-
NetFlow No funciona
Buen día Foro,
Estoy probando la funcionalidad de netflow. Les comento que tengo funcionando nfcapd, lo estoy levantando de la siguiente manera:
nfcapd -w -D -p 9996 -u www -g www -B 200000 -S 1 -P /usr/local/var/nfsen/run/p9996.pid -z -I laboratorio -l /var/spool/pandora/data_in/netflow
En el directorio de trabajo, tengo informacion la cual puedo consultar con el siguiente comando y el cual si me regresa informacion:
nfdump -R /var/spool/pandora/data_in/netflow/
El directorio de trabajo pesa 6.5 M (Tengo 2 dias recopilando informacion).
El problema es que al intentar consultar informacion, pandora no me manda nada de informacion.
No estoy aplicando ningun fliltro con la intencion de que me traiga toda la informacion, pero nada, de igual manera filtro por puerto (diferentes puertos como 80,443) pero no hay ninguna diferencia. Solo me muestra una grafica en ceros.
El ruteador remoto es un EdgeRouter de Ubiquiti configurado con la version 9 de netflow.
Me pregunto si hay alguna forma de debugear esto y validar que esta sacando la informacion.
De antemano les agradezco. -
2 Replies
-
Buenos días Vgarza,
Aunque su router disponga de netflow ¿Podía “instalar” una sonda en esa máquina y probar si así se lo muestra en Pandora?
Por ejemplo: /usr/sbin/fprobe -ieth0 -fip 192.168.70.185:9995
Con ésto capturamos el tráfico que pasa por esa interfaz y lo almacenamos en /var/spool/pandora/data_in/netflow
Un saludo,
Roberto.
-
Buen día Roberto,
Gracias por responder.
Te comento que puse la sonda pero no veo diferencia al momento de graficar. al hacer una consulta a los datos, si traigo informacion, este es un extracto:
root@pandora:/var/spool/pandora/data_in/netflow # nfdump -R ./ “src ip 162.xx.xx.x or dst ip 162.xx.xx.x”
…
…
…
2016-12-30 11:20:09.864 3.030 UDP 64.233.171.189:443 -> 162.xx.xx.x:63213 3 225 1
2016-12-30 11:20:10.894 0.000 UDP 23.253.107.36:5060 -> 162.xx.xx.x:5061 1 589 1
2016-12-30 11:20:12.628 0.000 UDP 8.8.8.8:53 -> 162.xx.xx.x:10034 1 98 1
2016-12-30 11:20:12.628 0.000 UDP 64.233.171.189:443 -> 162.xx.xx.x:59410 2 133 1
Summary: total flows: 250481, total bytes: 17057671361, total packets: 14043744, avg bps: 837396, avg pps: 86, avg bpp: 1214
Time window: 2016-12-28 13:50:00 – 2016-12-30 11:20:12
Total flows processed: 631751, Blocks skipped: 0, Bytes read: 36881652
Sys: 3.454s flows/second: 182866.2 Wall: 9.794s flows/second: 64500.9
root@pandora:/var/spool/pandora/data_in/netflow #Por otro lado, en la grafica no muestra nada cuando consulto con los valores por defecto o con algun puerto, muestro imagen:
Comento que pandora lo estoy corriendo sobre un FreeBSD11. Datos de Pandora: Pandora FMS v6.0SP2 – Build PC160408
Cualquier retroalimentacion les agradeceria.
