https://www.opennet.ru/openforum/vsluhforumID1/73294.html Доброго дня !<br><br>Имеется 2 маршрутизатора Cisco генерирующие логи netflow 5 версии.<br>При этом ip-трафик пользователя, проходит через оба маршрутизатора.<br>Если собирать трафик командой <br>/usr/local/netflow/bin/flow-capture -w /usr/local/netflow/logs -n 95 -N 3 -S 60 -V 5 -z 9 0/0/9992<br>то трафик этого пользователя запишется в логи 2 раза ?<br>Каким образом можно, в этом случае, вычленить трафик пользователя из этих логов, прошедший только через один маршрутизатор ?<br><br>Если лог направить на flow-print с опцией -f7 (1 line, 132 column +router_id), то выдается сообщение об ошибке :<br>/flow-cat ./ft-v05.2006-10-01.000000+0400 &#124; /flow-print -f9<br>flow-print: Flow record missing required field for format.<br><br>а в случае с "/flow-cat ./ft-v05.2006-10-01.000000+0400 &#124; /flow-print -f5"<br>нет идентификатора маршрутизатора.<br><br>Можно ли решить проблему не прибегая к использованию 2-х коллекторов flow-capture ? https://www.opennet.ru/openforum/vsluhforumID1/73294.html#4 Sat, 24 May 2008 23:29:01 GMT &gt;<br>&gt;&gt;В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе <br>&gt;&gt;можешь выложить где-нибудь один файл для примера, покопаться? <br>&gt;<br>&gt;У меня скрипты на flow-print настроены. <br>&gt;Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные <br>&gt;о маршрутизаторе, с которого пришел этот флоу ? <br><br>К примеру экспорт в MySQL:<br><br>/usr/local/bin/flow-cat work/* &#124; flow-export -f3 -mUNIX_SECS,DOCTETS,SRCADDR,DSTADDR,SRCPORT,DSTPORT -u "root::127.0.0.1::netflow:raw"<br>flow-export: Exported 15360 records<br><br>Только нужно добавить поле с данными о источнике.<br><br>Удачи! )<br><br> https://www.opennet.ru/openforum/vsluhforumID1/73294.html#3 Wed, 04 Apr 2007 10:28:33 GMT &gt;<br>&gt;&gt;В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе <br>&gt;&gt;можешь выложить где-нибудь один файл для примера, покопаться? <br>&gt;<br>&gt;У меня скрипты на flow-print настроены. <br>&gt;Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные <br>&gt;о маршрутизаторе, с которого пришел этот флоу ? <br><br><br>Попробуй flow-export, выбери нужные поля... https://www.opennet.ru/openforum/vsluhforumID1/73294.html#2 Wed, 04 Apr 2007 10:24:35 GMT <br>&gt;В сохраненных флоу обязаны храниться данные о генерирующем маршрутизаторе <br>&gt;можешь выложить где-нибудь один файл для примера, покопаться? <br><br>У меня скрипты на flow-print настроены.<br>Есть какие-то стандартные средства, которыми можно смотреть помимо данных о трафике, данные о маршрутизаторе, с которого пришел этот флоу ?<br> https://www.opennet.ru/openforum/vsluhforumID1/73294.html#1 Tue, 03 Apr 2007 17:19:18 GMT &gt;Доброго дня ! <br>&gt;<br>&gt;Имеется 2 маршрутизатора Cisco генерирующие логи netflow 5 версии. <br>&gt;При этом ip-трафик пользователя, проходит через оба маршрутизатора. <br>&gt;Если собирать трафик командой <br>&gt;/usr/local/netflow/bin/flow-capture -w /usr/local/netflow/logs -n 95 -N 3 -S 60 -V 5 -z <br>&gt;9 0/0/9992 <br>&gt;то трафик этого пользователя запишется в логи 2 раза ? <br>&gt;Каким образом можно, в этом случае, вычленить трафик пользователя из этих логов, <br>&gt;прошедший только через один маршрутизатор ? <br>&gt;<br>&gt;Если лог направить на flow-print с опцией -f7 (1 line, 132 column <br>&gt;+router_id), то выдается сообщение об ошибке : <br>&gt;/flow-cat ./ft-v05.2006-10-01.000000+0400 &#124; /flow-print -f9 <br>&gt;flow-print: Flow record missing required field for format. <br>&gt;<br>&gt;а в случае с "/flow-cat ./ft-v05.2006-10-01.000000+0400 &#124; /flow-print -f5" <br>&gt;нет идентификатора маршрутизатора. <br>&gt;<br>&gt;Можно ли решить проблему не прибегая к использованию 2-х коллекторов flow-capture ? <br>&gt;<br><br>В сохраненных флоу обязаны храниться данные о генерирующем маршру