ID de campo incorreto no netflow v9
https://stackoverflow.com//questions/12668864
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Ao analisar o Netflow V9, consigo obter a maioria dos IDs dos campos corretamente junto com seus valores, conforme definido em
http://www.iana.org/assignments/ipfix/ipfix.xml
mas estou recebendo 40.000, 40.001, 40.002, ...em vez de 224, 225, 226, ...Para os arquivos NAT, no entanto, os valores para cada campos que eu recuperei estão corretos.
Tenho certeza de que o ID e o valor de todos os campos foram obtidos corretamente.Não sei qual é o verdadeiro problema.Tentei converter host em byte de rede e vice-versa usando
field_type = socket.ntohs(struct.unpack('H', template_data[a:b])[0])
P.S.Usei roteador Cisco para netflow v9.
Solução
A Cisco não usa IPFIX, mas NetFlow v9.Embora o IPFIX seja derivado da especificação NetFlow v9 da Cisco, existem algumas diferenças.Uma delas é que o IPFIX permite namespaces por fornecedor nos números do tipo campo usando o PrivateEnterpriseNumber.O NetFlow v9 não possui esse recurso, portanto, os fornecedores precisam escolher arbitrariamente um intervalo de números para relatar seus campos personalizados e esperar que ninguém mais escolha o mesmo intervalo.Nesse caso, suponho que você esteja obtendo seus tíquetes NetFlow do Cisco ASA, que de fato usa vários campos na faixa de 40.000 a 40.005.
Existe um documento chamado 'Nota de implementação do Cisco ASA série 5500 para coletores NetFlow, 8.3' que descreve esses campos.
