68 lines
2.3 KiB
Markdown
68 lines
2.3 KiB
Markdown
**Cette page a été importée automatiquement de notre ancien wiki mais n'a pas encore été révisée.**
|
|
|
|
# Howto Netflow
|
|
|
|
<http://en.wikipedia.org/wiki/Netflow>
|
|
|
|
Netflow est un protocole développé par Cisco pour collecter des informations sur le trafic réseau.
|
|
On le retrouve évidemment dans les équipements Cisco, mais aussi Juniper, Linux, BSD, etc.
|
|
|
|
Les équipements réseau exportent les données Netflow vers un serveur chargé de les collecter.
|
|
On peut par exemple installer ce serveur sous Linux.
|
|
|
|
~~~
|
|
# aptitude install nfdump
|
|
~~~
|
|
|
|
On peut ainsi lancer le démon *nfcapd* en le configurant via _/etc/default/ndump_ :
|
|
|
|
~~~
|
|
nfcapd_start=yes
|
|
~~~
|
|
|
|
Par défaut, il écoute en UDP/9995 et stocke les données Netflow dans _/var/cache/nfdump_
|
|
|
|
Et l'on peut donc visualiser les données Netflow ainsi :
|
|
|
|
~~~
|
|
#Toutes les données
|
|
# nfdump -R /var/cache/nfdump/
|
|
|
|
#Seulement concernant l'IP 8.8.8.8
|
|
# nfdump -R /var/cache/nfdump/ 'host 8.8.8.8'
|
|
|
|
#Seulement l'UDP
|
|
# nfdump -R /var/cache/nfdump/ 'proto udp'
|
|
|
|
#Seulement l'UDP concernant l'IP 8.8.8.8
|
|
# nfdump -R /var/cache/nfdump/ 'proto udp and host 8.8.8.8'
|
|
|
|
#Seulement les ports utilisés pour la communication entre 1.1.1.1 et 2.2.2.2
|
|
# nfdump -R /var/cache/nfdump/ -s port "ip 1.1.1.1 and ip 2.2.2.2"
|
|
|
|
#Seulement le 26 mars 2011 entre 22h35 et 22h40
|
|
# nfdump -R /var/cache/nfdump/nfcapd.201103262235:nfcapd.201103262240
|
|
|
|
#Seulement le 26 mars 2011 entre 22h35m10s et 22h36m3s
|
|
# nfdump -R /var/cache/nfdump/nfcapd.201103262235 -t 2011/03/26.22:35:10-2011/03/26.22:36:03
|
|
|
|
#Les 3 premiers paquets
|
|
# nfdump -R /var/cache/nfdump/ -c 3
|
|
|
|
#Le top 3 des IPs source
|
|
# nfdump -R /var/cache/nfdump/ -n 3 -s srcip
|
|
|
|
#Le top 3 des IPs source avec le plus fort trafic
|
|
# nfdump -R /var/cache/nfdump/ -n 3 -s srcip/bytes
|
|
~~~
|
|
|
|
Si l'emplacement de stockage a été modifié et qu'on a par exemple des données pour la machine A dans /var/cache/nfdump/A/ et pour la machine B dans /var/cache/nfdump/B/, avec des sous dossiers pour les dates. On veut regarder à la fois dans /var/cache/nfdump/A/2016/07/0X/ et /var/cache/nfdump/B/2016/07/0X/ :
|
|
|
|
~~~
|
|
#Les données de A et B entre le 08 juillet 2016 à 23h50 et le 09 juillet 2016 à 00h10
|
|
# nfdump -M /var/cache/nfdump/A:B -R 2016/07/08/nfcapd.201607082350:2016/07/09/nfcapd.201607090010
|
|
~~~
|
|
|
|
<http://manpages.debian.net/cgi-bin/man.cgi?query=nfdump>
|
|
|