一个可能的路由循环。
星期四 12/29 06:40:05 * TCP 12.23.14.23.1043 <-> 12.23.14.27.6000 TIM
这是一个 X-windows 事务,具有 时间到. 数据包在期间被重传
连接。
星期四 12/29 07:42:09 UDP 12.9.1.115.2262 -> 28.12.141.6.139 INT
这是一个初始的 netbios UDP 事务状态报告,表明这是
此事务遇到的第一个数据报。
星期四 12/29 06:42:09 国际会议 12.9.1.115 <-> 12.68.5.127 经合组织
此示例表示主机 12.9.1.115 的“ping”及其响应。
下一个示例显示 ra 一个完整的 TCP 事务的输出,具有前面的 Arp 和
DNS 请求,同时从远程读取 阿格斯服务器. CLO 报告中的“*”表示
在交易过程中至少重传了一个 TCP 数据包。 在这个主机名
例子是虚构的。
% ra-S 阿格斯服务器 和主机 i.qsient.com
ra: 尝试 argus-server 端口 561
ra:已连接的 Argus 2.0 版
周六 12/03 15:29:38 arp i.qosient.com who-has dsn.qosient.com INT
周六 12/03 15:29:39 udp i.qosient.com.1542 <-> dns.qosient.53 INT
周六 12/03 15:29:39 arp i.qsient.com who-has qsient.com INT
周六 12/03 15:29:39 * tcp i.qosient.com.1543 -> qosient.com.smtp CLO
作者
卡特布拉德 ([email protected]).
使用 onworks.net 服务在线使用 ra
