使用 MX 系列路由器或 NFX250 将第 9 版流数据记录导出到日志收集器概述

版本 9 流模板具有预定义的格式。导出数据包由一个数据包标头后跟一个或多个 FlowSet 字段组成。FlowSet 字段可以是三种可能的任一类型— 模板、数据或选项模板。模板流集描述数据流集（或流记录）中的字段。每个数据流集都包含一个或多个具有相同模板 ID 的流的值或统计信息。交错 NetFlow 版本 9 导出数据包包含数据包标头、模板流集和数据流集字段。模板流集字段表示每个事件，例如 NAT 条目的创建或分配的 NAT 条目的发布，而数据流集字段表示与模板流集（或事件类型）关联的 NAT 会话。例如，如果发生 NAT 地址条目创建、NAT 池中的地址耗尽以及删除或释放 NAT 条目，则交错版本 9 导出数据包将包含数据包标头，一个用于创建 NAT 地址的模板流集字段，两个用于执行地址创建会话的数据流集字段，用于 NAT 地址删除的另一个 TemplateSet 字段 发生地址删除事件的两个会话的两个数据流集字段，以及 NAT 池消耗量超过配置池数的另一个 TemplateSet 字段。

导出数据包中可能发生以下组合：

• 由交错模板和数据流集组成的导出数据包 — 收集器设备不应假定此类数据包中定义的模板 ID 与同一数据包中的数据流集有任何特定关系。收集器必须始终缓存任何收到的模板，并检查模板缓存，以确定用于解释数据记录的相应模板 ID。

• 完全由数据流集组成的导出数据包 — 在定义了适当的模板 ID 并将其传输到收集器设备之后，大多数导出数据包仅由数据流集组成。

• 完全由模板 FlowSet 组成的导出数据包 — 尽管此情况例外，但可以接收仅包含模板记录的数据包。通常，模板附加到数据流集。但是，在某些情况下，只会发送模板。路由器首次启动或重新启动时，会尝试尽快与收集器设备同步。路由器可以加速发送模板流集，以便收集器设备有足够的信息来解析任何后续的数据流集。此外，模板记录的生存期有限，必须定期刷新。如果发生模板的刷新间隔，并且不存在需要发送至收集器设备的相应数据流集，则发送仅包含模板 FlowSet 的导出数据包。