0

我想将 nfcapd(产生 netflow 的守护进程)生成的文件拆分为多个文件,因为最初由 nfcapd 生成的文件可能太大。

我的问题是我不知道生成的文件的结构是什么,我想有一个标题,然后是一个网络流列表,但我不知道哪个字节结束标题以及哪个字节开始和结束netflow,如果有页脚。

我试图通过阅读 github 上的源 C 代码来理解它,但由于我并不是 C 语言中的野兽,所以我很难理解。

起初,我认为 nfdump 可以通过在初始文件中一次读取多个 netflows 来解决我的问题,但是没有内置的方法可以做到这一点,您可以使用 nfdump 读取前 N 个 netflows 但您不能从 1 到 N,然后从 N 到 N+N,你只能从 1 读到 N。

如果有人知道将这些二进制文件拆分成多个文件供 nfdump 使用的方法,我真的很想知道。

4

1 回答 1

0

您可以使用 -t 参数将时间间隔设置为小于 5 分钟(这是默认值)。这是从预先创建较小文件的方法。例如:nfcapd -w 1 -l -p -t 60

请注意 -w 应相应设置:如果 -t 为 60(秒),则 -w 应为 1(分钟)

这里还有更多:https ://manpages.debian.org/testing/nfdump/nfcapd.1.en.html

于 2019-04-07T15:52:58.443 回答