使用 MX 系列路由器或 NFX250 将版本 9 流数据记录导出到日志收集器概述

版本 9 流模板具有预定义的格式。导出数据包由一个数据包标头后跟一个或多个 FlowSet 字段组成。FlowSet 字段可以是三种可能的类型中的任何一种：模板、数据或选项模板。模板流集描述数据流集（或流记录）中的字段。每个数据流集都包含具有相同模板 ID 的一个或多个流的值或统计信息。交错的 NetFlow 版本 9 导出数据包包含数据包标头、模板流集和数据流集字段。Template FlowSet 字段表示每个事件，例如创建 NAT 条目或释放分配的 NAT 条目，Data FlowSet 字段表示与模板 FlowSet（或事件类型）关联的 NAT 会话。例如，如果发生 NAT 地址条目创建、NAT 池中的地址耗尽以及 NAT 条目删除或释放，则交错版本 9 导出数据包将包含数据包标头、一个用于创建 NAT 地址的模板流集字段、执行地址创建的两个会话的两个数据流集字段、另一个用于删除 NAT 地址的 TemplateSet 字段， 两个 Data FlowSet 字段用于发生地址删除事件的两个会话，另一个 TemplateSet 字段用于 NAT 池消耗量已超过配置的池数。

以下是导出数据包中可能出现的组合：

• 由交错模板和数据流集组成的导出数据包 — 收集器设备不应假定此类数据包中定义的模板 ID 与同一数据包中的数据流集有任何特定关系。收集器必须始终缓存任何收到的模板，并检查模板缓存以确定用于解释数据记录的相应模板 ID。

• 完全由数据 FlowSet 组成的导出数据包 - 定义适当的模板 ID 并将其传输到收集器设备后，大多数导出数据包仅由数据 FlowSet 组成。

• 完全由模板 FlowSet 组成的导出数据包 - 尽管这种情况属于例外，但可以接收仅包含模板记录的数据包。通常，模板追加到数据 FlowSet。但是，在某些情况下，仅发送模板。路由器首次启动或重新启动时，会尝试尽快与收集器设备同步。路由器可以加速发送模板 FlowSet，以便收集器设备有足够的信息来解析任何后续数据 FlowSet。此外，模板记录的生存期有限，必须定期刷新。如果发生了模板的刷新间隔，并且不存在需要发送到收集器设备的相应数据 FlowSet，则会发送仅包含模板 FlowSet 的导出数据包。