Назад | Перейти на главную страницу

Пало-Альто и nfdump: нет согласованных потоков

Я новичок в netflow, поэтому, возможно, у меня проблема с пониманием, но я не нашел ссылок на то, что происходит.

У меня есть брандмауэр Palo Alto PA500, и я пытаюсь извлечь статистику netflow в ящик Ubuntu с помощью nfdump.

Я установил nfdump и без проблем запустил nfcap:

sudo apt-get install nfdump
nfcapd -E -T all  -p 9001 -l /tmp/nfcaptest

Я настроил Пало-Альто, как описано в документации:

Device / Server Profiles / Netflow
    Add
        Name: nfserver
        Refresh:
            Minutes: 30
            Packets: 20
            Active Timeout (min): 5

            Name: nfserver
            IP: x.x.x.x
            Port: 9001

Я добавил сервер netflow ко всем интерфейсам и внес изменения.

Я вижу трафик на сервере с tcpdump.

12:51:33.848206 IP x.x.x.x.50705 > nfserver.9001: UDP, length 1369

nfcap постоянно выдает этот вывод:

Ident: 'none' Flows: 0, Packets: 0, Bytes: 0, Sequence Errors: 0, Bad Packets: 0
Total ignored packets: 0
File Block Header:
  NumBlocks     =           0
  Size          =           0
  id             =           2

Я вижу, что каждые 5 минут появляется файл nfcapd.xxx, но когда я пытаюсь их прочитать, я не вижу результатов.

#  nfdump -r nfcapd.current.7757
Date first seen          Event  XEvent Proto      Src IP Addr:Port          Dst IP Addr:Port     X-Src IP Addr:Port        X-Dst IP Addr:Port   In Byte Out Byte
No matched flows

Что мне не хватает? Проблема в Fw (не отправляет данные) или в сервере (не использует его)?

ОБНОВЛЕНИЕ: похоже, проблема связана с nfcapd. Я открыл захват tcpdump с помощью Whireshark и вижу, что все данные netflow получены правильно. По какой-то причине nfcapd игнорирует / не получает его.

Хотя я еще не нашел окончательного решения, есть проблема со связью. Я воспроизвел установку в другой среде, и она отлично работает.

Основная проблема в том, что nfcapd не получает трафик. Похоже, какой-то процесс в системе его перехватывает.