Netflow
Palo Alto 和 nfdump:沒有匹配的流
我是 netflow 的新手,所以也許我的問題在於理解,但我還沒有找到關於正在發生的事情的參考資料。
我有一個 Palo Alto PA500 防火牆,我正在嘗試使用 nfdump 將 netflow 統計資訊提取到 Ubuntu 框中。
我已經安裝了 nfdump 並執行 nfcap 沒有問題:
sudo apt-get install nfdump nfcapd -E -T all -p 9001 -l /tmp/nfcaptest
我已經按照文件中的描述配置了帕洛阿爾托:
Device / Server Profiles / Netflow Add Name: nfserver Refresh: Minutes: 30 Packets: 20 Active Timeout (min): 5 Name: nfserver IP: x.x.x.x Port: 9001
我已將 netflow 伺服器添加到所有介面並送出更改。
我正在使用 tcpdump 看到伺服器中的流量。
12:51:33.848206 IP x.x.x.x.50705 > nfserver.9001: UDP, length 1369
nfcap 不斷地給出這個輸出:
Ident: 'none' Flows: 0, Packets: 0, Bytes: 0, Sequence Errors: 0, Bad Packets: 0 Total ignored packets: 0 File Block Header: NumBlocks = 0 Size = 0 id = 2
我看到每 5 分鐘有一個 nfcapd.xxx 文件,但是當我嘗試閱讀它們時,我看不到任何結果。
# nfdump -r nfcapd.current.7757 Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte No matched flows
我錯過了什麼?問題出在 Fw(不發送數據)還是在伺服器(不使用它)?
更新:看起來問題出在 nfcapd 上。我已經用 Whireshark 打開了 tcpdump 擷取,我可以看到所有的 netflow 數據都被正確接收。由於某種原因,nfcapd 忽略/不接收它。
雖然我還沒有找到最終的解決方案,但存在通信問題。我已經在不同的環境中複製了安裝,並且效果很好。
主要問題是 nfcapd 沒有接收流量。看起來系統中的某個程序正在攔截它。