[Dimonm440]

Добрый день. Собственно проблема:

cisco-asr отправляет nat log в таком виде (фото 1),а в коллекторе я вижу по-другому (фото 2) .

В чём скрывается проблема ? 

[Antares]

Вам не кажется, вы о разном говорите?

[Dimonm440]

возможно я не очень понимаю. Но верно же ,если я отправляю в коллектор нат лог по порту 9898 ,в самом коллекторе получаю по порту 9898 и ничего другого?

[Dimonm440]

по порядку.

Есть cisco-asr , настроенная. 

Есть коллектор сделанный мной (не факт что настроен верно).

Сам коллектор сделан на nfsen(сенсор).

В коллектор с cisco  отправлены nat log, но получаю я  то что изображено на foto2. Можно ли настроить сенсор так чтобы он показывал мне nat log как на самой циске?

 

 

[Antares]

почитайте о NetFlow

[Pinkbyte]

On 11/18/2020 at 12:49 PM, Dimonm440 said:

по порядку.

Есть cisco-asr , настроенная. 

Есть коллектор сделанный мной (не факт что настроен верно).

Сам коллектор сделан на nfsen(сенсор).

В коллектор с cisco  отправлены nat log, но получаю я  то что изображено на foto2. Можно ли настроить сенсор так чтобы он показывал мне nat log как на самой циске?

 

 

show ip nat translations не имеет отношения к тому, что шлется через Netflow. Читайте что такое Netflow Nat Event Logging(и как его настроить на Cisco) и проверяйте(да хотя бы через tcpdump/wireshark), что он на коллектор его шлет

[Dimonm440]

17 часов назад, Pinkbyte сказал:

show ip nat translations не имеет отношения к тому, что шлется через Netflow. Читайте что такое Netflow Nat Event Logging(и как его настроить на Cisco) и проверяйте(да хотя бы через tcpdump/wireshark), что он на коллектор его шлет

я уже написал что cisco настроена . Вопрос в том почему я не вижу тех же самых нат логов как на циске . Флоу у меня отправляется на по одному порту а нат лог по другому (естественно я я принимаю порт с нат лог) . 

И ваши в комментарии в стиле - " читай " совершенно ни к чему , написать в теме ради ответа . Я изучил много информации , видимо неверно её воспринимаю  вот и обращаюсь на форум !

 

вот флоу

flow exporter FLOW-MONITOR-1
 destination 10.240.0.6
 transport udp 9796
!
!
flow monitor FLOW-MONITOR-1
 exporter FLOW-MONITOR-1
 record netflow ipv4 original-input
 

вот нат лог

ip nat log translations flow-export v9 udp destination 10.240.0.6 9898
ip nat translation timeout 1800
ip nat translation tcp-timeout 1800
ip nat translation udp-timeout 60
ip nat translation max-entries 2000000000
ip nat translation max-entries all-host 2000
 

вот колектор

#$BASEDIR = "/data/nfsen";
$BASEDIR = "/usr/local/nfsen";

$BINDIR="${BASEDIR}/bin";

$LIBEXECDIR="${BASEDIR}/libexec";

$CONFDIR="${BASEDIR}/etc";

$HTMLDIR    = "/var/www/nfsen/";

$DOCDIR="${HTMLDIR}/doc";

$VARDIR="${BASEDIR}/var";

# $PIDDIR="$VARDIR/run";

# FILTERDIR="${VARDIR}/filters";

# FORMATDIR for custom printing formats
# FORMATDIR="${VARDIR}/fmt";

$PROFILESTATDIR="${BASEDIR}/profiles-stat";

$PROFILEDATADIR="${BASEDIR}/profiles-data";

$BACKEND_PLUGINDIR="${BASEDIR}/plugins";

$FRONTEND_PLUGINDIR="${HTMLDIR}/plugins";

#$PREFIX  = '/usr/local/bin';
$PREFIX = '/usr/bin';

# $COMMSOCKET = "$PIDDIR/nfsen.comm";

$USER    = "apache";

$WWWUSER  = "apache";
$WWWGROUP = "apache";

# Receive buffer size for nfcapd - see man page nfcapd(1)
$BUFFLEN = 200000;

$EXTENSIONS = 'all';
# $EXTENSIONS = '+3,+4';

$SUBDIRLAYOUT = 1;

$ZIPcollected     = 1;

$ZIPprofiles     = 1;

#$InterruptExpire = 0;

$PROFILERS = 2;

$DISKLIMIT = 98;

$PROFILERS = 6;

# $PERL_HAS_MEMLEAK=0;

%sources = ( 'router' => { 'port' => '9898', 'col' => '#abcdef', 'type' => 'netflow' }, );

$low_water = 90;

$syslog_facility = 'local3';

# $LogSocket = 'unix';

# $BACKEND_PLUGINDIR and $FRONTEND_PLUGINDIR

@plugins = (
    # profile    # module
    # [ '*',     'demoplugin' ],
);

%PluginConf = (
    # For plugin demoplugin
    demoplugin => {
        # scalar
        param2 => 42,
        # hash
        param1 => { 'key' => 'value' },
    },
    # for plugin otherplugin
    otherplugin => [ 
        # array
        'mary had a little lamb' 
    ],
);

$MAIL_FROM   = 'your@from.example.net';

$SMTP_SERVER = 'localhost';

$MAIL_BODY     = q{ 
Alert '@alert@' triggered at timeslot @timeslot@
};

# $SIMmode = 1;
# %sim = (
#    'tstart'     => '200707100000',    # Simulation data available from July 10th 2007 00:00
#    'tbegin'     => '200707110000',    # Simulation begins at July 11th 2007 00:00
#    'tend'       => '200707112355',    # Simulation ends at July 11th 2007 23:55
#    'cycletime'  => '30',                # 30s per 5min slot
# );

1;
 

[NewUse]

а что за коллектор? он точно умеет v9?

[Dimonm440]

1 час назад, NewUse сказал:

а что за коллектор? он точно умеет v9?

коллектор NFSEN , насколько я понял  то поддерживает.

[NewUse]

Никогда о таком не слышал...

знаю nfcapd и flow-capture

кто-то из них v9 точно поддерживал, попробуйте их....

 

[max1976]

59 минут назад, Dimonm440 сказал:

коллектор NFSEN , насколько я понял  то поддерживает.

Поставьте nfdump с поддержкой nsel.

[Dimonm440]

2 часа назад, NewUse сказал:

Никогда о таком не слышал...

знаю nfcapd и flow-capture

кто-то из них v9 точно поддерживал, попробуйте их....

 

nfcapd

[Pinkbyte]

 

Quote

я уже написал что cisco настроена...<skip>
Я изучил много информации ,видимо неверно её воспринимаю

Банальная логика подсказывает что трафик, который не отправляется с одной железки на другую может не приходить по 3 причинам:
1) его не отправляют;
2) он теряется в пути;
3) его не принимают(или принимают, но не обрабатывают);

Отложим вариант 2) на самый крайний случай. Вариант 1) можно проверить, посмотрев на получателе в tcpdump/wireshark. Поэтому, повторяю свой вопрос - "проверяйте(да хотя бы через tcpdump/wireshark), что он на коллектор его шлет". Если nat logs приходят, просто коллектор не знает что с ними делать - курить что не так с коллектором(или менять его, как уже подсказали выше)

 

Я сам использую nfcapd, шлю логи с Cisco ASR1001-X, всё приходит нормально

 

On 11/20/2020 at 10:48 AM, Dimonm440 said:

коллектор NFSEN , насколько я понял  то поддерживает.

Только если собран с опцией --enable-nel. Если не хотите менять коллектор - смотрите с какими опциями его собирали(если используете дистрибутивный пакет, собранный мэйнтэйнерами) или собирайте правильно.

[Dimonm440]

В 23.11.2020 в 10:51, Pinkbyte сказал:

 

Банальная логика подсказывает что трафик, который не отправляется с одной железки на другую может не приходить по 3 причинам:
1) его не отправляют;
2) он теряется в пути;
3) его не принимают(или принимают, но не обрабатывают);

Отложим вариант 2) на самый крайний случай. Вариант 1) можно проверить, посмотрев на получателе в tcpdump/wireshark. Поэтому, повторяю свой вопрос - "проверяйте(да хотя бы через tcpdump/wireshark), что он на коллектор его шлет". Если nat logs приходят, просто коллектор не знает что с ними делать - курить что не так с коллектором(или менять его, как уже подсказали выше)

 

Я сам использую nfcapd, шлю логи с Cisco ASR1001-X, всё приходит нормально

 

Только если собран с опцией --enable-nel. Если не хотите менять коллектор - смотрите с какими опциями его собирали(если используете дистрибутивный пакет, собранный мэйнтэйнерами) или собирайте правильно.

Спасибо! доступно объяснили ! 

Сейчас всё заново соберу и проверю. Вероятно всё дело в опции "--enable nel"