evolix
/
wiki
18
0
Fork 0
Code Releases Activity
wiki/HowtoNetflow.md

2.3 KiB
Raw Blame History

Cette page a été importée automatiquement de notre ancien wiki mais n'a pas encore été révisée.

Howto Netflow

http://en.wikipedia.org/wiki/Netflow

Netflow est un protocole développé par Cisco pour collecter des informations sur le trafic réseau. On le retrouve évidemment dans les équipements Cisco, mais aussi Juniper, Linux, BSD, etc.

Les équipements réseau exportent les données Netflow vers un serveur chargé de les collecter. On peut par exemple installer ce serveur sous Linux.

# aptitude install nfdump

On peut ainsi lancer le démon nfcapd en le configurant via /etc/default/ndump :

nfcapd_start=yes

Par défaut, il écoute en UDP/9995 et stocke les données Netflow dans /var/cache/nfdump

Et l'on peut donc visualiser les données Netflow ainsi :

#Toutes les données
# nfdump -R /var/cache/nfdump/

#Seulement concernant l'IP 8.8.8.8
# nfdump -R /var/cache/nfdump/ 'host 8.8.8.8'

#Seulement l'UDP
# nfdump -R /var/cache/nfdump/ 'proto udp'

#Seulement l'UDP concernant l'IP 8.8.8.8
# nfdump -R /var/cache/nfdump/ 'proto udp and host 8.8.8.8'

#Seulement les ports utilisés pour la communication entre 1.1.1.1 et 2.2.2.2
# nfdump -R /var/cache/nfdump/ -s port "ip 1.1.1.1 and ip 2.2.2.2"

#Seulement le 26 mars 2011 entre 22h35 et 22h40
# nfdump -R /var/cache/nfdump/nfcapd.201103262235:nfcapd.201103262240

#Seulement le 26 mars 2011 entre 22h35m10s et 22h36m3s
# nfdump -R /var/cache/nfdump/nfcapd.201103262235 -t 2011/03/26.22:35:10-2011/03/26.22:36:03

#Les 3 premiers paquets
# nfdump -R /var/cache/nfdump/ -c 3

#Le top 3 des IPs source
# nfdump -R /var/cache/nfdump/ -n 3 -s srcip

#Le top 3 des IPs source avec le plus fort trafic
# nfdump -R /var/cache/nfdump/ -n 3 -s srcip/bytes

Si l'emplacement de stockage a été modifié et qu'on a par exemple des données pour la machine A dans /var/cache/nfdump/A/ et pour la machine B dans /var/cache/nfdump/B/, avec des sous dossiers pour les dates. On veut regarder à la fois dans /var/cache/nfdump/A/2016/07/0X/ et /var/cache/nfdump/B/2016/07/0X/ :

#Les données de A et B entre le 08 juillet 2016 à 23h50 et le 09 juillet 2016 à 00h10
# nfdump -M /var/cache/nfdump/A:B -R 2016/07/08/nfcapd.201607082350:2016/07/09/nfcapd.201607090010

http://manpages.debian.net/cgi-bin/man.cgi?query=nfdump