alexpn Опубликовано 25 июня, 2015 · Жалоба Здравствуйте Нужна помощь в поиске коллектора для Netflow CG_NAT nat logging-profile NAT_log transport-protocol udp export-version v9 dscp ef maximum ip-packet-size 65520 source 192.168.15.222 port 9996 destination 192.168.15.208 context local port 9996 ip nat pool NAT-199 napt paired-mode logging paired-mode subscriber over-subscription 64 port-limit 2000 logging-profile NAT_log context local ......................... Настройка эриксона 192.168.15.223.9996 > 192.168.15.208.9996: [no cksum] UDP, length 48 192.168.15.222.9996 > 192.168.15.208.9996: [no cksum] UDP, length 92 192.168.15.223.9996 > 192.168.15.208.9996: [no cksum] UDP, length 116 192.168.15.222.9996 > 192.168.15.208.9996: [no cksum] UDP, length 308 13:43:15.844879 IP (tos 0xc0, ttl 64, id 39996, offset 0, flags [none], proto UDP (17), length 1492) 192.168.15.222.9996 > 192.168.15.208.9996: [no cksum] UDP, length 116 13:43:19.839996 IP (tos 0xc0, ttl 64, id 41618, offset 0, flags [none], proto UDP (17), length 1492) 13:43:19.899962 IP (tos 0xc0, ttl 64, id 41637, offset 0, flags [none], proto UDP (17), length 1492) 192.168.15.223.9996 > 192.168.15.208.9996: [no cksum] UDP, length 444 192.168.15.222.9996 > 192.168.15.208.9996: [no cksum] UDP, length 92 192.168.15.223.9996 > 192.168.15.208.9996: [no cksum] UDP, length 140 192.168.15.222.9996 > 192.168.15.208.9996: [no cksum] UDP, length 116 13:43:22.079996 IP (tos 0xc0, ttl 64, id 42468, offset 0, flags [none], proto UDP (17), length 1492) 192.168.15.223.9996 > 192.168.15.208.9996: [no cksum] UDP, length 140 192.168.15.222.9996 > 192.168.15.208.9996: [no cksum] UDP, length 140 ^C5652 packets captured 6939 packets received by filter 1168 packets dropped by kernel Пакеты летят но обработать пока нечем Может кто-ть поделится решением желательно открытым про бывал nfdump но эффекта нет то что дает qtech работает только для NETFLOW 5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 25 июня, 2015 · Жалоба в закрытом разделе выкладывали патч для nfdump http://noc.vrn.ru/support/nfdump/nfdump-1.6.5.patch.gz Здесь http://noc.vrn.ru/su...-1.6.5.patch.gz находится патч для nfdump 1.6.5 конвертирущий SmartEdge Router Specific Logging Field в стандартные поля netflow v9 и позволяющий далее работать с ними стандартными средствами nfdump. Для этого, после применения патча, нужно запускать nfcapd с ключем -N. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexpn Опубликовано 25 июня, 2015 · Жалоба да не работает это нифига ! по крайне мене с версией ядра 12.7 libipfix есть паченый но пишет формат #hdr: v9, 1916501.408, 1435217179, 7371778 257, 0x00000001, 0x558bad19, 0x0a299ec6, 0x5d5eb71f, 0x11c0, 0x11df 257, 0x00000001, 0x558bad19, 0x0a29fc9a, 0x5d5eb74a, 0x2be0, 0x2bff 257, 0x00000001, 0x558bad19, 0x0a29012e, 0x5d5eb702, 0x1040, 0x105f 257, 0x00000001, 0x558bad19, 0x0a296602, 0x5d5eb741, 0x1e60, 0x1e7f 257, 0x00000001, 0x558bad19, 0x0a295c4f, 0x5d5eb755, 0x1e60, 0x1e7f 257, 0x00000001, 0x558bad19, 0x0a298615, 0x5d5eb702, 0x2b20, 0x2b3f 257, 0x00000001, 0x558bad19, 0x0a296d0d, 0x5d5eb755, 0x37a0, 0x37bf 257, 0x00000001, 0x558bad19, 0x0a29c4d8, 0x5d5eb760, 0x1240, 0x125f 258, 0x00000001, 0x558bac9d, 0x558bad1a, 0x0a290920, 0x5d5eb74f, 0x0ea0, 0x0ebf вопрос как рскодировать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 25 июня, 2015 · Жалоба alexpn, сам собирал патчил - всё работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexpn Опубликовано 26 июня, 2015 · Жалоба Ну вообщем получилось вот так запачил nfdump-1.6.13 Прикрутил nfsen-1.3.7 ключик -N занят поэтому сделал -SSSE но это не важно полетели пакеты 2015-06-25 17:10:30.000 18388.000 0 10.41.226.179:19616 -> y.y.y.y:19647 3.2 G 0 1 2015-06-25 11:15:28.000 39690.000 0 10.41.230.252:21440 -> x.x.x.x:21471 3.2 G 0 1 смысла особого в них нет сделал еще один коллектор netflow5 и повесил сбор прям на профиль NAT что выдаю юзеру 2015-06-25 18:31:33.050 11.072 TCP 10.41.203.48:55888 -> 173.194.122.250:80 4 172 1 2015-06-25 18:31:43.901 0.229 TCP 10.41.64.150:3261 -> 5.136.179.109:53021 5 282 1 2015-06-25 18:31:44.126 0.000 TCP 10.41.47.205:56647 -> 104.82.14.77:443 1 52 1 2015-06-25 18:31:44.136 0.002 TCP 10.41.121.45:43639 -> 213.180.204.3:80 4 216 1 2015-06-25 18:31:26.947 17.194 TCP x.x.x.x:54166 -> 217.69.139.73:443 671 42955 1 2015-06-25 18:31:44.133 2.045 TCP 10.41.80.110:57452 -> 104.81.220.92:443 2 92 1 2015-06-25 18:31:43.661 0.466 TCP 10.41.125.14:57391 -> 91.202.63.95:80 6 977 1 2015-06-25 18:31:43.171 0.948 TCP 10.41.238.80:60064 -> 173.194.58.184:80 1113 59956 1 но нет связи между данными вопрос ктонить делал отображение например ID сесии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexpn Опубликовано 27 июня, 2015 · Жалоба Проблема вот в чем Это то что с эриксона tcpdump -i eth1.16 -ttttt -vvv -T cnfp port 9996 | grep 10.41. 10.41.192.101:23902 > x.x.x.x:46403 >> 67.96.67.127 85.141.249.3:2601 > 10.41.9.249:50537 >> x.x.x.x 85.141.248.71:21901 > 85.141.249.3:63747 >> 10.41.192.101 Это после коллектора /usr/local/bin/nfdump -R /var/netflow/nfsen/profiles-data/live/sse1_nat/2015/06/27/08/ 2015-06-27 08:10:42.000 2859603454.000 0 10.41.108.205:1792 -> 93.94.x.x:1823 3.2 G 0 1 2015-06-27 08:10:42.000 2859603454.000 0 10.41.124.82:14944 -> 93.94.x.x:14975 3.2 G 0 1 2015-06-27 08:10:42.000 2859603454.000 0 10.41.18.39:10240 -> 93.94.x.x:10271 3.2 G 0 1 2015-06-27 08:10:44.000 2859603452.000 0 10.41.24.28:15168 -> 93.94.x.x:15199 3.2 G 0 1 2015-06-27 08:10:44.000 2859603452.000 0 10.41.227.135:9984 -> 93.94.x.x:10015 3.2 G 0 1 пробывал nfdump-1.6.13 и nfdump-1.6.6 может //syslog(LOG_ERR, "Process_v9: [%u] field ID > 128 - field ignored. ", exporter->exporter_id ); Не срабатывает ? кто решил данную проблему чтоб строка была целиком а не часть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 27 июня, 2015 · Жалоба патч сделан для nfdump 1.6.5, его и собирайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexpn Опубликовано 29 июня, 2015 · Жалоба патч сделан для nfdump 1.6.5, его и собирайте. nfdump 1.6.5 на всех версиях одно и тоже !!! написал же ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 29 июня, 2015 · Жалоба вы написали "пробывал nfdump-1.6.13 и nfdump-1.6.6", про 1.6.5 ничего не писали. вы с нужным ключем запускайте, иначе он конвертить ничего не будет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexpn Опубликовано 2 июля, 2015 · Жалоба вы написали "пробывал nfdump-1.6.13 и nfdump-1.6.6", про 1.6.5 ничего не писали. вы с нужным ключем запускайте, иначе он конвертить ничего не будет Пробывал они ВСЕ КОНВЕРТЯТ но СТРОКА КОРОТКАЯ !!!!!!! смотрите что показывает TCPDUMP и ЧТО ЕСТЬ после коллектора !!! Причем речь идет только о данных для NETFLOW 9 (NAT) данные netflow 5 прилетают и конвертируется НОРМАЛЬНО !!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVDrom4ik Опубликовано 16 марта, 2023 · Жалоба Подниму тему. У кого на какой версии SeOS работало ? на 12.1.1.5 ни в какую не шлет весь набор данных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 16 марта, 2023 · Жалоба 32 минуты назад, DVDrom4ik сказал: Подниму тему. У кого на какой версии SeOS работало ? на 12.1.1.5 ни в какую не шлет весь набор данных. Если Вы хотите сливать лог в СОРМ-3 - то, скорее всего, не получиться. Когда у нас жили SE100 вендоры СОРМ говорили, что лог NATa у Эриксона не полный и не пойдёт для разбора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVDrom4ik Опубликовано 16 марта, 2023 · Жалоба Quote Если Вы хотите сливать лог в СОРМ-3 - то, скорее всего, не получиться. Когда у нас жили SE100 вендоры СОРМ говорили, что лог NATa у Эриксона не полный и не пойдёт для разбора. Да, нужен для СОРМ. Пока никак не получается связать события NAT c обращениями наружу. Quote Это то что с эриксона tcpdump -i eth1.16 -ttttt -vvv -T cnfp port 9996 | grep 10.41. 10.41.192.101:23902 > x.x.x.x:46403 >> 67.96.67.127 85.141.249.3:2601 > 10.41.9.249:50537 >> x.x.x.x 85.141.248.71:21901 > 85.141.249.3:63747 >> 10.41.192.101 тут же у коллеги вышла правильная цепочка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agach Опубликовано 22 марта, 2023 · Жалоба нам пришлось из-за сорма нат вывести на отдельный сервер. зато теперь GRE ходит нормально)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVDrom4ik Опубликовано 25 марта, 2023 · Жалоба Мы уже тоже на встали на этот путь. Не поделитесь опытом на чем натите и какой трафик ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...