我在 nfdump 生成的结果中的“首次看到日期”列中有问题。我在 ESXi 5.5 上启用了 netflow 以将 netflow 数据发送到 netflow 服务器。到目前为止一切正常,我可以使用以下命令使用 nfcapd 捕获 netflow 数据:nfcapd -D -z -u netflow -p 9996 -n Esxi,192.168.20.54,/data/nfdump -S2 -e 但问题是当我使用 nfdump 过滤流量时(例如使用 nfdump -R nfdump5/2016/ -c 10),我在所有条目中看到“第一次看到日期”列的“1970-01-01 03:30:00.000”!!!我应该怎么做才能获得正确的时间戳?任何帮助表示赞赏。
问问题
441 次
1 回答
0
NetFlow 标头具有整个数据报的时间戳;最有可能的是,他们的出口使用“第一次看到”字段作为抵消。nfdump 可能没有正确解释该字段;我建议看一下 Wireshark 中的捕获,我发现它在解码 NetFlow 时非常可靠。这还可以让您直接检查流记录,以查看时间戳是否真的出现那么小,或者只是被误解了。请记住,如果您正在捕获 NetFlow v9 或 IPFIX,您需要确保您的捕获包含模板数据报。
如果 ESXi 的 NetFlow 未正确导出时间戳,您还可以使用运行软件流导出器(有许多免费的可用 - 只是谷歌“自由流导出器”)的小型虚拟机进行监控,其界面混杂模式。
于 2016-07-05T14:04:56.330 回答