Анализ netflow файлов.

Евгений Guest	#1 Это нравится:0 Да/0 Нет 10.07.2013 16:49:24 Здравствуйте! Имеются файлики в которых лежит netflow c циски. Каким софтом можно их обработать(например собрать информацию по dstip) ? Интересует имеено софт под windows.

Анатолий * Guest	#2 Это нравится:0 Да/0 Нет 10.07.2013 17:03:44 Можеш пользоватся PRTG http://www.paessler.com/netflow_analyzer я им пользуюсь

Анатолий * Guest	#3 Это нравится:0 Да/0 Нет 10.07.2013 17:06:09 єто именно под windows и для 10-ти сенсоров для снятия данніх оно бесплатно

Евгений Guest	#4 Это нравится:0 Да/0 Нет 10.07.2013 17:11:16 Сегодня поставил ее. Но пока что не разобрался как подсунуть ей файлы (

Анатолий * Guest	#5 Это нравится:0 Да/0 Нет 10.07.2013 17:18:15 Посмортри демку http://demo.netflowanalyzer.com/netflow/jspui/dashBoard.do?dId=1

Евгений Guest	#6 Это нравится:0 Да/0 Нет 11.07.2013 07:39:37 Не открывается ссылка. Если есть возможность ,не могли бы описать как примерно на этой платформе проанализировать уже существующие файлы. Изменено: Евгений - 11.07.2013 08:01:13

Анатолий *

Guest

Это нравится:0 Да/0 Нет

11.07.2013 09:58:35

как существующие файлы пороанализировать я не знаю так как ето не делал
а делал так сказать с нуля примерно как написано тут

http://nettips.ru/article/NetFlow_for_Windows_cisco.html

попробуй тогда ету ссылку
http://demo.netflowanalyzer.com/netflow/jspui/NetworkSnapShot.jsp

есть видео http://www.youtube.com/watch?v=nmYfh94srwM

есть еще http://www.plixer.com/Scrutinizer-Netflow-Sflow/windows-version.html тоже под виндовс

SOLDIER

Guest

Это нравится:0 Да/0 Нет

12.07.2013 21:32:22

В Винде никого не парсил НетФлоу.

В Линукс (или Фри, не суть важно) все просто.
1. В /etc/flow-tools/cfg/filter.cfg записывается нечто вот такого вида:
filter-primitive traf
type ip-address
permit 192.168.0.1
default deny
filter-definition dst
match dst-ip-addr traf

filter-definition src
match src-ip-addr traf

filter-definition both
match src-ip-addr traf
or
match dst-ip-addr traf
2. И потом вот такой командой вытаскивается статистика по указанному выше ip (допустим, за 7 апреля 2013 года и оба вида трафика - входящий и исходящий)
flow-cat /var/flows/2013/2013-04/ft-v05.2013-04-07* | flow-nfilter -Fboth | flow-export -f2 -mUNIX_SECS,DOCTETS,FIRST,LAST,SRCADDR,DSTADDR,SRCPORT,DSTPORT,PROT > имя_файла
Ну и потом скрптецом unixtime в MSK переводится.

Просто, правда?

Евгений

Guest

Это нравится:0 Да/0 Нет

15.07.2013 15:36:25

Да, все просто. Спасибо и Вам за помощь )
Вот почти все как надо) вот только с временем конечно неудобства. В написании скриптов не силен.
Как нибудь другим способом можно перевод времени сделать?

SOLDIER

Guest

#10

Это нравится:0 Да/0 Нет

15.07.2013 16:24:23

Предположим, мы имеем в файле набор строк, который определяется указанными выше параметрами. Первый из них (UNIX_SECS) есть время в формате UNIXTIME (количество секунд с 1 января 1971 года). Предположим, что это переменная $t. Вот строка в баше, которая переводит время в московское:
TM=`date -d@$t`
Пример:
date -d@1363637903
Tue Mar 19 00:18:23 MSK 2013

Евгений Guest	#11 Это нравится:0 Да/0 Нет 16.09.2013 12:12:07 а без использования файла с конфигом примитивов можно задать ip - адрес в команде?

SOLDIER Guest	#12 Это нравится:0 Да/0 Нет 18.09.2013 08:02:39 man flow-nfilter

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?