我对netflow还不熟悉,所以也许我的问题在于理解,但是我还没有找到关于正在发生的事情的参考资料。

我有一个palo alto pa500防火墙,我正在尝试用nfdump将netflow统计信息提取到一个ubuntu框中。

我已安装nfdump并运行nfcap,没有问题:

sudo apt-get install nfdump
nfcapd -E -T all  -p 9001 -l /tmp/nfcaptest

我已经按照文档中的说明配置了Palo Alto:

Device / Server Profiles / Netflow
    Add
        Name: nfserver
        Refresh:
            Minutes: 30
            Packets: 20
            Active Timeout (min): 5

            Name: nfserver
            IP: x.x.x.x
            Port: 9001

我已经将netflow服务器添加到所有接口并提交了更改。

我看到tcpdump服务器上的流量。

12:51:33.848206 IP x.x.x.x.50705 > nfserver.9001: UDP, length 1369

NFCAP不断地给出这个输出:

Ident: 'none' Flows: 0, Packets: 0, Bytes: 0, Sequence Errors: 0, Bad Packets: 0
Total ignored packets: 0
File Block Header:
  NumBlocks     =           0
  Size          =           0
  id             =           2

我看到每5分钟有一个nfcapd.xxx文件,但当我试图阅读它们时,我看不到任何结果。

#  nfdump -r nfcapd.current.7757
Date first seen          Event  XEvent Proto      Src IP Addr:Port          Dst IP Addr:Port     X-Src IP Addr:Port        X-Dst IP Addr:Port   In Byte Out Byte
No matched flows

我错过了什么?FW(不发送数据)或服务器(不使用数据)中有问题吗?

更新: 看来问题出在NFCAPD上。我用whireshark打开了tcpdump捕获,可以看到所有netflow数据都被正确接收。由于某种原因,nfcapd忽略/不接收它。

最佳回复

虽然我还没有找到最终的解决方案,但还是有一个通信问题。我已经在不同的环境中复制了这个装置,它工作得非常完美。

主要问题是nfcapd没有接收到流量。看起来系统中的某个进程正在拦截它。