我正在尝试使用 CERT 工具来读取和解析 IPFIX 文件。文档说要从文件中获取“内部”模板,尽管与模板相关的每个调用似乎都需要模板 id (tid) 或我没有的其他信息。这完全是先有鸡还是先有蛋的问题,我似乎无法弄清楚。想法?
问问题
784 次
1 回答
2
要从数据记录中识别模板,您需要查找 Set ID。Set ID 将告诉您您正在查看的记录是模板还是数据集。任何大于 255 的都是数据集。IPFIX 中模板的 Set Id 为 2。(0 到 NetFlow v9,这两种格式看似相似)。请参阅https://www.rfc-editor.org/rfc/rfc5101#section-3.3.2 找到 Set Id 2 后,下一个字段应该是模板的 TemplateId。
此 wiki 页面显示了 IPFIX 数据包的示例。
于 2013-04-02T14:02:18.463 回答