Jump to content

netflow и nat log

Dimonm440
 Share

Recommended Posts

Dimonm440

Dimonm440

Posted
Posted

Добрый день. Собственно проблема:

cisco-asr отправляет nat log в таком виде (фото 1),а в коллекторе я вижу по-другому (фото 2) .

В чём скрывается проблема ? foto1.thumb.jpg.190dc50ccd43f32365bffbe0df87441a.jpg

foto2.jpg

Dimonm440

Dimonm440

Posted
  • Author
Posted

возможно я не очень понимаю. Но верно же ,если я отправляю в коллектор нат лог по порту 9898 ,в самом коллекторе получаю по порту 9898 и ничего другого?

Dimonm440

Dimonm440

Posted
  • Author
Posted

по порядку.

Есть cisco-asr , настроенная. 

Есть коллектор сделанный мной (не факт что настроен верно).

Сам коллектор сделан на nfsen(сенсор).

В коллектор с cisco  отправлены nat log, но получаю я  то что изображено на foto2. Можно ли настроить сенсор так чтобы он показывал мне nat log как на самой циске?

 

 

Pinkbyte

Pinkbyte

Posted
Posted
On 11/18/2020 at 12:49 PM, Dimonm440 said:

по порядку.

Есть cisco-asr , настроенная. 

Есть коллектор сделанный мной (не факт что настроен верно).

Сам коллектор сделан на nfsen(сенсор).

В коллектор с cisco  отправлены nat log, но получаю я  то что изображено на foto2. Можно ли настроить сенсор так чтобы он показывал мне nat log как на самой циске?

 

 

show ip nat translations не имеет отношения к тому, что шлется через Netflow. Читайте что такое Netflow Nat Event Logging(и как его настроить на Cisco) и проверяйте(да хотя бы через tcpdump/wireshark), что он на коллектор его шлет

Dimonm440

Dimonm440

Posted
  • Author
Posted
17 часов назад, Pinkbyte сказал:

show ip nat translations не имеет отношения к тому, что шлется через Netflow. Читайте что такое Netflow Nat Event Logging(и как его настроить на Cisco) и проверяйте(да хотя бы через tcpdump/wireshark), что он на коллектор его шлет

я уже написал что cisco настроена . Вопрос в том почему я не вижу тех же самых нат логов как на циске . Флоу у меня отправляется на по одному порту а нат лог по другому (естественно я я принимаю порт с нат лог) . 

И ваши в комментарии в стиле - " читай " совершенно ни к чему , написать в теме ради ответа . Я изучил много информации , видимо неверно её воспринимаю  вот и обращаюсь на форум !

 

вот флоу

flow exporter FLOW-MONITOR-1
 destination 10.240.0.6
 transport udp 9796
!
!
flow monitor FLOW-MONITOR-1
 exporter FLOW-MONITOR-1
 record netflow ipv4 original-input
 

вот нат лог

ip nat log translations flow-export v9 udp destination 10.240.0.6 9898
ip nat translation timeout 1800
ip nat translation tcp-timeout 1800
ip nat translation udp-timeout 60
ip nat translation max-entries 2000000000
ip nat translation max-entries all-host 2000
 

вот колектор


#$BASEDIR = "/data/nfsen";
$BASEDIR = "/usr/local/nfsen";


$BINDIR="${BASEDIR}/bin";


$LIBEXECDIR="${BASEDIR}/libexec";


$CONFDIR="${BASEDIR}/etc";


$HTMLDIR    = "/var/www/nfsen/";


$DOCDIR="${HTMLDIR}/doc";


$VARDIR="${BASEDIR}/var";


# $PIDDIR="$VARDIR/run";

# FILTERDIR="${VARDIR}/filters";


# FORMATDIR for custom printing formats
# FORMATDIR="${VARDIR}/fmt";

$PROFILESTATDIR="${BASEDIR}/profiles-stat";


$PROFILEDATADIR="${BASEDIR}/profiles-data";


$BACKEND_PLUGINDIR="${BASEDIR}/plugins";


$FRONTEND_PLUGINDIR="${HTMLDIR}/plugins";


#$PREFIX  = '/usr/local/bin';
$PREFIX = '/usr/bin';


# $COMMSOCKET = "$PIDDIR/nfsen.comm";


$USER    = "apache";


$WWWUSER  = "apache";
$WWWGROUP = "apache";

# Receive buffer size for nfcapd - see man page nfcapd(1)
$BUFFLEN = 200000;


$EXTENSIONS = 'all';
# $EXTENSIONS = '+3,+4';

$SUBDIRLAYOUT = 1;


$ZIPcollected     = 1;


$ZIPprofiles     = 1;


#$InterruptExpire = 0;


$PROFILERS = 2;


$DISKLIMIT = 98;


$PROFILERS = 6;


# $PERL_HAS_MEMLEAK=0;

%sources = ( 'router' => { 'port' => '9898', 'col' => '#abcdef', 'type' => 'netflow' }, );


$low_water = 90;


$syslog_facility = 'local3';


# $LogSocket = 'unix';


# $BACKEND_PLUGINDIR and $FRONTEND_PLUGINDIR

@plugins = (
    # profile    # module
    # [ '*',     'demoplugin' ],
);

%PluginConf = (
    # For plugin demoplugin
    demoplugin => {
        # scalar
        param2 => 42,
        # hash
        param1 => { 'key' => 'value' },
    },
    # for plugin otherplugin
    otherplugin => [ 
        # array
        'mary had a little lamb' 
    ],
);


$MAIL_FROM   = 'your@from.example.net';


$SMTP_SERVER = 'localhost';


$MAIL_BODY     = q{ 
Alert '@alert@' triggered at timeslot @timeslot@
};


# $SIMmode = 1;
# %sim = (
#    'tstart'     => '200707100000',    # Simulation data available from July 10th 2007 00:00
#    'tbegin'     => '200707110000',    # Simulation begins at July 11th 2007 00:00
#    'tend'       => '200707112355',    # Simulation ends at July 11th 2007 23:55
#    'cycletime'  => '30',                # 30s per 5min slot
# );

1;
 

Pinkbyte

Pinkbyte

Posted
Posted

 

Quote

я уже написал что cisco настроена...<skip>
Я изучил много информации ,видимо неверно её воспринимаю

Банальная логика подсказывает что трафик, который не отправляется с одной железки на другую может не приходить по 3 причинам:
1) его не отправляют;
2) он теряется в пути;
3) его не принимают(или принимают, но не обрабатывают);

Отложим вариант 2) на самый крайний случай. Вариант 1) можно проверить, посмотрев на получателе в tcpdump/wireshark. Поэтому, повторяю свой вопрос - "проверяйте(да хотя бы через tcpdump/wireshark), что он на коллектор его шлет". Если nat logs приходят, просто коллектор не знает что с ними делать - курить что не так с коллектором(или менять его, как уже подсказали выше)

 

Я сам использую nfcapd, шлю логи с Cisco ASR1001-X, всё приходит нормально

 

On 11/20/2020 at 10:48 AM, Dimonm440 said:

коллектор NFSEN , насколько я понял  то поддерживает.

Только если собран с опцией --enable-nel. Если не хотите менять коллектор - смотрите с какими опциями его собирали(если используете дистрибутивный пакет, собранный мэйнтэйнерами) или собирайте правильно.

Dimonm440

Dimonm440

Posted
  • Author
Posted
В 23.11.2020 в 10:51, Pinkbyte сказал:

 

Банальная логика подсказывает что трафик, который не отправляется с одной железки на другую может не приходить по 3 причинам:
1) его не отправляют;
2) он теряется в пути;
3) его не принимают(или принимают, но не обрабатывают);

Отложим вариант 2) на самый крайний случай. Вариант 1) можно проверить, посмотрев на получателе в tcpdump/wireshark. Поэтому, повторяю свой вопрос - "проверяйте(да хотя бы через tcpdump/wireshark), что он на коллектор его шлет". Если nat logs приходят, просто коллектор не знает что с ними делать - курить что не так с коллектором(или менять его, как уже подсказали выше)

 

Я сам использую nfcapd, шлю логи с Cisco ASR1001-X, всё приходит нормально

 

Только если собран с опцией --enable-nel. Если не хотите менять коллектор - смотрите с какими опциями его собирали(если используете дистрибутивный пакет, собранный мэйнтэйнерами) или собирайте правильно.

Спасибо! доступно объяснили ! 

Сейчас всё заново соберу и проверю. Вероятно всё дело в опции "--enable nel"

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.