Bonjour, Tu peux essayer d'utiliser nfdump avec les options -B et -w puis utiliser nfreplay. Cordialement, Thomas
31 janv. 2025 20:17:27 fr...@r0m5.eu: > Bonjour, > > Je cherche à aggréger des flux netflow / IPFIX de la manière dont le font les > paramètres "-a" et "-B" de nfdump, c'est à dire "Aggregate flow records as > bidirectional flows" (je ne sais pas comment traduire en français pour que ce > soit aussi parlant) : > - "-a" : Aggregate flow records. The default aggregation is done at > connection level by taking the 5-tuple protocol,srcip,dstip,srcportand > dstport. > - "-B" : [...]tries to guess the correct client to server direction. > Automagically swaps flows if src port is < dst port for TCP and UDP flows and > src port < 1024 and dst port > 1024. > > Le but étant, dans mon collecteur netflow, de ne pas voir par exemple les > flux retour TCP du type 192.168.1.1:443 --> 192.168.1.2:38542. > > Je ne peux pas utiliser nfdump car il sort le résultat dans des fichiers, > hors j'aimerais pouvoir le faire avec un soft qui reçoit l'UDP du netflow, > aggrège de la manière indiquée ci-dessus puis transfère le netflow aggrégé à > mon collecteur netflow, qui ne sait pas lui-même faire l'aggrégation. > > J'ai regardé la doc pmacct. La majorité de mon besoin semble réalisable, mais > j'ai un gros doute sur la possibilité de pouvoir faire l'équivalent de > l'option "-B" de nfdump. > En tout cas il y a 8 ans ce n'était pas possible > (https://pmacct-discussion.pmacct.narkive.com/Hbxynu8P/can-pmacctd-track-and-group-flows-around-a-detected-common-destination-port). > > Quelqu'un a-t-il déjà réussi à faire cela ? Connaîtrait un soft qui me > permettrait de le faire ? Ou même si c'est possible avec pmacct ? > > Merci à ceux qui auront lu, et bonne soirée à tous. > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
