Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
NetFlow No funciona
#1
Buen día Foro,

Estoy probando la funcionalidad de netflow. Les comento que tengo funcionando nfcapd, lo estoy levantando de la siguiente manera:

nfcapd -w -D -p 9996 -u www -g www -B 200000 -S 1 -P /usr/local/var/nfsen/run/p9996.pid -z -I laboratorio -l /var/spool/pandora/data_in/netflow

En el directorio de trabajo, tengo informacion la cual puedo consultar con el siguiente comando y el cual si me regresa informacion:

nfdump -R /var/spool/pandora/data_in/netflow/

El directorio de trabajo pesa 6.5 M (Tengo 2 dias recopilando informacion).

El problema es que al intentar consultar informacion, pandora no me manda nada de informacion.

No estoy aplicando ningun fliltro con la intencion de que me traiga toda la informacion, pero nada, de igual manera filtro por puerto (diferentes puertos como 80,443) pero no hay ninguna diferencia. Solo me muestra una grafica en ceros.

El ruteador remoto es un EdgeRouter de Ubiquiti configurado con la version 9 de netflow.

Me pregunto si hay alguna forma de debugear esto y validar que esta sacando la informacion.
 
De antemano les agradezco.

 Reply
#2
Buenos días Vgarza,

Aunque su router disponga de netflow ¿Podía "instalar" una sonda en esa máquina y probar si así se lo muestra en Pandora?

Por ejemplo: /usr/sbin/fprobe -ieth0 -fip 192.168.70.185:9995

Con ésto capturamos el tráfico que pasa por esa interfaz y lo almacenamos en /var/spool/pandora/data_in/netflow

Un saludo,

Roberto.
 Reply
#3
Buen día Roberto,

Gracias por responder.

Te comento que puse la sonda pero no veo diferencia al momento de graficar. al hacer una consulta a los datos, si traigo informacion, este es un extracto:

[email protected]:/var/spool/pandora/data_in/netflow # nfdump -R ./ "src ip 162.xx.xx.x or dst ip 162.xx.xx.x"
...
...
...
2016-12-30 11:20:09.864    3.030 UDP    64.233.171.189:443  ->    162.xx.xx.x:63213        3      225    1
2016-12-30 11:20:10.894    0.000 UDP      23.253.107.36:5060  ->    162.xx.xx.x:5061        1      589    1
2016-12-30 11:20:12.628    0.000 UDP            8.8.8.8:53    ->    162.xx.xx.x:10034        1      98    1
2016-12-30 11:20:12.628    0.000 UDP    64.233.171.189:443  ->    162.xx.xx.x:59410        2      133    1
Summary: total flows: 250481, total bytes: 17057671361, total packets: 14043744, avg bps: 837396, avg pps: 86, avg bpp: 1214
Time window: 2016-12-28 13:50:00 - 2016-12-30 11:20:12
Total flows processed: 631751, Blocks skipped: 0, Bytes read: 36881652
Sys: 3.454s flows/second: 182866.2  Wall: 9.794s flows/second: 64500.9
root[email protected]:/var/spool/pandora/data_in/netflow #

Por otro lado, en la grafica no muestra nada cuando consulto con los valores por defecto o con algun puerto, muestro imagen:

[Image: Capture.jpg]

Comento que pandora lo estoy corriendo sobre un FreeBSD11. Datos de Pandora: Pandora FMS v6.0SP2 - Build PC160408

Cualquier retroalimentacion les agradeceria.
 Reply


Users browsing this thread: 1 Guest(s)


(c) 2006-2018 Artica Soluciones Tecnológicas. Contents of this wiki are under Create Common Attribution v3 licence. | pandorafms.com | pandorafms.org

Theme © MyBB Themes