https://github.com/phaag/nfinflux
On Fri, 31 Jan 2025 at 20:17, <fr...@r0m5.eu> wrote: > Bonjour, > > Je cherche à aggréger des flux netflow / IPFIX de la manière dont le > font les paramètres "-a" et "-B" de nfdump, c'est à dire "Aggregate flow > records as bidirectional flows" (je ne sais pas comment traduire en > français pour que ce soit aussi parlant) : > - "-a" : Aggregate flow records. The default aggregation is done at > connection level by taking the 5-tuple protocol,srcip,dstip,srcportand > dstport. > - "-B" : [...]tries to guess the correct client to server direction. > Automagically swaps flows if src port is < dst port for TCP and UDP > flows and src port < 1024 and dst port > 1024. > > Le but étant, dans mon collecteur netflow, de ne pas voir par exemple > les flux retour TCP du type 192.168.1.1:443 --> 192.168.1.2:38542. > > Je ne peux pas utiliser nfdump car il sort le résultat dans des > fichiers, hors j'aimerais pouvoir le faire avec un soft qui reçoit l'UDP > du netflow, aggrège de la manière indiquée ci-dessus puis transfère le > netflow aggrégé à mon collecteur netflow, qui ne sait pas lui-même faire > l'aggrégation. > > J'ai regardé la doc pmacct. La majorité de mon besoin semble réalisable, > mais j'ai un gros doute sur la possibilité de pouvoir faire l'équivalent > de l'option "-B" de nfdump. > En tout cas il y a 8 ans ce n'était pas possible > ( > https://pmacct-discussion.pmacct.narkive.com/Hbxynu8P/can-pmacctd-track-and-group-flows-around-a-detected-common-destination-port > ). > > Quelqu'un a-t-il déjà réussi à faire cela ? Connaîtrait un soft qui me > permettrait de le faire ? Ou même si c'est possible avec pmacct ? > > Merci à ceux qui auront lu, et bonne soirée à tous. > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
