URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 858
[ Назад ]

Исходное сообщение
"Анализ файлов с netflow"
Отправлено hijke , 11-Июл-13 10:20

Здравствуйте!
Имеются файлы с собранным netflow с циски.
Не подскажете какими средствами можно обработать эти файлы чтобы например выдернуть из них информацию о том кто и когда обращался на определенный адрес?
Ничего более собирать не требуется , нужно просто обработать существующие файлы.
Интересуют средства под windows.

Содержание

Анализ файлов с netflow,merko, 11:30 , 11-Июл-13
- Анализ файлов с netflow,hijke, 11:36 , 11-Июл-13
Анализ файлов с netflow,hizel, 17:14 , 11-Июл-13
- Анализ файлов с netflow,hijke, 13:58 , 12-Июл-13
  - Анализ файлов с netflow,hizel, 14:08 , 12-Июл-13
    - Анализ файлов с netflow,hijke, 14:31 , 12-Июл-13
      - Анализ файлов с netflow,hizel, 14:53 , 12-Июл-13
        
        Анализ файлов с netflow,hijke, 15:22 , 12-Июл-13
        
        Анализ файлов с netflow,hizel, 15:28 , 12-Июл-13
        
        Анализ файлов с netflow,hijke, 15:59 , 12-Июл-13
        
        Анализ файлов с netflow,hijke, 20:25 , 12-Июл-13
        
        Анализ файлов с netflow,hizel, 08:37 , 13-Июл-13
        Анализ файлов с netflow,hizel, 12:26 , 13-Июл-13

Сообщения в этом обсуждении

"Анализ файлов с netflow"
Отправлено merko , 11-Июл-13 11:30

> Здравствуйте!
> Имеются файлы с собранным netflow с циски.
> Не подскажете какими средствами можно обработать эти файлы чтобы например выдернуть из
> них информацию о том кто и когда обращался на определенный адрес?
> Ничего более собирать не требуется , нужно просто обработать существующие файлы.
> Интересуют средства под windows.
ManageEngine NetFlow Analyzer

"Анализ файлов с netflow"
Отправлено hijke , 11-Июл-13 11:36

>> Здравствуйте!
>> Имеются файлы с собранным netflow с циски.
>> Не подскажете какими средствами можно обработать эти файлы чтобы например выдернуть из
>> них информацию о том кто и когда обращался на определенный адрес?
>> Ничего более собирать не требуется , нужно просто обработать существующие файлы.
>> Интересуют средства под windows.
> ManageEngine NetFlow Analyzer
А не подскажите как файлики подсунуть ему?

"Анализ файлов с netflow"
Отправлено hizel , 11-Июл-13 17:14

> Имеются файлы с собранным netflow с циски.
Кем собранные?

"Анализ файлов с netflow"
Отправлено hijke , 12-Июл-13 13:58

Собранные flow-tools.

"Анализ файлов с netflow"
Отправлено hizel , 12-Июл-13 14:08

В cygwin собрать flow-tools

"Анализ файлов с netflow"
Отправлено hijke , 12-Июл-13 14:31

> В cygwin собрать flow-tools
Не сильно удобно было ,поэтому просто пришлось второй осью поставить федору.
Тут уже немного в другом загвоздка. Разными вариациями софтин из этого набора пробовал нужные данные достать , но пока что безуспешно.
Требуется найти один айпишник который будет фигурировать в качестве scradr и dstadr.
Пробовал как:
flow-cat /var/tmp/Flow_tools/ft-v05.2013-06-28.000000+0600 | flow-filter -Dxx.xx.xx.xx | flow-print
но видимо не правильно команду использовал.
По разному пробовал , но не получается, не подскажете как можно сделать?

"Анализ файлов с netflow"
Отправлено hizel , 12-Июл-13 14:53

cat > ./filter <<DELIM
filter-primitive olo-address
type ip-address-mask
permit xx.xx.xx.xx 255.255.255.255

filter-definition olo
match ip-destination-address olo-address
or
match ip-source-address olo-address
DELIM

flow-cat /var/tmp/Flow_tools/ft-v05.2013-06-28.000000+0600 | flow-nfilter -ffilter -Folo | flow-print

"Анализ файлов с netflow"
Отправлено hijke , 12-Июл-13 15:22

>[оверквотинг удален]
>  type ip-address-mask
>  permit xx.xx.xx.xx 255.255.255.255
> filter-definition olo
>  match ip-destination-address olo-address
>  or
>  match ip-source-address olo-address
> DELIM
> flow-cat /var/tmp/Flow_tools/ft-v05.2013-06-28.000000+0600 | flow-nfilter -ffilter
> -Folo | flow-print
>
Извиняюсь, не силен в линуксах.
"filter" это я так понимаю просто файл-фильтр?
В каком формате он должен быть?

"Анализ файлов с netflow"
Отправлено hizel , 12-Июл-13 15:28

> В каком формате он должен быть?
man flow-nfilter

"Анализ файлов с netflow"
Отправлено hijke , 12-Июл-13 15:59

>> В каком формате он должен быть?
> man flow-nfilter
=))) Спасибо )

"Анализ файлов с netflow"
Отправлено hijke , 12-Июл-13 20:25

А сортировать тоже nfilter'ом ?
И еще вопрос не большой ,как можно выводить это вместе с временем ?

"Анализ файлов с netflow"
Отправлено hizel , 13-Июл-13 08:37

Кто вас так верстать знаки препинания научил?
>И еще вопрос не большой ,как можно выводить это вместе с временем ?
man flow-print

"Анализ файлов с netflow"
Отправлено hizel , 13-Июл-13 12:26

> А сортировать тоже nfilter'ом ?
Сортировка не имеет смысла. Впрочем вангую: man flow-stat