Детально, чтобы другие вопросы по netflow самостоятельно решали
Курим man flow-export

-f format
2 ASCII CSV
-m mask_fields
UNIX_SECS       0x0000000000000001LL
SRCADDR         0x0000000000001000LL
DSTADDR         0x0000000000002000LL
DOCTETS         0x0000000000000040LL
====            0x0000000000003041LL
Итого
flow-export -f2 -m 0x3041 < flow-file

Имеем такой отчет
#:unix_secs,doctets,srcaddr,dstaddr
1219175703,544,88.254.197.4,172.27.1.48
1219175703,2225,212.72.49.143,172.27.1.49
1219175703,120,74.125.19.99,172.27.20.95
1219175703,59,172.27.1.3,212.44.130.6
.......

А на счет day и time - можно преобразовать unix time в day time я делал на перле, если надо могу поискать скрипт.
ну а преобразовать онлайн unix time в day time можно тут.
http://www.onlineconversion.com/unix_time.htm
Только учтите, что надо делать поправку на временную зону.

Кстати нашел другой способ и конвертировать не пришлось время
flow-cat flow_file |flow-print -f5 > /tmp/report
дальше у меня файлик обрабатывает перловый скрипт.

gogo Все равно большое спасибо.

Как-то я ещё выводил со временем - сейчас вспоминать неохота. А пример свежий - буквально полчаса назад формировал детализацию для одной фирмочки.

в кокой промежуток твой netflow сервер отправляет пакеты ?
я пробовал на Микротике, там можно настроить чтобы пакеты отправлялись:
1. Через заданное время
2. После того как собирется например 2МБ инфы
и т.д.. не помню что еще было ...
а потом у меня был перловский скрипт, который слушал порт, брал пакеты, там филтры и еще что-то, и прям в базу дампал ...

Ваш вопрос появился потому, что Вы не до конца понимаете как и когда экспортируются потоки.
Итак допустим Вы начали качать по ftp 500Мб в 17:15, закончили в 17:30, в этом случае в 17:30 экспортнется одна запись об этих 500Мб. Она экспортнется потому, что tcp сессия закроется (будет получен tcp пакет с флагом FIN). Таким образом, пока идет закачка записи на вашем коллекторе потоков не появится.
Но, есть одно но.... Если поток старый (по умолчанию для tcp на cisco поток устаревает через 30 минут) то он будет экспортирован. Если, допустим закачка началась в 17:15 и закончилась в 18:20 то в 17:45 экспортнется поток в котором будет запись о скачанных, допустим 230Мб, в 18:15 еще один поток, допустим 240Мбайт и в 18:20 после закрытия tcp сессии поток об оставшихся 30Мбайтах (всего скачано 500Мбайт).
Теперь, исходя из знаний как потоки экспортируются и как сбрасываются в архив на коллекторе  потоки можно сконфигурировать cisco на более адекватный экспорт.
Допустим в архив  на коллекторе файлы складываются раз в 5 минут, тогда надо сконфигурить cisco на то, чтобы он считал устаревшим поток живущий более 5 минут (как конфигурить - не помню, проверить негде, но так можно делать).
Что касается протоколов не ориентированных на сессию типа UDP, ICMP, IPSec то потоки для  них сбрасываются либо по таймауту, как tcp, либо после некоторого времени неактивности.
Таймауты сброса и время неактивности для этих протоколов тоже конфигурятся.

flow-print не дает времени когда поток был экспортирован, поэтому я его и не использовал в примере.
Вот это
UNIX_SECS 0x0000000000000001LL
Ничто иное, как время когда поток был экспортирован.

Можно подробнее про Микротик?
Что такое?

1. http://www.pcrouter.ru/
2. http://www.opennet.ru/prog/info/1622.shtml
3. http://blogs.cetki.com/ros/
Короче - это операционка на базе Линух для создания софтового роутера.

Не соглащусь с тобой.
Скажем если провайдер считает траффик с помощю нетфлоу, тогда по твоему, если у клиента на счети осталось токо 1МБ, то этим мегабайтом он может качануть еще 500МБ ??

По этому говорю, смотря как сконфигурирован сервер, котоый отправляет пакеты нетфлоу.



Как уже сказал SOLDIER, софтверный роутер на базе Линукс.
подробности тута: http://www.mikrotik.com/

Ну да, а можно ведь и вот так
syslog# date -j -r 1219254114
Wed Aug 20 21:41:54 MSD 2008