Bonjour,
Je cherche à aggréger des flux netflow / IPFIX de la manière dont le
font les paramètres "-a" et "-B" de nfdump, c'est à dire "Aggregate flow
records as bidirectional flows" (je ne sais pas comment traduire en
français pour que ce soit aussi parlant) :
- "-a" : Aggregate flow records. The default aggregation is done at
connection level by taking the 5-tuple protocol,srcip,dstip,srcportand
dstport.
- "-B" : [...]tries to guess the correct client to server direction.
Automagically swaps flows if src port is < dst port for TCP and UDP
flows and src port < 1024 and dst port > 1024.
Le but étant, dans mon collecteur netflow, de ne pas voir par exemple
les flux retour TCP du type 192.168.1.1:443 --> 192.168.1.2:38542.
Je ne peux pas utiliser nfdump car il sort le résultat dans des
fichiers, hors j'aimerais pouvoir le faire avec un soft qui reçoit l'UDP
du netflow, aggrège de la manière indiquée ci-dessus puis transfère le
netflow aggrégé à mon collecteur netflow, qui ne sait pas lui-même faire
l'aggrégation.
J'ai regardé la doc pmacct. La majorité de mon besoin semble réalisable,
mais j'ai un gros doute sur la possibilité de pouvoir faire l'équivalent
de l'option "-B" de nfdump.
En tout cas il y a 8 ans ce n'était pas possible
(https://pmacct-discussion.pmacct.narkive.com/Hbxynu8P/can-pmacctd-track-and-group-flows-around-a-detected-common-destination-port).
Quelqu'un a-t-il déjà réussi à faire cela ? Connaîtrait un soft qui me
permettrait de le faire ? Ou même si c'est possible avec pmacct ?
Merci à ceux qui auront lu, et bonne soirée à tous.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
