IPFIX

[ShyLion]

Кто нибудь настраивал слив данных вместе с данными НАТа на nfcapd?

 

Пока поставил предлагаемый ими ipfixreceiver2, но он валит в текстовый формат, что мягко говоря не айс.

[snvoronkov]

А потупасу не льёт? Там свой какой-то что-ли?

 

Я не со СКАТа, с MX80 лил v6. Сложилось впечатление, что nfcap просто пишет всё, что пришло. А разгребание потом уже не его проблема. Но могу и ошибаться - отключено несколько лет за ненадобностью.

[ShyLion]

Да вот непонятно, толи не записывает, толи nfdump не отображает, хотя я raw пытался смотреть.

tshark'ом прекрасно видно, что post nat source address и порт в пакетах со ската прилетают, да и их утиля ipfixreceiver2 в текст пишет эту инфу

nfdump из epel репозитория centos 7

вроде он с поддержкой NSEL/NAT собран

 

впрочем может оно и пофиг

их утиля потом gzip прогоняет для лога и он в разы меньше чем тот формат в который сейчас nfcapd у меня данные с асрки сохраняет (верятно потому что куча расширений подключено).

[snvoronkov]

11 минут назад, ShyLion сказал:

nfdump из epel репозитория centos 7

вроде он с поддержкой NSEL/NAT собран

Наверное, в этом и проблема. Кто оно тав в этих "епелях" чего и как собирал - науке не известно. :-)

[ShyLion]

%configure \
    --enable-nsel \
    --enable-nfprofile \
    --enable-nftrack \
    --enable-sflow \
    --enable-readpcap \
    --enable-nfpcapd \
    --enable-shared \
    --disable-static

это я вытащил из rpm'ки, которую вытащил yumdownload

да и с асрки этот-же nfdump nsel/nat поля видит.

вероятно с ipfix не сильно дружит

[Urs_ak]

@ShyLion

А как у вас решился вопрос с nfsen?

Можно там, в итоге, увидеть NAT трансляции со СКАТа ?

 

Спасибо.

 

[ShyLion]

Никак не решился. Пишем штатной утилей СКАТа - ipfixreceiver2.

[Urs_ak]

В 03.02.2020 в 06:55, ShyLion сказал:

Никак не решился. Пишем штатной утилей СКАТа - ipfixreceiver2.

Мне ТП дала это:

https://github.com/vasexperts/nfdump

меня это устроило