Доброго дня !

Имеется 2 маршрутизатора Cisco генерирующие логи netflow 5 версии.
При этом ip-трафик пользователя, проходит через оба маршрутизатора.
Если собирать трафик командой
/usr/local/netflow/bin/flow-capture -w /usr/local/netflow/logs -n 95 -N 3 -S 60 -V 5 -z 9 0/0/9992
то трафик этого пользователя запишется в логи 2 раза ?
Каким образом можно, в этом случае, вычленить трафик пользователя из этих логов, прошедший только через один маршрутизатор ?

Если лог направить на flow-print с опцией -f7 (1 line, 132 column +router_id), то выдается сообщение об ошибке :
/flow-cat ./ft-v05.2006-10-01.000000+0400 | /flow-print -f9
flow-print: Flow record missing required field for format.

а в случае с "/flow-cat ./ft-v05.2006-10-01.000000+0400 | /flow-print -f5"
нет идентификатора маршрутизатора.

Можно ли решить проблему не прибегая к использованию 2-х коллекторов flow-capture ?

• Сбор трафика flow-capture с нескольких маршрутизаторов.,pal, 21:19 , 03-Апр-07
  • Сбор трафика flow-capture с нескольких маршрутизаторов.,vkorneev, 14:24 , 04-Апр-07
    • Сбор трафика flow-capture с нескольких маршрутизаторов.,pal, 14:28 , 04-Апр-07
    • Сбор трафика flow-capture с нескольких маршрутизаторов.,Kwach, 03:29 , 25-Май-08

>Доброго дня !
>
>Имеется 2 маршрутизатора Cisco генерирующие логи netflow 5 версии.
>При этом ip-трафик пользователя, проходит через оба маршрутизатора.
>Если собирать трафик командой
>/usr/local/netflow/bin/flow-capture -w /usr/local/netflow/logs -n 95 -N 3 -S 60 -V 5 -z
>9 0/0/9992
>то трафик этого пользователя запишется в логи 2 раза ?
>Каким образом можно, в этом случае, вычленить трафик пользователя из этих логов,
>прошедший только через один маршрутизатор ?
>
>Если лог направить на flow-print с опцией -f7 (1 line, 132 column
>+router_id), то выдается сообщение об ошибке :
>/flow-cat ./ft-v05.2006-10-01.000000+0400 | /flow-print -f9
>flow-print: Flow record missing required field for format.
>
>а в случае с "/flow-cat ./ft-v05.2006-10-01.000000+0400 | /flow-print -f5"
>нет идентификатора маршрутизатора.
>
>Можно ли решить проблему не прибегая к использованию 2-х коллекторов flow-capture ?
>

В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе
можешь выложить где-нибудь один файл для примера, покопаться?

>В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе
>можешь выложить где-нибудь один файл для примера, покопаться?

У меня скрипты на flow-print настроены.
Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные о маршрутизаторе, с которого пришел этот флоу ?

>
>>В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе
>>можешь выложить где-нибудь один файл для примера, покопаться?
>
>У меня скрипты на flow-print настроены.
>Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные
>о маршрутизаторе, с которого пришел этот флоу ?

Попробуй flow-export, выбери нужные поля...

>
>>В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе
>>можешь выложить где-нибудь один файл для примера, покопаться?
>
>У меня скрипты на flow-print настроены.
>Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные
>о маршрутизаторе, с которого пришел этот флоу ?

К примеру экспорт в MySQL:

/usr/local/bin/flow-cat work/* | flow-export     -f3    -mUNIX_SECS,DOCTETS,SRCADDR,DSTADDR,SRCPORT,DSTPORT  -u    "root::127.0.0.1::netflow:raw"
flow-export: Exported 15360 records

Только нужно добавить поле с данными о источнике.

Удачи! )