nfdump、nfcapd的介紹和安裝

這篇文章給大家分享的是nfdump、nfcapd的介紹和安裝，小編覺(jué)得挺實(shí)用的，為此分享給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧。

創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),江永企業(yè)網(wǎng)站建設(shè),江永品牌網(wǎng)站建設(shè),網(wǎng)站定制,江永網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷(xiāo),網(wǎng)絡(luò)優(yōu)化,江永網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力?？沙浞譂M(mǎn)足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專(zhuān)業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶(hù)成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

netflow接收器

有了發(fā)送器，還需要有接收器才能收集數(shù)據(jù)和分析數(shù)據(jù)，商業(yè)軟件有ManageEngine和SolarWinds，他們基本上按照埋點(diǎn)個(gè)數(shù)算錢(qián)或者按照流量收費(fèi)，實(shí)在買(mǎi)不起。

后來(lái)找到了一個(gè)github上開(kāi)源的軟件，這個(gè)軟件是nfsen的后臺(tái)，叫nfdump，為啥沒(méi)直接推薦nfsen，因?yàn)槲矣X(jué)nfsen的界面做的不好，而且流量圖是png格式，很難二次開(kāi)發(fā)，而nfdump將數(shù)據(jù)存儲(chǔ)成文本文件，利于二次開(kāi)發(fā)，可以存到數(shù)據(jù)庫(kù)，再用grafana展示出來(lái)。

nfdump介紹

官網(wǎng)（github，如果打不開(kāi)，請(qǐng)使用***）：

https://github.com/phaag/nfdump/blob/master/README.md  
2019年末，最新版本1.6.18，使用yum安裝默認(rèn)也是1.6.18版本。  
nfdump是一個(gè)可以收集和處理netflow和sflow的工具，支持netflow v1,v5/v7,v9,IPFIX和sflow，支持IPv4和IPv6。

安裝

環(huán)境：CentOS 7
更換yum源（可選操作）：

cd /etc/yum.repos.d/
mv CentOS-Base.repo CentOS-Base.repo.bak
wget http://mirrors.163.com/.help/CentOS7-Base-163.repo
mv CentOS7-Base-163.repo CentOS-Base.repo
yum update

安裝nfdump

yum -y install nfdump

查看版本

nfdump -V

nfdump的五大工具

nfcapd-netflow收集器守護(hù)程序，收集從采集設(shè)備發(fā)來(lái)的flow數(shù)據(jù)，并寫(xiě)入文件中，默認(rèn)5分鐘存成一個(gè)文件。  
nfdump-讀取文件數(shù)據(jù)，并整合數(shù)據(jù)。nfdump從nfcapd存儲(chǔ)的一個(gè)或多個(gè)文件中讀取netflow數(shù)據(jù)。nfdump語(yǔ)法和tcpdump語(yǔ)法很像，他可以輸出單個(gè)數(shù)據(jù)信息，也可以進(jìn)行聚合輸出統(tǒng)計(jì)信息，還可以根據(jù)packets或者bytes等參數(shù)進(jìn)行排序。  
nfanon-匿名記錄Netflow記錄，流記錄中的IP地址使用CryptoPAn方法進(jìn)行匿名處理。  
nfexpire-丟棄舊的數(shù)據(jù)，管理數(shù)據(jù)到期。設(shè)置適當(dāng)?shù)南拗?。用于NfSen。  
nfreplay-Netflow重放，從nfcapd存儲(chǔ)的文件中讀取netflow數(shù)據(jù)，發(fā)送到另一臺(tái)主機(jī)。

命令參數(shù)

nfcapd 命令參數(shù)

-h:幫助
-w：將文件旋轉(zhuǎn)與接下來(lái)的n分鐘（由-t指定）間隔對(duì)齊，實(shí)測(cè)并沒(méi)看出他的用處，同步文件周期完全受到-t參數(shù)影響。單是用此參數(shù)，沒(méi)有效果。
-t：（重要）指定旋轉(zhuǎn)文件的時(shí)間間隔，以秒為單位。 默認(rèn)值為300s。決定了生成nfcapd文件的周期。建議選擇60s。
-b：監(jiān)聽(tīng)的目標(biāo)地址，可以使ip或hostname。
-4：僅監(jiān)聽(tīng)ipv4，可以和-b搭配使用。
-6：僅監(jiān)聽(tīng)ipv6，可以和-b搭配使用。
-J：加入多播組。
-p：（重要）監(jiān)聽(tīng)端口。
-l：（重要）設(shè)置輸出目錄。
-s：（有用）子層次結(jié)構(gòu)，文件內(nèi)部存儲(chǔ)接口，可以自動(dòng)生成文件夾。詳見(jiàn)man。
-n：（有用）當(dāng)有多個(gè)數(shù)據(jù)源時(shí)，可以指定數(shù)配置數(shù)據(jù)源參數(shù)，格式：Ident,IP,logdir。
-P：設(shè)置pid文件。
-R：將傳入的數(shù)據(jù)包重復(fù)發(fā)送到IP地址/端口。 最多8個(gè)中繼器。
-B：設(shè)置套接字緩沖區(qū)大小。
-D：（重要）后臺(tái)運(yùn)行
-T：（重要）需要記錄的參數(shù)，詳見(jiàn)man。
-V：查看版本。

nfdump 命令參數(shù)

-h：幫助
-V：查看版本
-a：通過(guò)五元組protocol, srcip, dstip, srcport and dstport進(jìn)行匯總。
-A：選擇性匯總，可以單獨(dú)匯總srcip或者protocol，也可以使用‘,’分割，匯總多個(gè)參數(shù)。格式-A proto,srcip,dstport，詳見(jiàn)man。
-b：和-a相似，區(qū)別只是將雙向流量匯總成一個(gè)值。
-B：和-A相似，區(qū)別只是將雙向流量匯總成一個(gè)值。
-r：讀取單個(gè)文件。
-w：將結(jié)果輸出到文件。默認(rèn)ASCII格式。
-n：查看前n位數(shù)據(jù)。
-c：從第一行讀取到指定行數(shù)。
-D：使用DNS將ip解析成主機(jī)名
-N：輸出純數(shù)字，比如tcp協(xié)議用6顯示。
-s：格式-s [/]，為生成統(tǒng)計(jì)信息，并根據(jù)排序。詳見(jiàn)man。
-q：不打印標(biāo)題行和底部狀態(tài)行。
-I：從-r指定的nfcapd文件內(nèi)讀取摘要信息。
-M：讀取多個(gè)文件夾，格式：/dir/dir1:dir2:dir3 Read the same files from '/dir/dir1' '/dir/dir2' and '/dir/dir3'。
-O：進(jìn)行排序的參數(shù)，比如bytes，tstart，flows等。
-R：讀取多個(gè)文件。格式：-R nfcapd.201912301833:nfcapd.201912301837。
-o：輸出文件格式，比如csv，json，long等，也可以自定義。

配置實(shí)例

nfcapd 配置實(shí)例

使用9995端口進(jìn)行監(jiān)聽(tīng)，并存儲(chǔ)到一個(gè)文件內(nèi)，識(shí)別v9的所有標(biāo)簽

nfcapd -z -w -D -T all -l /netflow/spool/allflows -I any -S 2 -P /var/run/nfcapd.allflows.pid

通過(guò)8887端口收集來(lái)自?xún)蓚€(gè)不同采集器的數(shù)據(jù)，并存儲(chǔ)在單獨(dú)的文件夾中，并將緩沖區(qū)大小設(shè)置為128000字節(jié)

nfcapd -z -w -D -T all -p 8877 -n upstream,192.168.1.1,/netflow/spool/upstream -n peer,192.168.2.1,/netflow/spool/peer -S 2  -B 128000

只接收單一采集器的數(shù)據(jù)，并且只識(shí)別擴(kuò)展3,4,5的數(shù)據(jù)，在存儲(chǔ)完一個(gè)文件后，執(zhí)行一個(gè)命令，同時(shí)設(shè)置流量自動(dòng)過(guò)期

nfcapd -w -D -T 3,4,5 -n upstream,192.168.1.1,/netflow/spool/upstream -p 23456 -B 128000 -x '/path/command -r %d/%f'  -P /var/run/nfcapd/nfcapd.pid -e

nfdump 配置實(shí)例

查詢(xún)前一百行數(shù)據(jù)，并匹配出tcp協(xié)議，源地址172.16.17.18或者目的地址172.16.17.19的流

nfdump  -r /and/dir/nfcapd.201107110845 -c 100 'proto tcp and ( src ip 172.16.17.18 or dst ip 172.16.17.19 )' 

查詢(xún)7月11日8：45到9：45，IP地址為192.168.1.2的記錄

nfdump -R /and/dir/nfcapd.201107110845:nfcapd.201107110945 'host 192.168.1.2' 

查詢(xún)多個(gè)數(shù)據(jù)源下，前20的數(shù)據(jù)流

nfdump  -M  /to/and/dir1:dir2 -R nfcapd.200407110845:nfcapd.200407110945 -s record -n 20 

查找18：33分的數(shù)據(jù)，匯聚源地址和目的地址，并以bytes進(jìn)行降序排序，且用特定格式輸出前二十個(gè)數(shù)據(jù)

nfdump -r nfcapd.201912301833 -o "fmt:%ts %td %pr %sap -> %dap %flg %tos %pkt %byt %fl" -A srcip,dstip -O bytes -n 20

效果

 以上就是nfdump、nfcapd的的詳細(xì)內(nèi)容了，看完之后是否有所收獲呢？如果想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊！

網(wǎng)頁(yè)標(biāo)題：nfdump、nfcapd的介紹和安裝
網(wǎng)頁(yè)路徑：http://muchs.cn/article2/pihdic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、微信公眾號(hào)、App開(kāi)發(fā)、品牌網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)