Coletando a saída de amostragem de tráfego em um arquivo
Você configura os resultados de amostragem de tráfego em um arquivo no /var/tmp directory. Para coletar os pacotes amostrados em um arquivo, inclua a file declaração no nível de [edit forwarding-options sampling output] hierarquia:
[edit forwarding-options sampling family family-name output] file <disable> filename filename <files number> <size bytes> <stamp | no-stamp > <world-readable | no-world-readable>;
Para configurar o período de tempo antes que um fluxo ativo seja exportado, inclua a flow-active-timeout declaração no [edit forwarding-options sampling output family (inet | inet6 | mpls)] nível de hierarquia:
[edit forwarding-options sampling family (inet | inet6 | mpls) output] flow-active-timeout seconds;
Para configurar o período de tempo antes que um fluxo seja considerado inativo, inclua a flow-inactive-timeout declaração no nível de [edit forwarding-options sampling output] hierarquia:
[edit forwarding-options sampling family (inet | inet6 | mpls) output] flow-inactive-timeout seconds;
Para configurar a interface que envia informações monitoradas, inclua a interface declaração no nível de [edit forwarding-options sampling output] hierarquia:
[edit forwarding-options sampling family (inet | inet6 | mpls) output] interface interface-name { engine-id number; engine-type number; source-address address; }
Este recurso não é compatível com o formato de modelo da versão 9. Você deve enviar fluxos de tráfego coletados usando a versão 9 para um servidor. Para obter mais informações, veja coleta de amostragem de tráfego no formato de exportação de serviços de netflow da Cisco Systems versão 9.
Formato de saída de amostragem de tráfego
A saída de amostragem de tráfego é salva em um arquivo de texto ASCII. O exemplo a seguir é a saída de amostragem de tráfego salva em um arquivo no diretório /var/tmp . Cada linha no arquivo de saída contém informações para um pacote amostrado. Você pode exibir opcionalmente um ponto de tempo para cada linha.
Os cabeçalhos da coluna são repetidos após cada grupo de 1000 pacotes.
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:57 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:58 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
A saída contém os seguintes campos:
Tempo — Tempo em que o pacote foi recebido (exibido apenas se você incluir a
stampdeclaração na configuração)Dest addr — Endereço IP de destino no pacote
Src addr — Endereço IP de origem no pacote
Porta Dest — Protocolo de controle de transmissão (TCP) ou porta de protocolo de datagram do usuário (UDP) para o endereço de destino
Porta Src — porta TCP ou UDP para o endereço de origem
Proto — Tipo de protocolo do pacote
TOS — Conteúdo do campo de tipo de serviço (ToS) no cabeçalho de IP
Pkt len — Comprimento do pacote amostrado, em bytes
Intf num — número único que identifica a interface lógica amostrada
Ip frag — número de fragmento de IP, se aplicável
Bandeiras de TCP — quaisquer bandeiras TCP encontradas no cabeçalho ip
Para definir a opção de carimbo de data e hora para o arquivo my-sample, digite o seguinte:
[edit forwarding-options sampling family (inet | inet6 | mpls) output file] user@host# set filename my-sample files 5 size 2m world-readable stamp;
Sempre que você alternar a opção de temporizador, um novo cabeçalho é incluído no arquivo. Se você definir a opção de selo , o campo Time será exibido.
# Apr 7 15:48:50 # Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP # addr addr port port len num frag flags # Feb 1 20:31:21 # Dest Src Dest Src Proto TOS Pkt Intf IP TCP # addr addr port port len num frag flags