这是 sfcapd 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
sfcapd - sflow 捕获守护进程
概要
SFCAPD [选项]
商品描述
SFCAPD 是 nfdump 工具的 sflow 捕获守护进程。 它从
网络并将其存储到 nfcapd 兼容文件中。 输出文件是自动的
每 n 分钟轮换和重命名 - 通常为 5 分钟 - 根据时间戳
间隔的 YYYYMMddhhmm 例如 nfcapd.200407110845 包含 11 月 XNUMX 日的数据
2004 08:45 向前。 sfcapd 支持 sFlow 版本 4 和 5 数据报。
Sflow 是由 InMon Corporation 开发的行业标准。 有关更多信息,请参阅
http://sflow.org.
配置
-p 端口号
指定要侦听的端口号。 默认端口为 6343
-b 绑定主机
指定要绑定以进行侦听的主机名/IPv4/IPv6 地址。 可以是 IP 地址或
主机名,解析为附加到接口的 IP 地址。 默认为任何
可用的 IPv4 接口(如果未指定)。
-4 强制 sfcapd 仅侦听 IPv4 地址。 如果 a 可以与 -b 一起使用
主机名具有 IPv4 和 IPv6 地址记录。 取决于套接字实现 -6
也接受 IPv4 数据。
-6 强制 sfcapd 仅侦听 IPv6 地址。 如果 a 可以与 -b 一起使用
主机名具有 IPv4 和 IPv6 地址记录。
-j 多播组
加入指定的 IPv6 或 IPv6 组播组进行侦听。
-R 主机[/端口}
启用数据包中继器。 将所有传入的数据包发送到另一个 主持人 和 端口. 主持人 is
一个有效的 IPv4/IPv6 地址,或一个有效的符号主机名,它解析为
IPv6 或 IPv4 地址。 端口 可以省略并默认为端口 6343。 注意:由于
IPv4/IPv6 接受地址,端口分隔符为“/”。
-I 字符串 ( 资本 邮件 i )
指定一个标识字符串,它描述了源,例如路由器的名称。 这个
字符串被放入统计记录以识别来源。 默认值为“无”。 这是
与 nfdump 1.5.x 兼容并用于指定单个 sflow 源。 看 -n
-l 基目录 ( 邮件 ELL )
指定用于存储输出文件的基本目录。 如果子层次结构是
用 -S 指定最终目录连接到 基本目录/子层次结构.
这是为了与 nfdump 1.5.x 兼容并用于指定单个 sflow 源。
参见 -n
-n
配置一个名为的 sflow 源 身份 并由源 IP 地址标识 IP。 该
流文件的基本目录是 基目录. 如果指定了子层次结构
使用 -S 将最终目录连接到 base_directory/sub_hierarchy。 多
净流量 来源 能够 be 指定的。 全部 data is 发送 至 这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 同 端口 指定 by -p.
注意:您不得将 -n 选项与 -I 和 -l 混合使用。 使用任一语法。
-f
从给定中读取 sflow 数据包 pcap_文件 而不是网络。 这需要 sfcapd
使用 pcap 选项编译,仅用于调试。
-S
允许指定额外的目录子层次结构来存储数据文件。 这
默认为 0,没有子层次结构,这意味着文件直接在基目录中
(-l)。 基目录 (-l) 与指定的子层次结构格式连接
形成最终的数据目录。 定义了以下层次结构:
0 默认没有层次结构级别
1 %Y/%m/%d 年/月/日
2 %Y/%m/%d/%H 年/月/日/小时
3 %Y/%W/%u 年/week_of_year/day_of_week
4 %Y/%W/%u/%H 年/week_of_year/day_of_week/小时
5 %Y/%W/%u 年/week_of_year/day_of_week
6 %Y/%W/%u/%H 年/week_of_year/day_of_week/小时
7 %Y/%j 年/年
8 %Y/%j/%H 年/年/小时
9 %Y-%m-%d 年月日
10 %Y-%m-%d/%H 年-月-日/小时
-T <扩展名 列表>
指定要存储在流文件中的扩展名列表。 不管
扩展列表,每条记录存储以下 sflow 数据:first、last、fwd 状态、
tcp 标志、proto、(src)tos、src 端口、dst 端口、src ipaddr、dst ipaddr、in(packets)、
在(字节)。 此外,sfcapd 识别扩展名,如下所述。
扩展:
流扩展:
1 个输入/输出接口 SNMP 编号。
2 src/dst AS 编号。
3 src/dst 掩码,(dst)TOS,方向,
4 下一跳IP地址
5 BGP 下一跳 IP 地址
6 src/dst vlan id 标签
10 in_src/out_dst MAC 地址
默认选择扩展 1 和 2,这提供了与早期版本的兼容性
nfdump 版本。 可以通过指定一个“,”分隔的列表来添加/删除扩展
扩展 ID。 每个 id 都可以在前面加上一个可选符号 +/- 来添加或删除一个
扩展列表中的给定 id。 字符串“all”表示所有扩展名。 扩展
7-9 不适用于 sfcapd。
例子:
-T all 启用所有可能的扩展。
-T +3,+4 将扩展名 3 和 4 添加到默认值 1 和 2。
-T all,-5,-6 设置除 5 和 6 之外的所有扩展名
-T -1,4 删除默认扩展 1 并添加扩展 4
注意:扩展与 netflow 收集器 nfcapd 共享。 Sflow 以及
netflow 数据存储在相同类型的扩展中。
-t 间隔
指定旋转文件的时间间隔(以秒为单位)。 默认值为 300 秒(
5分钟 )。
-w 将文件轮换与接下来的 n 分钟(由 -t 指定)间隔对齐。 例子:如果
间隔为 5 分钟,同步时间为 0,5,10... 挂钟分钟 默认值:无对齐。
-x CMD
运行命令 CMD 在每个间隔结束时,当新文件可用时。 这
以下命令扩展可用:
%f 替换为文件名,例如 nfcapd.200407110845 包括任何
子层次结构。 ( 2004/07/11/nfcapd.200407110845 )
%d 替换为文件所在的目录。
%t 替换为时间 ISO 格式,例如 200407110845。
%u 替换为 UNIX 时间格式。
%i 替换了 -I 给出的 ident 字符串
-e 在每个周期自动过期文件。 最大 一生 和 最大 文件大小 使用定义
过期(1)
-P pid文件
指定pidfile 的名称。 默认是没有 pidfile。
-D 守护进程模式:fork 到后台并从终端分离。 Nfcapd 终止于信号
TERM、INT 和 HUP。
-u 用户身份
更改为用户 用户身份 尽早。 只允许 root 使用此选项。
-g 组名
更改为组 组名 尽早。 仅允许 root 使用此选项。
-B 布夫伦
以字节为单位指定套接字输入缓冲区长度。 对于大流量(接近 GB
流量)建议将此值设置得尽可能高(通常> 100k),
否则你可能会丢失数据包。 默认值依赖于操作系统(和内核)。
-E 将 nfdump 原始格式的数据记录打印到标准输出。 此选项用于调试目的
仅查看传入的 sflow 数据是如何处理和存储的。
-z 压缩流量。 在输出文件中使用快速 LZO1X-1 压缩。
-V 打印 sfcapd 版本并退出。
-h 使用所有选项将帮助文本打印到标准输出并退出。
返回 VALUE
成功时返回 0,如果初始化失败则返回 255。
记录
sfcapd 使用 SYSLOG_FACILITY LOG_DAEMON 将日志记录到 syslog 对于正常操作级别“警告”
应该没事。 更多信息在“信息”和“调试”级别报告。
关于收集到的流量的一个小统计数据,以及在结束时报告的错误
syslog 级别为“信息”的每个间隔。
示例
与旧的 sfcapd 1.5.x 兼容:
SFCAPD -w -D -l /数据/假脱机/路由器1 -p 6343 -B 128000 -I 路由器1 -x '/路径/some_app
-r %d/%f' -P /var/run/sfcapd/sfcapd.router1
选择性启用的发件人:
SFCAPD -高 -w -D -n 路由器1,192.168.1.10,/data/spool/router1 -p 6343 -B 128000 -P
/var/run/sfcapd/sfcapd.router1
附注
sfcapd 根据采样率自动缩放数据包和字节。
即使支持 sflow 版本 4 和 5,也并非所有可用的 sflow 元素都存储在
数据文件。 从这个版本开始,sfcpad 支持相同的共享字段
扩展,因为它是 netflow 版本 v9 的 netflow 伴侣 nfcapd。 看 NFCAPD(1). 更多的
将来会支持字段。
数据文件的格式与版本无关且兼容 nfcapd 收集的数据。
套接字缓冲区:设置套接字缓冲区大小取决于系统。 启动时,
sfcapd 返回缓冲区实际设置的字节数。 这是通过阅读完成的
返回缓冲区大小,可能与您请求的不同。
使用 onworks.net 服务在线使用 sfcapd
