Netflow

Palo Alto 和 nfdump:沒有匹配的流

  • February 26, 2020

我是 netflow 的新手,所以也許我的問題在於理解,但我還沒有找到關於正在發生的事情的參考資料。

我有一個 Palo Alto PA500 防火牆,我正在嘗試使用 nfdump 將 netflow 統計資訊提取到 Ubuntu 框中。

我已經安裝了 nfdump 並執行 nfcap 沒有問題:

sudo apt-get install nfdump
nfcapd -E -T all  -p 9001 -l /tmp/nfcaptest

我已經按照文件中的描述配置了帕洛阿爾托:

Device / Server Profiles / Netflow
   Add
       Name: nfserver
       Refresh:
           Minutes: 30
           Packets: 20
           Active Timeout (min): 5

           Name: nfserver
           IP: x.x.x.x
           Port: 9001

我已將 netflow 伺服器添加到所有介面並送出更改。

我正在使用 tcpdump 看到伺服器中的流量。

12:51:33.848206 IP x.x.x.x.50705 > nfserver.9001: UDP, length 1369

nfcap 不斷地給出這個輸出:

Ident: 'none' Flows: 0, Packets: 0, Bytes: 0, Sequence Errors: 0, Bad Packets: 0
Total ignored packets: 0
File Block Header:
 NumBlocks     =           0
 Size          =           0
 id             =           2

我看到每 5 分鐘有一個 nfcapd.xxx 文件,但是當我嘗試閱讀它們時,我看不到任何結果。

#  nfdump -r nfcapd.current.7757
Date first seen          Event  XEvent Proto      Src IP Addr:Port          Dst IP Addr:Port     X-Src IP Addr:Port        X-Dst IP Addr:Port   In Byte Out Byte
No matched flows

我錯過了什麼?問題出在 Fw(不發送數據)還是在伺服器(不使用它)?

更新:看起來問題出在 nfcapd 上。我已經用 Whireshark 打開了 tcpdump 擷取,我可以看到所有的 netflow 數據都被正確接收。由於某種原因,nfcapd 忽略/不接收它。

雖然我還沒有找到最終的解決方案,但存在通信問題。我已經在不同的環境中複製了安裝,並且效果很好。

主要問題是 nfcapd 沒有接收流量。看起來系統中的某個程序正在攔截它。

引用自:https://serverfault.com/questions/987480