Igor Diakonov Опубликовано 9 октября, 2014 · Жалоба Я никоим образом не хочу сказать, что продукт плох, я лишь хочу сказать, что стабильность работы моудля ядра удручает и постоянные вои юзеров в теме "опять ядро встало колом" - это подтверждают. Я, никоим образом ни на что не намекаю, но краши связаные с ipt_netflow у меня последний раз были года 3 назад, при этом используется около 30 серверов с совершенно разнообразным железом и ядрами, с трафиком от 10-ка мегабит до 8-9 Гбит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t1bur1an Опубликовано 10 октября, 2014 · Жалоба Кстати да, пол года уже стабильно живет ipt_netflow. Правда и трафика до 100мбит, но в моей ситуации этот модуль оказался идеальным решением :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 10 октября, 2014 · Жалоба Доброе время суток, на сервере терминируются PPP сессии с серыми IP и NAT-ятся на внешние белые IP, поэтому нужно собирать Netflow c информацией о NAT. Насколько я понимаю мне нужен Netflow V9 или IPFIX. Cтянул коммит 033e755e2b69bab0c9ea1ccd3dd7327f70519bdd, собрал с опцией --enable-natevents и загрузил с опциями destination=127.0.0.1:2055 protocol=10 natevents=1, добавил правила iptables: iptables -I FORWARD -j NETFLOW iptables -I OUTPUT -o !lo -j NETFLOW iptables -I INPUT -i !lo -j NETFLOW Netflow пробовал собирать nfcapd (nfdump-1.6.12) и nfacctd (pmacct-1.5.0), но они оба показывают дату в пакетах как 1970-01-01 03:00:00.0, и нулевой траффик. Если поставить net.netflow.protocol=9, то c pmacct ситуация не меняется, а nfdump начинает показывать дату правильно, но выглядит это как-то так: Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte 2014-10-10 16:40:57.359 DELETE Ignore UDP 100.64.1.11:45704 -> 84.236.44.107:21666 176.100.216.42:1024 -> 84.236.44.107:21666 0 0 2014-10-10 16:40:42.124 INVALID Ignore UDP 100.64.1.11:45704 -> 94.41.41.103:10688 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:42.168 INVALID Ignore ICMP 94.41.41.103:0 -> 100.64.1.11:3.3 0.0.0.0:0 -> 0.0.0.0:0 159 0 2014-10-10 16:40:42.120 INVALID Ignore UDP 93.156.72.53:11759 -> 100.64.1.11:45704 0.0.0.0:0 -> 0.0.0.0:0 317 0 2014-10-10 16:40:42.124 INVALID Ignore UDP 100.64.1.11:45704 -> 2.94.104.98:6881 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:58.223 CREATE Ignore UDP 100.64.1.11:45704 -> 80.82.172.242:1024 176.100.216.42:1024 -> 80.82.172.242:1024 0 0 2014-10-10 16:40:58.223 CREATE Ignore UDP 100.64.1.11:45704 -> 197.36.107.192:23056 176.100.216.42:1024 -> 197.36.107.192:23056 0 0 2014-10-10 16:40:58.223 CREATE Ignore UDP 100.64.1.11:45704 -> 186.18.28.30:38930 176.100.216.42:1024 -> 186.18.28.30:38930 0 0 2014-10-10 16:40:58.224 CREATE Ignore UDP 100.64.1.11:45704 -> 90.1.30.247:6881 176.100.216.42:1024 -> 90.1.30.247:6881 0 0 2014-10-10 16:40:58.224 CREATE Ignore UDP 100.64.1.11:45704 -> 94.69.204.99:56382 176.100.216.42:1024 -> 94.69.204.99:56382 0 0 2014-10-10 16:40:58.224 CREATE Ignore UDP 100.64.1.11:45704 -> 186.58.46.122:13499 176.100.216.42:1024 -> 186.58.46.122:13499 0 0 2014-10-10 16:40:58.224 CREATE Ignore UDP 100.64.1.11:45704 -> 194.187.111.26:4068 176.100.216.42:1024 -> 194.187.111.26:4068 0 0 2014-10-10 16:40:58.224 CREATE Ignore UDP 100.64.1.11:45704 -> 46.107.47.57:15581 176.100.216.42:1024 -> 46.107.47.57:15581 0 0 2014-10-10 16:40:58.568 CREATE Ignore UDP 100.64.1.11:45704 -> 176.116.220.236:31602 176.100.216.42:1024 -> 176.116.220.236:31602 0 0 2014-10-10 16:40:58.568 CREATE Ignore UDP 100.64.1.11:45704 -> 212.120.197.124:6881 176.100.216.42:1024 -> 212.120.197.124:6881 0 0 2014-10-10 16:40:58.791 CREATE Ignore UDP 100.64.1.11:45704 -> 188.175.143.186:12508 176.100.216.42:1024 -> 188.175.143.186:12508 0 0 2014-10-10 16:40:43.796 INVALID Ignore UDP 100.64.1.11:45704 -> 201.89.139.223:25633 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.792 INVALID Ignore UDP 100.64.1.11:45704 -> 68.8.48.249:56935 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.792 INVALID Ignore UDP 100.64.1.11:45704 -> 78.152.132.187:17148 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.796 INVALID Ignore UDP 100.64.1.11:45704 -> 178.221.38.166:16497 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.796 INVALID Ignore UDP 100.64.1.11:45704 -> 46.148.225.33:1101 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.792 INVALID Ignore UDP 100.64.1.11:45704 -> 92.55.24.143:37825 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.792 INVALID Ignore UDP 100.64.1.11:45704 -> 94.180.37.162:6881 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.792 INVALID Ignore UDP 100.64.1.11:45704 -> 78.85.73.67:26757 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.796 INVALID Ignore UDP 100.64.1.11:45704 -> 78.36.15.155:30633 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.796 INVALID Ignore UDP 100.64.1.11:45704 -> 182.19.255.245:59482 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.796 INVALID Ignore UDP 100.64.1.11:45704 -> 82.178.241.80:51519 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.796 INVALID Ignore UDP 100.64.1.11:45704 -> 212.77.132.131:2048 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.796 INVALID Ignore UDP 100.64.1.11:45704 -> 221.149.208.121:51436 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:59.233 CREATE Ignore UDP 100.64.1.11:45704 -> 192.168.0.101:38930 176.100.216.42:1024 -> 192.168.0.101:38930 0 0 2014-10-10 16:40:43.908 INVALID Ignore UDP 100.64.1.11:45704 -> 188.49.187.252:6881 0.0.0.0:0 -> 0.0.0.0:0 131 0 2014-10-10 16:40:43.908 INVALID Ignore UDP 178.221.38.166:16497 -> 100.64.1.11:45704 0.0.0.0:0 -> 0.0.0.0:0 317 0 Это нормально? ЧЯНТД? Как и чем можно правильно собирать информацию о траффике с NATом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 10 октября, 2014 · Жалоба aabc, спасибо за вашу разработку. Работает как часы! Вопрос - как можно проверить, что natevents работает? flow-tools, а сейчас nfcapd/nfdump что-то не показывают записей с необходимыми атрибутами. Экспортирую в виде v5. Модуль скачан свежий из git, собран с --enable-natevents и выставлен соответствующий sysctl-флаг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 октября, 2014 · Жалоба Wireshark'ом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telecom Опубликовано 10 октября, 2014 · Жалоба aabc, спасибо за вашу разработку. Работает как часы! +1 Еще добавлю, что работает отлично на разных ядрах, начиная с 2.6.32, НИКОГДА проблем не было! У нас он собирается монолитом с ядром, т.е. на основе кода уважаемого автора делаем патчик к ядру. Так исторически сложилось, что у нас весь нетфильтр монолитно вкомпелен и мы не стали мменять традицию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 10 октября, 2014 (изменено) · Жалоба Igor Diakonov, t1bur1an, Dyr, telecom, спасибо! cREoz, возможно в nfdump-1.6.12 внесли какую-то несовместимость, пишут что в 1.6.11 все работает. Тут или репортить проблему в nfdump или разбираться самому. Я шлю natevents в таком формате http://tools.ietf.org/html/draft-ietf-behave-ipfix-nat-logging-04, время там в атрибуте observationTimeMilliseconds<323>. К сожалению эпоха (т.е. время 0) в RFC не указана поэтому я шлю в Unix эпохе (с 01-01-1970 0:00), что работает правильно в 1.6.11, как говорят. В draft-ietf-behave-ipfix-nat-logging-04 про TimeStamp так же написано "System Time when the event occured", что не противоречит unixtime. Пожалуйста, проверьте, что происходит с net.netflow.protocol=10. Возможно nfdump-1.6.12 решил по-разному интерпретировать время в разных протоколах. Однако, в https://sourceforge.net/p/nfdump/news/ в описании 1.6.12 я упоминания о time не нахожу. Изменено 10 октября, 2014 пользователем aabc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 10 октября, 2014 · Жалоба cREoz Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte2014-10-10 16:40:58.223 CREATE Ignore UDP... А как вы дампаете? Судя по коду nfdump-1.6.12, эвент CREATE, это NSEL, a не NEL. NSEL это не то. Посмотрите Wireshark'ом - правильно ли идут пакеты с NEL от NETFLOW. Скажем, несколько секунд, потом это же время глянуть в nfdump (или pmacct). char *NSEL_event_string[6] = { "IGNORE", "CREATE", "DELETE", "DENIED", "ALERT", "UPDATE" }; char *NEL_event_string[3] = { "INVALID", "ADD", "DELETE" }; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 14 октября, 2014 (изменено) · Жалоба А как вы дампаете? собираю master из гита ./configure --enable-natevents --disable-aggregation --disable-snmp-agent загружаю через modprobe, записав в /etc/modprobe.d/ipt_NETFLOW.conf options ipt_NETFLOW destination=127.0.0.1:2055 protocol=10 natevents=1 sysctl net.netflow net.netflow.active_timeout = 1800 net.netflow.debug = 0 net.netflow.destination = 127.0.0.1:2055 net.netflow.flush = 0 net.netflow.hashsize = 8192 net.netflow.inactive_timeout = 15 net.netflow.maxflows = 2000000 net.netflow.natevents = 1 net.netflow.protocol = 10 net.netflow.refresh-rate = 20 net.netflow.scan-min = 1 net.netflow.sndbuf = 212992 net.netflow.timeout-rate = 30 /proc/net/stat/ipt_netflow ipt_NETFLOW v2.0-36-g263d15d, srcversion 45A9FD3FDC70A88D51675D3; llist nel Protocol version 10 (ipfix), refresh-rate 20, timeout-rate 30, (templates 6, active 6). Timeouts: active 1800s, inactive 15s. Maxflows 2000000 Natevents enabled, count start 68, stop 35. Flows: active 8 (peak 68 reached 0d0h1m ago), mem 65K, worker delay 25/250 [1..25] (92 ms, 0 us, 9:0 0 [cpu9]). Hash: size 8192 (mem 64K), metric 1.00 [1.00, 1.00, 1.00]. InHash: 69 pkt, 9 K, InPDU 8, 758. Rate: 0 bits/sec, 0 packets/sec; Avg 1 min: 2288936 bps, 262 pps; 5 min: 9456260 bps, 1046 pps cpu# pps; <search found new [metric], trunc frag alloc maxflows>, traffic: <pkt, bytes>, drop: <pkt, bytes> Total 0; 1 343195 127 [1.00], 0 0 0 0, traffic: 343322, 369 MB, drop: 0, 0 K cpu0 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu1 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu2 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu3 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu4 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu5 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu6 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu7 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu8 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu9 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu10 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu11 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu12 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu13 0; 0 0 0 [1.00], 0 0 0 0, traffic: 0, 0 MB, drop: 0, 0 K cpu14 0; 0 207399 64 [1.00], 0 0 0 0, traffic: 207463, 173 MB, drop: 0, 0 K cpu15 0; 1 135796 63 [1.00], 0 0 0 0, traffic: 135859, 195 MB, drop: 0, 0 K Export: Rate 0 bytes/s; Total 8 pkts, 0 MB, 207 flows; Errors 0 pkts; Traffic lost 0 pkts, 0 Kbytes, 0 flows. sock0: 127.0.0.1:2055, sndbuf 212992, filled 1, peak 1; err: sndbuf reached 0, connect 0, cberr 2, other 0 перед этим я запускаю коллектор, т.к. сразу при загрузке модуля он отправляет в коллектор пакеты с шаблонами nfacctd -d -L 127.0.0.1 -l 2055 -P memory -d -c src_host,src_port,dst_host,dst_port,proto,post_nat_src_host,post_nat_src_port,post_nat_dst_host,post_nat_dst_port,nat_event,timestamp_start,timestamp_end на выходе получаю pmacct -s SRC_IP DST_IP SRC_PORT DST_PORT PROTOCOL POST_NAT_SRC_IP POST_NAT_DST_IP POST_NAT_SRC_PORT POST_NAT_DST_PORT NAT_EVENT TIMESTAMP_START TIMESTAMP_END PACKETS BYTES 37.193.161.88 100.65.1.4 60818 45704 udp 0 0 0 0 0 2014-10-14 10:32:41.0 1970-01-01 03:00:00.0 1 98 100.65.1.4 194.247.191.230 58494 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 16263 14257020 100.65.1.4 77.88.8.8 50258 53 udp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 1 63 100.65.1.4 77.88.8.8 56665 53 udp 176.100.216.42 77.88.8.8 56665 53 2 2014-10-14 10:32:57.602000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58516 8080 tcp 176.100.216.42 194.247.191.230 58516 8080 1 2014-10-14 10:32:52.62000 1970-01-01 03:00:00.0 0 0 100.65.1.4 93.184.221.133 58526 80 tcp 176.100.216.42 93.184.221.133 58526 80 1 2014-10-14 10:33:08.270000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58516 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 10036 14020167 50.100.28.30 100.65.1.4 6881 45704 udp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 1 98 100.65.1.4 77.88.8.8 56665 53 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 1 69 100.65.1.4 212.13.16.253 45704 6881 udp 176.100.216.42 212.13.16.253 1024 6881 1 2014-10-14 10:33:21.443000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58495 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 7440 19446226 194.247.191.230 100.65.1.4 8080 58505 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 3947 9976847 194.247.191.230 100.65.1.4 8080 58499 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 5957 14534840 100.65.1.4 194.247.191.230 58523 8080 tcp 176.100.216.42 194.247.191.230 58523 8080 1 2014-10-14 10:32:55.135000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 843 58492 tcp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 3 120 100.65.1.4 194.247.191.230 58511 843 tcp 176.100.216.42 194.247.191.230 58511 843 2 2014-10-14 10:32:49.348000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58502 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 4482 183440 100.65.1.4 194.247.191.230 58507 8080 tcp 176.100.216.42 194.247.191.230 58507 8080 1 2014-10-14 10:32:30.873000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58521 8080 tcp 176.100.216.42 194.247.191.230 58521 8080 1 2014-10-14 10:32:52.828000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58497 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 5999 16252504 194.247.191.230 100.65.1.4 8080 58509 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 3409 8436477 100.65.1.4 194.247.191.230 58511 843 tcp 176.100.216.42 194.247.191.230 58511 843 1 2014-10-14 10:32:49.341000 1970-01-01 03:00:00.0 0 0 100.65.1.4 77.88.8.8 64059 53 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 1 69 100.65.1.4 194.247.191.230 58513 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 10127 14147751 100.65.1.4 91.121.195.43 45704 57093 udp 176.100.216.42 91.121.195.43 1024 57093 2 2014-10-14 10:32:48.718000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58517 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 5209 211448 100.65.1.4 77.88.8.8 64059 53 udp 176.100.216.42 77.88.8.8 64059 53 2 2014-10-14 10:32:57.630000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58498 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 5423 13031785 100.65.1.4 194.247.191.230 58492 843 tcp 176.100.216.42 194.247.191.230 58492 843 2 2014-10-14 10:32:28.948000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58513 8080 tcp 176.100.216.42 194.247.191.230 58513 8080 1 2014-10-14 10:32:50.387000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58498 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 5106 210124 194.247.191.230 100.65.1.4 8080 58519 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 4787 198432 100.65.1.4 194.247.191.230 58492 843 tcp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 3 152 100.65.1.4 188.130.177.35 45704 25643 udp 176.100.216.42 188.130.177.35 1024 25643 1 2014-10-14 10:33:14.449000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58511 843 tcp 176.100.216.42 194.247.191.230 58511 843 2 2014-10-14 10:32:50.381000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58495 8080 tcp 176.100.216.42 194.247.191.230 58495 8080 1 2014-10-14 10:32:29.758000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58496 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 6085 251281 100.65.1.4 194.247.191.230 58510 8080 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 3904 159608 100.65.1.4 194.247.191.230 58509 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 3294 135360 194.247.191.230 100.65.1.4 8080 58494 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 10245 15810683 100.65.1.4 77.88.8.8 55922 53 udp 176.100.216.42 77.88.8.8 55922 53 1 2014-10-14 10:33:05.820000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58500 8080 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 3875 159228 194.247.191.230 100.65.1.4 8080 58507 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 4016 9920033 100.65.1.4 77.88.8.8 55922 53 udp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 3 189 100.65.1.4 194.247.191.230 58492 843 tcp 176.100.216.42 194.247.191.230 58492 843 2 2014-10-14 10:32:27.916000 1970-01-01 03:00:00.0 0 0 77.88.8.8 100.65.1.4 53 56665 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 1 155 194.247.191.230 100.65.1.4 8080 58500 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 4144 9945767 100.65.1.4 194.247.191.230 58507 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 3854 157580 77.88.8.8 100.65.1.4 53 64059 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 1 119 77.88.8.8 100.65.1.4 53 63324 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 3 429 100.65.1.4 77.88.8.8 49537 53 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 1 69 100.65.1.4 194.247.191.230 58505 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 3915 161444 100.65.1.4 77.88.8.8 49537 53 udp 176.100.216.42 77.88.8.8 49537 53 1 2014-10-14 10:32:27.646000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58511 843 tcp 176.100.216.42 194.247.191.230 58511 843 1 2014-10-14 10:32:49.860000 1970-01-01 03:00:00.0 0 0 100.65.1.4 178.212.197.68 45704 1133 udp 176.100.216.42 178.212.197.68 1024 1133 1 2014-10-14 10:32:53.660000 1970-01-01 03:00:00.0 0 0 77.88.8.8 100.65.1.4 53 49537 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 1 219 100.65.1.4 77.88.8.8 64059 53 udp 176.100.216.42 77.88.8.8 64059 53 1 2014-10-14 10:32:27.613000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58516 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 4292 177512 100.65.1.4 194.247.191.230 58503 8080 tcp 176.100.216.42 194.247.191.230 58503 8080 1 2014-10-14 10:32:30.871000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58492 843 tcp 176.100.216.42 194.247.191.230 58492 843 1 2014-10-14 10:32:28.425000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58501 8080 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 3899 160308 194.247.191.230 100.65.1.4 8080 58520 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 3968 163672 100.65.1.4 77.88.8.8 56665 53 udp 176.100.216.42 77.88.8.8 56665 53 1 2014-10-14 10:32:27.600000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58523 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 3102 129516 100.65.1.4 77.88.8.8 63324 53 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 3 183 100.65.1.4 194.247.191.230 58522 8080 tcp 176.100.216.42 194.247.191.230 58522 8080 1 2014-10-14 10:32:53.493000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58505 8080 tcp 176.100.216.42 194.247.191.230 58505 8080 1 2014-10-14 10:32:30.872000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58503 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 3864 157628 100.65.1.4 77.88.8.8 50258 53 udp 176.100.216.42 77.88.8.8 50258 53 1 2014-10-14 10:33:05.782000 1970-01-01 03:00:00.0 0 0 100.65.1.4 50.100.28.30 45704 6881 udp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 1 95 100.65.1.4 194.247.191.230 58512 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 10343 14442439 100.65.1.4 188.32.66.134 45704 55555 udp 176.100.216.42 188.32.66.134 1024 55555 2 2014-10-14 10:33:09.646000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58523 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 7120 9937749 100.65.1.4 194.247.191.230 58496 8080 tcp 176.100.216.42 194.247.191.230 58496 8080 1 2014-10-14 10:32:29.758000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58517 8080 tcp 176.100.216.42 194.247.191.230 58517 8080 1 2014-10-14 10:32:52.62000 1970-01-01 03:00:00.0 0 0 100.65.1.4 50.100.28.30 45704 6881 udp 176.100.216.42 50.100.28.30 1024 6881 2 2014-10-14 10:33:16.750000 1970-01-01 03:00:00.0 0 0 77.88.8.8 100.65.1.4 53 55922 udp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 3 426 100.65.1.4 194.247.191.230 58500 8080 tcp 176.100.216.42 194.247.191.230 58500 8080 1 2014-10-14 10:32:30.869000 1970-01-01 03:00:00.0 0 0 178.212.197.68 100.65.1.4 1133 45704 udp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 1 98 100.65.1.4 194.247.191.230 58499 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 5596 227496 100.65.1.4 194.247.191.230 58509 8080 tcp 176.100.216.42 194.247.191.230 58509 8080 1 2014-10-14 10:32:31.749000 1970-01-01 03:00:00.0 0 0 100.65.1.4 77.88.8.8 49537 53 udp 176.100.216.42 77.88.8.8 49537 53 2 2014-10-14 10:32:57.678000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 843 58511 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 3 120 100.65.1.4 194.247.191.230 58515 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 9625 13441217 100.65.1.4 37.193.161.88 45704 60818 udp 0 0 0 0 0 2014-10-14 10:32:41.0 1970-01-01 03:00:00.0 1 95 100.65.1.4 194.247.191.230 58511 843 tcp 176.100.216.42 194.247.191.230 58511 843 1 2014-10-14 10:32:50.374000 1970-01-01 03:00:00.0 0 0 100.65.1.4 91.121.156.150 45704 51413 udp 176.100.216.42 91.121.156.150 1024 51413 2 2014-10-14 10:32:41.790000 1970-01-01 03:00:00.0 0 0 100.65.1.4 79.131.43.242 45704 32885 udp 176.100.216.42 79.131.43.242 1024 32885 1 2014-10-14 10:32:32.789000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58518 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 8880 12384815 100.65.1.4 188.32.66.134 45704 55555 udp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 1 95 77.88.8.8 100.65.1.4 53 50258 udp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 1 114 100.65.1.4 178.157.194.228 45704 37114 udp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 1 95 100.65.1.4 194.247.191.230 58494 8080 tcp 176.100.216.42 194.247.191.230 58494 8080 1 2014-10-14 10:32:28.990000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58520 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 8982 12544355 188.32.66.134 100.65.1.4 55555 45704 udp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 1 77 100.65.1.4 194.247.191.230 58515 8080 tcp 176.100.216.42 194.247.191.230 58515 8080 1 2014-10-14 10:32:52.61000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58522 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 7605 10618329 100.65.1.4 70.58.129.148 45704 49112 udp 176.100.216.42 70.58.129.148 1024 49112 2 2014-10-14 10:32:20.814000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58521 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 11357 15867627 194.247.191.230 100.65.1.4 8080 58496 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 6158 15449013 100.65.1.4 79.131.43.242 45704 32885 udp 176.100.216.42 79.131.43.242 1024 32885 2 2014-10-14 10:33:02.798000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58510 8080 tcp 176.100.216.42 194.247.191.230 58510 8080 1 2014-10-14 10:32:31.750000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58492 843 tcp 176.100.216.42 194.247.191.230 58492 843 2 2014-10-14 10:32:28.433000 1970-01-01 03:00:00.0 0 0 100.65.1.4 77.88.8.8 58688 53 udp 176.100.216.42 77.88.8.8 58688 53 1 2014-10-14 10:32:27.572000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58508 8080 tcp 176.100.216.42 194.247.191.230 58508 8080 1 2014-10-14 10:32:31.714000 1970-01-01 03:00:00.0 0 0 100.65.1.4 93.184.219.82 58524 80 tcp 176.100.216.42 93.184.219.82 58524 80 1 2014-10-14 10:33:05.782000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58520 8080 tcp 176.100.216.42 194.247.191.230 58520 8080 1 2014-10-14 10:32:52.63000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58504 8080 tcp 176.100.216.42 194.247.191.230 58504 8080 1 2014-10-14 10:32:30.872000 1970-01-01 03:00:00.0 0 0 100.65.1.4 178.212.197.68 45704 1133 udp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 1 95 194.247.191.230 100.65.1.4 8080 58522 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 3317 137772 194.247.191.230 100.65.1.4 8080 58503 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 3905 9961783 100.65.1.4 194.247.191.230 58519 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 11373 15881783 100.65.1.4 194.247.191.230 58492 843 tcp 176.100.216.42 194.247.191.230 58492 843 1 2014-10-14 10:32:28.941000 1970-01-01 03:00:00.0 0 0 100.65.1.4 74.125.205.154 58493 80 tcp 176.100.216.42 74.125.205.154 58493 80 1 2014-10-14 10:32:28.26000 1970-01-01 03:00:00.0 0 0 100.65.1.4 77.88.8.8 58688 53 udp 176.100.216.42 77.88.8.8 58688 53 2 2014-10-14 10:32:57.578000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58514 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 9752 13617613 100.65.1.4 194.247.191.230 58497 8080 tcp 176.100.216.42 194.247.191.230 58497 8080 1 2014-10-14 10:32:29.758000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58512 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 4519 186702 194.247.191.230 100.65.1.4 8080 58515 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 4070 169712 194.247.191.230 100.65.1.4 8080 58502 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 4691 11515562 194.247.191.230 100.65.1.4 8080 58521 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 4764 193988 100.65.1.4 50.100.28.30 45704 6881 udp 176.100.216.42 50.100.28.30 1024 6881 1 2014-10-14 10:32:46.704000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58519 8080 tcp 176.100.216.42 194.247.191.230 58519 8080 1 2014-10-14 10:32:52.63000 1970-01-01 03:00:00.0 0 0 178.157.194.228 100.65.1.4 37114 45704 udp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 1 98 100.65.1.4 194.247.191.230 58499 8080 tcp 176.100.216.42 194.247.191.230 58499 8080 1 2014-10-14 10:32:30.868000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58492 843 tcp 176.100.216.42 194.247.191.230 58492 843 1 2014-10-14 10:32:27.909000 1970-01-01 03:00:00.0 0 0 77.88.8.8 100.65.1.4 53 58688 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 1 103 100.65.1.4 194.247.191.230 58504 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 3306 135380 100.65.1.4 194.247.191.230 58497 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 6505 272729 194.247.191.230 100.65.1.4 8080 58510 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 4079 9964460 100.65.1.4 77.88.8.8 63324 53 udp 176.100.216.42 77.88.8.8 63324 53 1 2014-10-14 10:32:27.599000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58518 8080 tcp 176.100.216.42 194.247.191.230 58518 8080 1 2014-10-14 10:32:52.63000 1970-01-01 03:00:00.0 0 0 100.65.1.4 74.12.175.194 45704 15223 udp 176.100.216.42 74.12.175.194 1024 15223 2 2014-10-14 10:32:34.766000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58498 8080 tcp 176.100.216.42 194.247.191.230 58498 8080 1 2014-10-14 10:32:30.868000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58501 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 4057 9976336 100.65.1.4 194.247.191.230 58495 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 7691 321061 100.65.1.4 194.247.191.230 58506 8080 tcp 176.100.216.42 194.247.191.230 58506 8080 1 2014-10-14 10:32:30.873000 1970-01-01 03:00:00.0 0 0 100.65.1.4 77.88.8.8 51720 53 udp 176.100.216.42 77.88.8.8 51720 53 1 2014-10-14 10:33:08.238000 1970-01-01 03:00:00.0 0 0 100.65.1.4 37.193.161.88 45704 60818 udp 176.100.216.42 37.193.161.88 1024 60818 1 2014-10-14 10:32:25.711000 1970-01-01 03:00:00.0 0 0 100.65.1.4 74.125.205.154 58525 80 tcp 176.100.216.42 74.125.205.154 58525 80 1 2014-10-14 10:33:07.798000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58506 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 4014 9915774 100.65.1.4 188.32.66.134 45704 55555 udp 176.100.216.42 188.32.66.134 1024 55555 1 2014-10-14 10:32:39.638000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58518 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 3813 159008 100.65.1.4 194.247.191.230 58502 8080 tcp 176.100.216.42 194.247.191.230 58502 8080 1 2014-10-14 10:32:30.871000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58511 843 tcp 176.100.216.42 194.247.191.230 58511 843 2 2014-10-14 10:32:49.866000 1970-01-01 03:00:00.0 0 0 100.65.1.4 176.196.78.169 45704 51413 udp 176.100.216.42 176.196.78.169 1024 51413 2 2014-10-14 10:32:27.790000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58511 843 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 3 152 100.65.1.4 79.131.43.242 45704 32885 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 1 95 100.65.1.4 194.247.191.230 58501 8080 tcp 176.100.216.42 194.247.191.230 58501 8080 1 2014-10-14 10:32:30.870000 1970-01-01 03:00:00.0 0 0 79.131.43.242 100.65.1.4 32885 45704 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 1 96 100.65.1.4 82.21.169.238 45704 6346 udp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 1 95 100.65.1.4 194.247.191.230 58508 8080 tcp 0 0 0 0 0 2014-10-14 10:33:19.0 1970-01-01 03:00:00.0 4243 175892 100.65.1.4 77.88.8.8 58688 53 udp 0 0 0 0 0 2014-10-14 10:32:54.0 1970-01-01 03:00:00.0 1 61 100.65.1.4 178.157.194.228 45704 37114 udp 176.100.216.42 178.157.194.228 1024 37114 1 2014-10-14 10:33:00.570000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58517 8080 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 12435 17379761 194.247.191.230 100.65.1.4 8080 58513 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 4445 182220 100.65.1.4 37.193.161.88 45704 60818 udp 176.100.216.42 37.193.161.88 1024 60818 2 2014-10-14 10:32:55.758000 1970-01-01 03:00:00.0 0 0 100.65.1.4 194.247.191.230 58512 8080 tcp 176.100.216.42 194.247.191.230 58512 8080 1 2014-10-14 10:32:50.386000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58514 tcp 0 0 0 0 0 2014-10-14 10:33:22.0 1970-01-01 03:00:00.0 4256 175897 100.65.1.4 194.247.191.230 58506 8080 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 3865 159012 100.65.1.4 194.247.191.230 58514 8080 tcp 176.100.216.42 194.247.191.230 58514 8080 1 2014-10-14 10:32:50.388000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58508 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 4361 10754756 100.65.1.4 82.21.169.238 45704 6346 udp 176.100.216.42 82.21.169.238 1024 6346 1 2014-10-14 10:33:07.462000 1970-01-01 03:00:00.0 0 0 194.247.191.230 100.65.1.4 8080 58504 tcp 0 0 0 0 0 2014-10-14 10:33:02.0 1970-01-01 03:00:00.0 3399 8441370 For a total of: 164 entries т.е. дата 1970-01-01 03:00:00.0 только в поле TIMESTAMP_END. Насколько это критично и нужно ли оно вообще? В Wireshark'е дата правильная во всех пакетах. По поводу nfdump отпишу позже. P.S. для Netflow версии 9 выглядит так: SRC_IP DST_IP SRC_PORT DST_PORT PROTOCOL POST_NAT_SRC_IP POST_NAT_DST_IP POST_NAT_SRC_PORT POST_NAT_DST_PORT NAT_EVENT TIMESTAMP_START TIMESTAMP_END PACKETS BYTES 100.65.1.4 23.91.253.102 45704 62116 udp 176.100.216.42 23.91.253.102 45704 62116 1 2014-10-14 11:59:32.509000 1970-01-01 03:00:00.0 0 0 54.230.98.120 100.65.1.4 80 58555 tcp 0 0 0 0 0 2014-10-14 11:59:29.0 2014-10-14 11:59:29.0 5 5458 75.157.213.96 100.65.1.4 26780 45704 udp 0 0 0 0 0 2014-10-14 11:59:12.0 2014-10-14 11:59:12.0 1 98 100.65.1.4 37.195.4.5 45704 60873 udp 176.100.216.42 37.195.4.5 45704 60873 2 2014-10-14 11:59:06.702000 1970-01-01 03:00:00.0 0 0 100.65.1.4 75.157.213.96 45704 26780 udp 176.100.216.42 75.157.213.96 45704 26780 1 2014-10-14 11:59:11.583000 1970-01-01 03:00:00.0 0 0 100.65.1.4 176.51.73.171 45704 33689 udp 176.100.216.42 176.51.73.171 45704 33689 2 2014-10-14 11:59:20.654000 1970-01-01 03:00:00.0 0 0 100.65.1.4 77.88.8.8 54099 53 udp 176.100.216.42 77.88.8.8 54099 53 1 2014-10-14 11:59:44.461000 1970-01-01 03:00:00.0 0 0 100.65.1.4 77.88.8.8 52832 53 udp 176.100.216.42 77.88.8.8 52832 53 1 2014-10-14 11:59:28.417000 1970-01-01 03:00:00.0 0 0 100.65.1.4 182.237.201.141 45704 51282 udp 176.100.216.42 182.237.201.141 45704 51282 2 2014-10-14 11:59:27.694000 1970-01-01 03:00:00.0 0 0 100.65.1.4 37.122.62.55 45704 11016 udp 0 0 0 0 0 2014-10-14 11:59:26.0 2014-10-14 11:59:26.0 1 95 77.88.8.8 100.65.1.4 53 52146 udp 0 0 0 0 0 2014-10-14 11:59:28.0 2014-10-14 11:59:28.0 1 238 100.65.1.4 54.230.98.120 58555 80 tcp 0 0 0 0 0 2014-10-14 11:59:29.0 2014-10-14 11:59:29.0 7 462 100.65.1.4 75.157.213.96 45704 26780 udp 0 0 0 0 0 2014-10-14 11:59:12.0 2014-10-14 11:59:12.0 1 95 100.65.1.4 63.245.217.55 58558 443 tcp 176.100.216.42 63.245.217.55 58558 443 1 2014-10-14 11:59:44.744000 1970-01-01 03:00:00.0 0 0 100.65.1.4 37.122.62.55 45704 11016 udp 176.100.216.42 37.122.62.55 45704 11016 1 2014-10-14 11:59:25.594000 1970-01-01 03:00:00.0 0 0 195.134.100.26 100.65.1.4 65003 45704 udp 0 0 0 0 0 2014-10-14 11:59:05.0 2014-10-14 11:59:05.0 1 98 100.65.1.4 75.157.213.96 45704 26780 udp 176.100.216.42 75.157.213.96 45704 26780 2 2014-10-14 11:59:41.646000 1970-01-01 03:00:00.0 0 0 109.242.111.96 100.65.1.4 50876 45704 udp 0 0 0 0 0 2014-10-14 11:59:19.0 2014-10-14 11:59:19.0 1 98 100.65.1.4 195.134.100.26 45704 65003 udp 0 0 0 0 0 2014-10-14 11:59:05.0 2014-10-14 11:59:05.0 1 95 100.65.1.4 77.88.8.8 52146 53 udp 0 0 0 0 0 2014-10-14 11:59:28.0 2014-10-14 11:59:28.0 1 67 100.65.1.4 77.88.8.8 52832 53 udp 0 0 0 0 0 2014-10-14 11:59:28.0 2014-10-14 11:59:29.0 2 134 100.65.1.4 109.242.111.96 45704 50876 udp 176.100.216.42 109.242.111.96 45704 50876 1 2014-10-14 11:59:18.575000 1970-01-01 03:00:00.0 0 0 100.65.1.4 77.88.8.8 54802 53 udp 176.100.216.42 77.88.8.8 54802 53 1 2014-10-14 11:59:43.383000 1970-01-01 03:00:00.0 0 0 100.65.1.4 76.232.104.235 45704 50296 udp 176.100.216.42 76.232.104.235 45704 50296 1 2014-10-14 11:59:39.497000 1970-01-01 03:00:00.0 0 0 100.65.1.4 109.242.111.96 45704 50876 udp 0 0 0 0 0 2014-10-14 11:59:19.0 2014-10-14 11:59:19.0 1 95 100.65.1.4 77.88.8.8 52146 53 udp 176.100.216.42 77.88.8.8 52146 53 1 2014-10-14 11:59:28.361000 1970-01-01 03:00:00.0 0 0 77.88.8.8 100.65.1.4 53 52832 udp 0 0 0 0 0 2014-10-14 11:59:29.0 2014-10-14 11:59:29.0 2 388 37.122.62.55 100.65.1.4 11016 45704 udp 0 0 0 0 0 2014-10-14 11:59:26.0 2014-10-14 11:59:26.0 1 108 100.65.1.4 77.88.8.8 55926 53 udp 176.100.216.42 77.88.8.8 55926 53 1 2014-10-14 11:59:44.339000 1970-01-01 03:00:00.0 0 0 100.65.1.4 77.88.8.8 65430 53 udp 176.100.216.42 77.88.8.8 65430 53 1 2014-10-14 11:59:43.788000 1970-01-01 03:00:00.0 0 0 100.65.1.4 54.230.98.120 58555 80 tcp 176.100.216.42 54.230.98.120 58555 80 1 2014-10-14 11:59:28.661000 1970-01-01 03:00:00.0 0 0 For a total of: 31 entries в поле TIMESTAMP_END нет даты только в NEL пакетах Изменено 14 октября, 2014 пользователем cREoz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 14 октября, 2014 (изменено) · Жалоба cREoz, спасибо. Согласно draft-ietf-behave-ipfix-nat-logging-04 в пакете с natEvent только время события, никакого второго времени там нет. Это же данные для вас (учёт), а не для того, чтоб в таблице все поля были разные. Видимо pmacct выводит в общей таблице не определённые поля как ноль, например, PACKETS, BYTES в natEvents не имеют смысла и не шлются, а у вас они выводятся как "0". Во flows нет полей NAT_EVENT и POST_NAT_SRC_IP, а pmacct выводит "0". Изменено 14 октября, 2014 пользователем aabc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 14 октября, 2014 (изменено) · Жалоба cREoz, спасибо. Спасибо, Вам. За ваше дело и поддержку) В версии протокола 10 не определяется TIMESTAMP_END для не NEL пакетов. Изменено 14 октября, 2014 пользователем cREoz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 14 октября, 2014 (изменено) · Жалоба А как вы дампаете? nfdump-1.6.11 собран с NSEL ./configure --enable-devel --enable-nsel запускаю коллектор nfcapd -w -t 60 -l /var/lib/nfdump -z -E -T nel -b 127.0.0.1 -p 2055 для Netflow версии 10 в дебаге вижу пакеты без времени: Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 52 first = 0 [1970-01-01 03:00:00] last = 0 [1970-01-01 03:00:00] msec_first = 0 msec_last = 0 src addr = 100.65.1.4 dst addr = 89.222.164.218 src port = 45704 dst port = 15073 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 0 (in)bytes = 0 [0] Process data record: 4 addr: 38, in record size: 34, buffer size_left: 850 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 52 first = 0 [1970-01-01 03:00:00] last = 0 [1970-01-01 03:00:00] msec_first = 0 msec_last = 0 src addr = 100.65.1.4 dst addr = 77.88.8.8 src port = 53879 dst port = 53 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 0 (in)bytes = 0 [0] Process data record: 5 addr: 72, in record size: 34, buffer size_left: 816 вот дамп (как я понимаю это NSEL заголовки) nfdump -R /var/lib/nfdump/ Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte 1970-01-01 03:00:00.000 IGNORE Ignore UDP 100.65.1.4:45704 -> 89.222.164.218:15073 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore UDP 100.65.1.4:53879 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore UDP 100.65.1.4:55350 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore UDP 100.65.1.4:57023 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58752 -> 88.84.200.122:843 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore UDP 100.65.1.4:45704 -> 85.164.39.106:8621 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58753 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58754 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58755 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58756 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58757 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58758 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58759 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58760 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58761 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58762 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58763 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58764 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58765 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58766 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore UDP 100.65.1.4:45704 -> 94.97.151.50:27631 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58767 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58768 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore TCP 100.65.1.4:58769 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore UDP 100.65.1.4:45704 -> 128.72.245.217:26163 0.0.0.0:0 -> 0.0.0.0:0 0 0 1970-01-01 03:00:00.000 IGNORE Ignore UDP 100.65.1.4:45704 -> 46.161.145.23:47045 0.0.0.0:0 -> 0.0.0.0:0 0 0 с ключом NEL nfdump -R /var/lib/nfdump/ -o nel Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:45704 -> 89.222.164.218:15073 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:53879 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:55350 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:57023 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58752 -> 88.84.200.122:843 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:45704 -> 85.164.39.106:8621 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58753 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58754 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58755 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58756 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58757 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58758 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58759 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58760 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58761 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58762 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58763 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58764 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58765 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58766 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:45704 -> 94.97.151.50:27631 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58767 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58768 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58769 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:45704 -> 128.72.245.217:26163 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:45704 -> 46.161.145.23:47045 0.0.0.0:0 -> 0.0.0.0:0 для Netflow версии 9 в дебаге вижу пакеты: [0] Process data record: 22 addr: 106, in record size: 34, buffer size_left: 138 Found Event Time MSEC: 1413282066382 Flow Record: Flags = 0x46 EVENT, Unsampled export sysid = 1 size = 68 first = 1413282066 [2014-10-14 14:21:06] last = 1413282066 [2014-10-14 14:21:06] msec_first = 382 msec_last = 382 src addr = 100.65.1.4 dst addr = 77.88.8.8 src port = 56133 dst port = 53 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 0 (in)bytes = 0 src xlt port = 0 dst xlt port = 17 src xlt ip = 176.100.216.42 dst xlt ip = 77.88.8.8 nat event = 2: DELETE ingress VRF = 3535593 [0] Process data record: 23 addr: 140, in record size: 34, buffer size_left: 104 Found Event Time MSEC: 1413282066420 Flow Record: Flags = 0x46 EVENT, Unsampled export sysid = 1 size = 68 first = 1413282066 [2014-10-14 14:21:06] last = 1413282066 [2014-10-14 14:21:06] msec_first = 420 msec_last = 420 src addr = 100.65.1.4 dst addr = 188.190.114.10 src port = 45704 dst port = 50492 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 0 (in)bytes = 0 src xlt port = 0 dst xlt port = 17 src xlt ip = 176.100.216.42 dst xlt ip = 188.190.114.10 nat event = 1: ADD ingress VRF = 2995316542 дамп nfdump -R /var/lib/nfdump/ Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte 2014-10-14 14:20:36.068 IGNORE Ignore UDP 100.65.1.4:64855 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 0 0 2014-10-14 14:20:36.286 IGNORE Ignore TCP 100.65.1.4:58819 -> 64.233.165.91:443 176.100.216.42:1 -> 64.233.165.91:68 0 0 2014-10-14 14:20:36.301 IGNORE Ignore UDP 100.65.1.4:56133 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:56 0 0 2014-10-14 14:20:20.888 IGNORE Ignore UDP 100.65.1.4:45704 -> 75.157.162.145:59198 0.0.0.0:0 -> 0.0.0.0:0 95 0 2014-10-14 14:20:36.638 IGNORE Ignore UDP 100.65.1.4:53308 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 0 0 2014-10-14 14:20:36.645 IGNORE Ignore UDP 100.65.1.4:53889 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 0 0 2014-10-14 14:20:36.706 IGNORE Ignore TCP 100.65.1.4:58820 -> 173.194.71.102:443 176.100.216.42:1 -> 173.194.71.102:68 0 0 2014-10-14 14:20:36.818 IGNORE Ignore UDP 100.65.1.4:62185 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:56 0 0 2014-10-14 14:20:21.136 IGNORE Ignore UDP 75.157.162.145:59198 -> 100.65.1.4:45704 0.0.0.0:0 -> 0.0.0.0:0 98 0 2014-10-14 14:20:37.083 IGNORE Ignore UDP 100.65.1.4:60994 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 0 0 2014-10-14 14:20:37.188 IGNORE Ignore UDP 100.65.1.4:60984 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 0 0 2014-10-14 14:20:37.381 IGNORE Ignore UDP 100.65.1.4:62746 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 0 0 2014-10-14 14:20:37.710 IGNORE Ignore UDP 100.65.1.4:45704 -> 210.203.196.188:19160 176.100.216.42:1 -> 210.203.196.188:56 0 0 2014-10-14 14:20:25.456 IGNORE Ignore UDP 100.65.1.4:63511 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 69 0 2014-10-14 14:20:25.452 IGNORE Ignore UDP 77.88.8.8:53 -> 100.65.1.4:50437 0.0.0.0:0 -> 0.0.0.0:0 219 0 2014-10-14 14:20:25.476 IGNORE Ignore UDP 100.65.1.4:63531 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 69 0 2014-10-14 14:20:25.452 IGNORE Ignore UDP 77.88.8.8:53 -> 100.65.1.4:62117 0.0.0.0:0 -> 0.0.0.0:0 103 0 2014-10-14 14:20:25.424 IGNORE Ignore UDP 100.65.1.4:62117 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 61 0 2014-10-14 14:20:25.420 IGNORE Ignore UDP 100.65.1.4:50437 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 69 0 2014-10-14 14:20:25.464 IGNORE Ignore UDP 77.88.8.8:53 -> 100.65.1.4:63511 0.0.0.0:0 -> 0.0.0.0:0 219 0 2014-10-14 14:20:25.480 IGNORE Ignore UDP 77.88.8.8:53 -> 100.65.1.4:63531 0.0.0.0:0 -> 0.0.0.0:0 119 0 2014-10-14 14:20:25.452 IGNORE Ignore UDP 100.65.1.4:59521 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 183 0 2014-10-14 14:20:25.584 IGNORE Ignore UDP 77.88.8.8:53 -> 100.65.1.4:59521 0.0.0.0:0 -> 0.0.0.0:0 429 0 2014-10-14 14:20:28.144 IGNORE Ignore UDP 100.65.1.4:45704 -> 90.162.98.58:64360 0.0.0.0:0 -> 0.0.0.0:0 95 0 2014-10-14 14:20:28.348 IGNORE Ignore UDP 90.162.98.58:64360 -> 100.65.1.4:45704 0.0.0.0:0 -> 0.0.0.0:0 98 0 nfdump -R /var/lib/nfdump/ -o nel Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port 2014-10-14 14:19:45.848 INVALID UDP 100.65.1.4:45704 -> 85.75.33.136:64596 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:19:46.076 INVALID UDP 85.75.33.136:64596 -> 100.65.1.4:45704 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:20:02.894 DELETE UDP 100.65.1.4:45704 -> 211.226.158.227:39748 176.100.216.42:1 -> 211.226.158.227:68 2014-10-14 14:20:07.699 ADD UDP 100.65.1.4:45704 -> 210.203.196.188:19160 176.100.216.42:1 -> 210.203.196.188:56 2014-10-14 14:19:52.844 INVALID UDP 100.65.1.4:45704 -> 24.183.183.211:30139 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:19:53.000 INVALID UDP 24.183.183.211:30139 -> 100.65.1.4:45704 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:20:09.806 DELETE UDP 100.65.1.4:45704 -> 46.161.145.23:47045 176.100.216.42:1 -> 46.161.145.23:68 2014-10-14 14:20:14.660 ADD UDP 100.65.1.4:45704 -> 83.36.21.138:36644 176.100.216.42:1 -> 83.36.21.138:56 2014-10-14 14:19:59.820 INVALID UDP 100.65.1.4:45704 -> 109.98.210.208:20016 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:19:59.928 INVALID UDP 109.98.210.208:20016 -> 100.65.1.4:45704 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:20:16.846 DELETE UDP 100.65.1.4:45704 -> 85.75.33.136:64596 176.100.216.42:1 -> 85.75.33.136:68 2014-10-14 14:20:21.634 ADD UDP 100.65.1.4:45704 -> 75.157.162.145:59198 176.100.216.42:1 -> 75.157.162.145:56 2014-10-14 14:20:06.760 INVALID UDP 100.65.1.4:45704 -> 210.203.196.188:19160 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:20:07.048 INVALID UDP 210.203.196.188:19160 -> 100.65.1.4:45704 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:20:23.886 DELETE UDP 100.65.1.4:45704 -> 24.183.183.211:30139 176.100.216.42:1 -> 24.183.183.211:68 2014-10-14 14:20:26.163 ADD UDP 100.65.1.4:50437 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 2014-10-14 14:20:26.167 ADD UDP 100.65.1.4:62117 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 2014-10-14 14:20:26.197 ADD UDP 100.65.1.4:59521 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 2014-10-14 14:20:26.198 ADD TCP 100.65.1.4:58802 -> 74.125.205.155:80 176.100.216.42:1 -> 74.125.205.155:68 2014-10-14 14:20:26.198 ADD UDP 100.65.1.4:63511 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 2014-10-14 14:20:26.219 ADD UDP 100.65.1.4:63531 -> 77.88.8.8:53 176.100.216.42:1 -> 77.88.8.8:68 2014-10-14 14:20:26.480 ADD TCP 100.65.1.4:58803 -> 88.84.200.122:843 176.100.216.42:1 -> 88.84.200.122:68 2014-10-14 14:20:28.606 ADD UDP 100.65.1.4:45704 -> 90.162.98.58:64360 176.100.216.42:1 -> 90.162.98.58:68 2014-10-14 14:20:29.500 ADD TCP 100.65.1.4:58804 -> 88.84.200.122:8080 176.100.216.42:1 -> 88.84.200.122:56 2014-10-14 14:20:13.720 INVALID UDP 100.65.1.4:45704 -> 83.36.21.138:36644 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:20:13.880 INVALID UDP 83.36.21.138:36644 -> 100.65.1.4:45704 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:20:30.306 ADD TCP 100.65.1.4:58805 -> 88.84.200.122:8080 176.100.216.42:1 -> 88.84.200.122:68 2014-10-14 14:20:30.307 ADD TCP 100.65.1.4:58806 -> 88.84.200.122:8080 176.100.216.42:1 -> 88.84.200.122:68 2014-10-14 14:20:30.307 ADD TCP 100.65.1.4:58807 -> 88.84.200.122:8080 176.100.216.42:1 -> 88.84.200.122:68 2014-10-14 14:20:30.798 DELETE UDP 100.65.1.4:45704 -> 109.98.210.208:20016 176.100.216.42:1 -> 109.98.210.208:68 2014-10-14 14:20:30.903 ADD TCP 100.65.1.4:58808 -> 88.84.200.122:8080 176.100.216.42:1 -> 88.84.200.122:68 2014-10-14 14:20:30.903 ADD TCP 100.65.1.4:58809 -> 88.84.200.122:8080 176.100.216.42:1 -> 88.84.200.122:68 nfdump-1.6.12 Netflow v10 дебаг [0] Process data record: 136 addr: 1036, in record size: 43, buffer size_left: 172 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 60 first = 0 [1970-01-01 03:00:00] last = 0 [1970-01-01 03:00:00] msec_first = 0 msec_last = 0 src addr = 100.65.1.4 dst addr = 88.84.200.122 src port = 58909 dst port = 8080 fwd status = 0 tcp flags = 0x1b .AP.SF proto = 6 TCP (src)tos = 0 (in)packets = 9015 (in)bytes = 12593831 input = 19 output = 12 [0] Process data record: 137 addr: 1079, in record size: 43, buffer size_left: 129 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 60 first = 0 [1970-01-01 03:00:00] last = 0 [1970-01-01 03:00:00] msec_first = 0 msec_last = 0 src addr = 100.65.1.4 dst addr = 88.84.200.122 src port = 58902 dst port = 8080 fwd status = 0 tcp flags = 0x1b .AP.SF proto = 6 TCP (src)tos = 0 (in)packets = 12472 (in)bytes = 17427823 input = 19 output = 12 дамп nfdump -R /var/lib/nfdump/ -o nel Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:45704 -> 188.190.114.10:50492 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:49965 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:55118 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58885 -> 64.233.165.156:80 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:62247 -> 77.88.8.8:53 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58886 -> 88.84.200.122:843 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58887 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:45704 -> 109.231.56.5:59990 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58888 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58889 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58890 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58891 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58892 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58893 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58894 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58895 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58896 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58897 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58898 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58899 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID TCP 100.65.1.4:58900 -> 88.84.200.122:8080 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 INVALID UDP 100.65.1.4:45704 -> 88.207.84.208:27072 0.0.0.0:0 -> 0.0.0.0:0 Netflow v9 дебаг [0] Process data record: 28 addr: 106, in record size: 34, buffer size_left: 206 Flow Record: Flags = 0x46 EVENT, Unsampled export sysid = 1 size = 80 first = 0 [1970-01-01 03:00:00] last = 0 [1970-01-01 03:00:00] msec_first = 1 msec_last = 0 src addr = 100.65.1.4 dst addr = 77.88.8.8 src port = 54666 dst port = 53 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 0 (in)bytes = 0 src xlt port = 54666 dst xlt port = 53 src xlt ip = 176.100.216.42 dst xlt ip = 77.88.8.8 nat event = 2: DELETE ingress VRF = 0 egress VRF = 0 [0] Process data record: 29 addr: 140, in record size: 34, buffer size_left: 172 Flow Record: Flags = 0x46 EVENT, Unsampled export sysid = 1 size = 80 first = 0 [1970-01-01 03:00:00] last = 0 [1970-01-01 03:00:00] msec_first = 1 msec_last = 0 src addr = 100.65.1.4 dst addr = 77.88.8.8 src port = 63977 dst port = 53 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 0 (in)bytes = 0 src xlt port = 63977 dst xlt port = 53 src xlt ip = 176.100.216.42 dst xlt ip = 77.88.8.8 nat event = 2: DELETE ingress VRF = 0 egress VRF = 0 дамп nfdump -R /var/lib/nfdump/ -o nel Date first seen Event Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port 2014-10-14 14:47:41.472 INVALID UDP 100.65.1.4:45704 -> 85.75.33.136:64596 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:47:41.784 INVALID UDP 85.75.33.136:64596 -> 100.65.1.4:45704 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 DELETE UDP 100.65.1.4:45704 -> 211.226.158.227:39748 176.100.216.42:45704 -> 211.226.158.227:39748 1970-01-01 03:00:00.000 CREATE UDP 100.65.1.4:45704 -> 86.3.62.84:47814 176.100.216.42:45704 -> 86.3.62.84:47814 2014-10-14 14:47:48.444 INVALID UDP 100.65.1.4:45704 -> 24.183.183.211:30139 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:47:48.600 INVALID UDP 24.183.183.211:30139 -> 100.65.1.4:45704 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 DELETE UDP 100.65.1.4:45704 -> 46.161.145.23:47045 176.100.216.42:45704 -> 46.161.145.23:47045 1970-01-01 03:00:00.000 CREATE UDP 100.65.1.4:45704 -> 83.36.21.138:36644 176.100.216.42:45704 -> 83.36.21.138:36644 2014-10-14 14:47:55.432 INVALID UDP 100.65.1.4:45704 -> 203.217.45.146:49852 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 DELETE UDP 100.65.1.4:45704 -> 85.75.33.136:64596 176.100.216.42:45704 -> 85.75.33.136:64596 1970-01-01 03:00:00.000 CREATE UDP 100.65.1.4:50516 -> 77.88.8.8:53 176.100.216.42:50516 -> 77.88.8.8:53 1970-01-01 03:00:00.000 CREATE UDP 100.65.1.4:65372 -> 77.88.8.8:53 176.100.216.42:65372 -> 77.88.8.8:53 1970-01-01 03:00:00.000 CREATE UDP 100.65.1.4:55819 -> 77.88.8.8:53 176.100.216.42:55819 -> 77.88.8.8:53 1970-01-01 03:00:00.000 CREATE UDP 100.65.1.4:64972 -> 77.88.8.8:53 176.100.216.42:64972 -> 77.88.8.8:53 1970-01-01 03:00:00.000 CREATE TCP 100.65.1.4:58845 -> 64.233.161.156:80 176.100.216.42:58845 -> 64.233.161.156:80 1970-01-01 03:00:00.000 CREATE UDP 100.65.1.4:56230 -> 77.88.8.8:53 176.100.216.42:56230 -> 77.88.8.8:53 1970-01-01 03:00:00.000 CREATE TCP 100.65.1.4:58846 -> 88.84.200.122:843 176.100.216.42:58846 -> 88.84.200.122:843 1970-01-01 03:00:00.000 CREATE UDP 100.65.1.4:45704 -> 31.181.30.163:35691 176.100.216.42:45704 -> 31.181.30.163:35691 1970-01-01 03:00:00.000 CREATE TCP 100.65.1.4:58847 -> 88.84.200.122:8080 176.100.216.42:58847 -> 88.84.200.122:8080 1970-01-01 03:00:00.000 CREATE TCP 100.65.1.4:58848 -> 88.84.200.122:8080 176.100.216.42:58848 -> 88.84.200.122:8080 1970-01-01 03:00:00.000 CREATE TCP 100.65.1.4:58849 -> 88.84.200.122:8080 176.100.216.42:58849 -> 88.84.200.122:8080 1970-01-01 03:00:00.000 CREATE TCP 100.65.1.4:58850 -> 88.84.200.122:8080 176.100.216.42:58850 -> 88.84.200.122:8080 2014-10-14 14:48:02.328 INVALID UDP 100.65.1.4:45704 -> 86.3.62.84:47814 0.0.0.0:0 -> 0.0.0.0:0 2014-10-14 14:48:02.424 INVALID UDP 86.3.62.84:47814 -> 100.65.1.4:45704 0.0.0.0:0 -> 0.0.0.0:0 1970-01-01 03:00:00.000 CREATE TCP 100.65.1.4:58851 -> 88.84.200.122:8080 176.100.216.42:58851 -> 88.84.200.122:8080 Изменено 14 октября, 2014 пользователем cREoz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 14 октября, 2014 · Жалоба К сожалению в этом посте я потерял вашу мысль. nfdump-1.6.11 собран NSEL При чём тут NSEL? В модуле поддержки NSEL нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 14 октября, 2014 · Жалоба К сожалению в этом посте я потерял вашу мысль. nfdump-1.6.11 собран NSEL При чём тут NSEL? В модуле поддержки NSEL нет. опция --enable-nsel включает обработку ASA/NSEL/NEL, а --enable-nel просто ссылка на --enable-nsel --enable-nsel compile nfdump, to read and process ASA/NSEL/NEL event data; default is NO --enable-nel (depricated) compile nfdump, to read and process NAT/NSEL/NEL event data; default is NO на форуме пишут, что с Циски, для которой автор ориентирует свою розработку, тоже не правильно принимает пакеты в 1.6.12 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 14 октября, 2014 · Жалоба В версии протокола 10 не определяется TIMESTAMP_END для не NEL пакетов. Может вы зарепортите баг в nfdump? (В Wireshark данные в пакетах есть, в v9 данные отображаются, в IPFIX данные не отображаются.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 14 октября, 2014 · Жалоба В версии протокола 10 не определяется TIMESTAMP_END для не NEL пакетов. Может вы зарепортите баг в nfdump? (В Wireshark данные в пакетах есть, в v9 данные отображаются, в IPFIX данные не отображаются.) Это относилось к pmacct-1.5.0 Попробую сделать дампы. Отправлю и в nfdump и в pmacct. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 14 октября, 2014 (изменено) · Жалоба Такие мысли: возможно, pmacct в 10 ожидает/хочет время в другом элементе, а не в flowEndSysUpTime<21>. На сколько я знаю, элемент flowEndSysUpTime не obsoleted и в IPFIX его слать можно, особенно если есть элемент systemInitTimeMilliseconds<160>, который так же шлю. Примеров IPFIX пакетов, которые шлет Cisco у меня нет, так что в каком виде она шлет время я не знаю (приходится основываться на RFC). Пришлите если есть. Изменено 14 октября, 2014 пользователем aabc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 14 октября, 2014 (изменено) · Жалоба aabc, не имеет ли смысл добавить в git инструкцию по сборке модуля под Ubuntu/Debian как DKMS-модуля? Там всего-то нужен будет файлик dkms.conf и положить сырцы в соответствующую директорию в /usr/src. Это позволит автоматически пересобирать модуль при обновлении ядра. MAKE="./configure --enable-natevents && make all install" BUILD_MODULE_NAME=ipt_NETFLOW DEST_MODULE_LOCATION=/extra PACKAGE_NAME=ipt_netflow PACKAGE_VERSION=1.1 REMAKE_INITRD=yes AUTOINSTALL=yes dkms add -m ipt_NETFLOW -v 1.1 dkms autoinstall -m ipt_NETFLOW -v 1.1 Версию указал от балды. Изменено 14 октября, 2014 пользователем Dyr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 14 октября, 2014 · Жалоба Такие мысли: возможно, pmacct в 10 ожидает/хочет время в другом элементе, а не в flowEndSysUpTime<21>. На сколько я знаю, элемент flowEndSysUpTime не obsoleted и в IPFIX его слать можно, особенно если есть элемент systemInitTimeMilliseconds<160>, который так же шлю. Примеров IPFIX пакетов, которые шлет Cisco у меня нет, так что в каком виде она шлет время я не знаю (приходится основываться на RFC). Пришлите если есть. Железа с IPFIX нет( запустил пока сбор IPFIX на pmacct без агрегации TIMESTAMP_END, т.к. для текущей задачи пока не нужно. aabc, не имеет ли смысл добавить в git инструкцию по сборке модуля под Ubuntu/Debian как DKMS-модуля? Да, супер-нужная вещь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 14 октября, 2014 · Жалоба Dyr, я не против в принципе, нужно будет подумать над этим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 14 октября, 2014 · Жалоба Просматривал дамп потока от ipt_netflow в Wireshark и обнаружил "неизвестное поле #300" в описании шаблона #256 в первом пакете при старте модуля. Это ошибка в Wireshark? В описании под номером 300 я нашел observationDomainName. ipt_netflow_v10.zip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 14 октября, 2014 · Жалоба cREoz, это не ошибка Wireshark, просто в нем этот элемент не реализован. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 14 октября, 2014 (изменено) · Жалоба cREoz В общем я погуглил, скорей всего в IPFIX любят слать время не в flowStartSysUpTime/flowEndSysUpTime, а в flowStartMilliseconds/flowEndMilliseconds (абсолютное время). Можно попробовать сделать для 10 эти атрибуты и посмотреть, что увидит pmacct. (С nfdump я не понял есть проблема или нет.) Изменено 14 октября, 2014 пользователем aabc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aabc Опубликовано 14 октября, 2014 · Жалоба В версии протокола 10 не определяется TIMESTAMP_END для не NEL пакетов. В последнем коммите (7060658) я сделал отсылку времени для 10 в других элементах (flowStartMilliseconds, flowEndMilliseconds). Проверьте пожалуйста как у вас стало отображаться, если не трудно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 14 октября, 2014 · Жалоба В последнем коммите (7060658) я сделал отсылку времени для 10 в других элементах (flowStartMilliseconds, flowEndMilliseconds). Проверьте пожалуйста как у вас стало отображаться, если не трудно. pmacct стал показывать TIMESTAMP_END для IPFIX в "обычных" пакетах (без NEL) SRC_IP DST_IP SRC_PORT DST_PORT PROTOCOL POST_NAT_SRC_IP POST_NAT_DST_IP POST_NAT_SRC_PORT POST_NAT_DST_PORT NAT_EVENT TIMESTAMP_START TIMESTAMP_END PACKETS BYTES 77.88.8.8 100.65.1.5 53 50365 udp 0 0 0 0 0 2014-10-14 22:35:05.886000 2014-10-14 22:35:05.934000 2 276 100.65.1.5 97.93.11.89 45704 31497 udp 176.100.216.42 97.93.11.89 45704 31497 1 2014-10-14 22:37:30.65000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61146 8080 tcp 0 0 0 0 0 2014-10-14 22:35:20.42000 2014-10-14 22:35:35.678000 9742 13591319 100.65.1.5 194.247.191.231 61100 8080 tcp 176.100.216.42 194.247.191.231 61100 8080 2 2014-10-14 22:36:00.802000 1970-01-01 03:00:00.0 0 0 100.65.1.5 23.91.253.102 45704 62116 udp 176.100.216.42 23.91.253.102 45704 62116 1 2014-10-14 22:35:04.140000 1970-01-01 03:00:00.0 0 0 100.65.1.5 77.88.8.8 54307 53 udp 176.100.216.42 77.88.8.8 54307 53 2 2014-10-14 22:36:08.58000 1970-01-01 03:00:00.0 0 0 100.65.1.5 128.72.245.217 45704 26163 udp 0 0 0 0 0 2014-10-14 22:35:17.778000 2014-10-14 22:35:17.778000 1 95 100.65.1.5 194.247.191.231 61152 8080 tcp 176.100.216.42 194.247.191.231 61152 8080 2 2014-10-14 22:37:35.522000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61127 8080 tcp 176.100.216.42 194.247.191.231 61127 8080 1 2014-10-14 22:34:58.100000 1970-01-01 03:00:00.0 0 0 100.65.1.5 178.157.194.228 45704 37114 udp 0 0 0 0 0 2014-10-14 22:37:23.82000 2014-10-14 22:37:23.82000 1 95 100.65.1.5 194.247.191.229 61084 80 tcp 176.100.216.42 194.247.191.229 61084 80 2 2014-10-14 22:35:53.458000 1970-01-01 03:00:00.0 0 0 124.185.202.63 100.65.1.5 53356 45704 udp 0 0 0 0 0 2014-10-14 22:36:34.686000 2014-10-14 22:36:34.686000 1 77 194.247.191.231 100.65.1.5 843 61141 tcp 0 0 0 0 0 2014-10-14 22:35:18.434000 2014-10-14 22:35:19.470000 3 120 194.247.191.231 100.65.1.5 8080 61134 tcp 0 0 0 0 0 2014-10-14 22:35:02.354000 2014-10-14 22:35:16.118000 5248 11705738 100.65.1.5 93.184.221.133 61078 80 tcp 176.100.216.42 93.184.221.133 61078 80 2 2014-10-14 22:35:41.938000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61142 8080 tcp 176.100.216.42 194.247.191.231 61142 8080 1 2014-10-14 22:35:19.473000 1970-01-01 03:00:00.0 0 0 100.65.1.5 77.88.8.8 52259 53 udp 176.100.216.42 77.88.8.8 52259 53 2 2014-10-14 22:36:33.394000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61137 8080 tcp 176.100.216.42 194.247.191.231 61137 8080 1 2014-10-14 22:35:04.811000 1970-01-01 03:00:00.0 0 0 100.65.1.5 82.234.13.209 45704 39104 udp 176.100.216.42 82.234.13.209 45704 39104 2 2014-10-14 22:35:05.934000 1970-01-01 03:00:00.0 0 0 194.247.191.231 100.65.1.5 8080 61155 tcp 0 0 0 0 0 2014-10-14 22:35:23.858000 2014-10-14 22:35:35.598000 3147 134336 100.65.1.5 194.247.191.231 61096 8080 tcp 176.100.216.42 194.247.191.231 61096 8080 2 2014-10-14 22:36:00.802000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61156 8080 tcp 176.100.216.42 194.247.191.231 61156 8080 2 2014-10-14 22:37:35.482000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61126 8080 tcp 176.100.216.42 194.247.191.231 61126 8080 2 2014-10-14 22:37:16.118000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61141 843 tcp 176.100.216.42 194.247.191.231 61141 843 2 2014-10-14 22:35:18.957000 1970-01-01 03:00:00.0 0 0 100.65.1.5 77.88.8.8 53265 53 udp 176.100.216.42 77.88.8.8 53265 53 2 2014-10-14 22:35:35.858000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61155 8080 tcp 176.100.216.42 194.247.191.231 61155 8080 1 2014-10-14 22:35:23.853000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61152 8080 tcp 176.100.216.42 194.247.191.231 61152 8080 1 2014-10-14 22:35:20.45000 1970-01-01 03:00:00.0 0 0 100.65.1.5 193.111.255.182 45704 16672 udp 0 0 0 0 0 2014-10-14 22:36:48.246000 2014-10-14 22:36:48.246000 1 95 100.65.1.5 77.88.8.8 55574 53 udp 0 0 0 0 0 2014-10-14 22:35:04.458000 2014-10-14 22:35:04.458000 1 69 100.65.1.5 194.247.191.231 61137 8080 tcp 176.100.216.42 194.247.191.231 61137 8080 2 2014-10-14 22:37:16.118000 1970-01-01 03:00:00.0 0 0 100.65.1.5 50.88.187.231 45704 41177 udp 0 0 0 0 0 2014-10-14 22:35:10.834000 2014-10-14 22:35:10.834000 1 95 100.65.1.5 93.184.221.133 61122 80 tcp 176.100.216.42 93.184.221.133 61122 80 2 2014-10-14 22:36:27.310000 1970-01-01 03:00:00.0 0 0 194.247.191.231 100.65.1.5 843 61123 tcp 0 0 0 0 0 2014-10-14 22:34:56.346000 2014-10-14 22:34:57.378000 3 120 100.65.1.5 194.247.191.231 61123 843 tcp 0 0 0 0 0 2014-10-14 22:34:56.338000 2014-10-14 22:34:57.370000 3 152 100.65.1.5 77.88.8.8 60420 53 udp 176.100.216.42 77.88.8.8 60420 53 2 2014-10-14 22:36:34.50000 1970-01-01 03:00:00.0 0 0 100.65.1.5 93.184.221.133 61079 80 tcp 176.100.216.42 93.184.221.133 61079 80 2 2014-10-14 22:35:41.934000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61130 8080 tcp 176.100.216.42 194.247.191.231 61130 8080 2 2014-10-14 22:37:16.118000 1970-01-01 03:00:00.0 0 0 100.65.1.5 194.247.191.231 61142 8080 tcp 176.100.216.42 194.247.191.231 61142 8080 2 2014-10-14 22:37:35.574000 1970-01-01 03:00:00.0 0 0 nfdump-1.6.12 тоже начал видеть время в в потоках без информации о NAT. nfdump в принципе не видит ни дату, ни самих NEL полей в IPFIX. дебаг 3-х потоков: Process_ipfix: Next flowset 260, length 100. Process data flowset, length: 100 [0] Process data flowset size: 96 [0] Process data record: 97 addr: 4, in record size: 48, buffer size_left: 96 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 60 first = 1413312577 [2014-10-14 22:49:37] last = 1413312577 [2014-10-14 22:49:37] msec_first = 270 msec_last = 270 src addr = 100.65.1.5 dst addr = 37.195.49.29 src port = 45704 dst port = 25871 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 1 (in)bytes = 95 input = 18 output = 12 [0] Process data record: 98 addr: 52, in record size: 48, buffer size_left: 48 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 60 first = 1413312577 [2014-10-14 22:49:37] last = 1413312577 [2014-10-14 22:49:37] msec_first = 346 msec_last = 346 src addr = 37.195.49.29 dst addr = 100.65.1.5 src port = 25871 dst port = 45704 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 1 (in)bytes = 98 input = 12 output = 18 Process_ipfix: Next flowset 258, length 140. Process data flowset, length: 140 [0] Process data flowset size: 136 [0] Process data record: 99 addr: 4, in record size: 34, buffer size_left: 136 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 56 first = 0 [1970-01-01 03:00:00] last = 0 [1970-01-01 03:00:00] msec_first = 0 msec_last = 0 src addr = 100.65.1.5 dst addr = 37.195.210.81 src port = 45704 dst port = 11341 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 0 (in)bytes = 0 [0] Process data record: 100 addr: 38, in record size: 34, buffer size_left: 102 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 56 first = 0 [1970-01-01 03:00:00] last = 0 [1970-01-01 03:00:00] msec_first = 0 msec_last = 0 src addr = 100.65.1.5 dst addr = 77.88.8.8 src port = 59959 dst port = 53 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 0 (in)bytes = 0 [0] Process data record: 101 addr: 72, in record size: 34, buffer size_left: 68 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 56 first = 0 [1970-01-01 03:00:00] last = 0 [1970-01-01 03:00:00] msec_first = 0 msec_last = 0 src addr = 100.65.1.5 dst addr = 77.88.8.8 src port = 52376 dst port = 53 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 0 (in)bytes = 0 [0] Process data record: 102 addr: 106, in record size: 34, buffer size_left: 34 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 56 first = 0 [1970-01-01 03:00:00] last = 0 [1970-01-01 03:00:00] msec_first = 0 msec_last = 0 src addr = 100.65.1.5 dst addr = 77.88.8.8 src port = 51098 dst port = 53 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 0 (in)bytes = 0 Process_ipfix: Next flowset 259, length 108. Process data flowset, length: 108 [0] Process data flowset size: 104 [0] Process data record: 103 addr: 4, in record size: 52, buffer size_left: 104 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 60 first = 1413312567 [2014-10-14 22:49:27] last = 1413312582 [2014-10-14 22:49:42] msec_first = 386 msec_last = 454 src addr = 100.65.1.5 dst addr = 194.247.191.231 src port = 61244 dst port = 8080 fwd status = 0 tcp flags = 0x1b .AP.SF proto = 6 TCP (src)tos = 0 (in)packets = 5051 (in)bytes = 212348 input = 18 output = 12 [0] Process data record: 104 addr: 56, in record size: 52, buffer size_left: 52 Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 60 first = 1413312567 [2014-10-14 22:49:27] last = 1413312582 [2014-10-14 22:49:42] msec_first = 382 msec_last = 450 src addr = 100.65.1.5 dst addr = 194.247.191.231 src port = 61240 dst port = 8080 fwd status = 0 tcp flags = 0x1b .AP.SF proto = 6 TCP (src)tos = 0 (in)packets = 4365 (in)bytes = 183820 input = 18 output = 12 поток без даты - flowset 258 (wireshark): FlowSet Id: (Data) (258) FlowSet Length: 140 Flow 1 Observation Time Milliseconds: Oct 14, 2014 22:49:53.102000000 MSK SrcAddr: 100.65.1.5 (100.65.1.5) DstAddr: 37.195.210.81 (37.195.210.81) Post NAT Source IPv4 Address: 176.100.216.42 (176.100.216.42) Post NAT Destination IPv4 Address: 37.195.210.81 (37.195.210.81) SrcPort: 45704 DstPort: 11341 Post NAPT Source Transport Port: 45704 Post NAPT Destination Transport Port: 11341 Protocol: 17 Nat Event: 2 Flow 2 Observation Time Milliseconds: Oct 14, 2014 22:49:54.306000000 MSK SrcAddr: 100.65.1.5 (100.65.1.5) DstAddr: 77.88.8.8 (77.88.8.8) Post NAT Source IPv4 Address: 176.100.216.42 (176.100.216.42) Post NAT Destination IPv4 Address: 77.88.8.8 (77.88.8.8) SrcPort: 59959 DstPort: 53 Post NAPT Source Transport Port: 59959 Post NAPT Destination Transport Port: 53 Protocol: 17 Nat Event: 2 Flow 3 Observation Time Milliseconds: Oct 14, 2014 22:49:54.322000000 MSK SrcAddr: 100.65.1.5 (100.65.1.5) DstAddr: 77.88.8.8 (77.88.8.8) Post NAT Source IPv4 Address: 176.100.216.42 (176.100.216.42) Post NAT Destination IPv4 Address: 77.88.8.8 (77.88.8.8) SrcPort: 52376 DstPort: 53 Post NAPT Source Transport Port: 52376 Post NAPT Destination Transport Port: 53 Protocol: 17 Nat Event: 2 Flow 4 Observation Time Milliseconds: Oct 14, 2014 22:49:54.338000000 MSK SrcAddr: 100.65.1.5 (100.65.1.5) DstAddr: 77.88.8.8 (77.88.8.8) Post NAT Source IPv4 Address: 176.100.216.42 (176.100.216.42) Post NAT Destination IPv4 Address: 77.88.8.8 (77.88.8.8) SrcPort: 51098 DstPort: 53 Post NAPT Source Transport Port: 51098 Post NAPT Destination Transport Port: 53 Protocol: 17 Nat Event: 2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
