Я новичок в netflow, поэтому, возможно, у меня проблема с пониманием, но я не нашел ссылок на то, что происходит.
У меня есть брандмауэр Palo Alto PA500, и я пытаюсь извлечь статистику netflow в ящик Ubuntu с помощью nfdump.
Я установил nfdump и без проблем запустил nfcap:
sudo apt-get install nfdump
nfcapd -E -T all -p 9001 -l /tmp/nfcaptest
Я настроил Пало-Альто, как описано в документации:
Device / Server Profiles / Netflow
Add
Name: nfserver
Refresh:
Minutes: 30
Packets: 20
Active Timeout (min): 5
Name: nfserver
IP: x.x.x.x
Port: 9001
Я добавил сервер netflow ко всем интерфейсам и внес изменения.
Я вижу трафик на сервере с tcpdump.
12:51:33.848206 IP x.x.x.x.50705 > nfserver.9001: UDP, length 1369
nfcap постоянно выдает этот вывод:
Ident: 'none' Flows: 0, Packets: 0, Bytes: 0, Sequence Errors: 0, Bad Packets: 0
Total ignored packets: 0
File Block Header:
NumBlocks = 0
Size = 0
id = 2
Я вижу, что каждые 5 минут появляется файл nfcapd.xxx, но когда я пытаюсь их прочитать, я не вижу результатов.
# nfdump -r nfcapd.current.7757
Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte
No matched flows
Что мне не хватает? Проблема в Fw (не отправляет данные) или в сервере (не использует его)?
ОБНОВЛЕНИЕ: похоже, проблема связана с nfcapd. Я открыл захват tcpdump с помощью Whireshark и вижу, что все данные netflow получены правильно. По какой-то причине nfcapd игнорирует / не получает его.
Хотя я еще не нашел окончательного решения, есть проблема со связью. Я воспроизвел установку в другой среде, и она отлично работает.
Основная проблема в том, что nfcapd не получает трафик. Похоже, какой-то процесс в системе его перехватывает.