ファイルへのトラフィックサンプリング出力の収集
トラフィックサンプリング結果は、/var/tmpディレクトリ内のファイルに設定します。サンプルされたパケットをファイルに収集するには、 階層レベルで ステートメント[edit forwarding-options sampling output]を含めfileます。
[edit forwarding-options sampling family family-name output] file <disable> filename filename <files number> <size bytes> <stamp | no-stamp > <world-readable | no-world-readable>;
アクティブなフローがエクスポートされるまでの期間を設定するには、 階層レベルで ステートメントを含め flow-active-timeout ます [edit forwarding-options sampling output family (inet | inet6 | mpls)] 。
[edit forwarding-options sampling family (inet | inet6 | mpls) output] flow-active-timeout seconds;
フローが非アクティブと見なされるまでの時間を設定するには、 階層レベルで ステートメントを含め flow-inactive-timeout ます [edit forwarding-options sampling output] 。
[edit forwarding-options sampling family (inet | inet6 | mpls) output] flow-inactive-timeout seconds;
監視対象情報を送信するインターフェイスを設定するには、 階層レベルで ステートメントを含め interface ます [edit forwarding-options sampling output] 。
[edit forwarding-options sampling family (inet | inet6 | mpls) output] interface interface-name { engine-id number; engine-type number; source-address address; }
この機能は、バージョン 9 のテンプレート形式ではサポートされていません。バージョン 9 を使用して収集されたトラフィックフローをサーバーに送信する必要があります。詳細については、 Cisco Systems NetFlow サービス エクスポート バージョン 9 形式でのトラフィック サンプリング出力の収集を参照してください。
トラフィックサンプリング出力形式
トラフィック サンプリングの出力は、ASCII テキスト ファイルに保存されます。以下は、 /var/tmp ディレクトリ内のファイルに保存されるトラフィックサンプリング出力の例です。出力ファイルの各行には、1 つのサンプル パケットの情報が含まれています。オプションで、各行のタイムスタンプを表示することができます。
列ヘッダーは、1000 パケットの各グループの後に繰り返されます。
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:57 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:58 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
出力には、次のフィールドが含まれます。
時間—パケットが受信された時間(設定に ステートメントを含めた
stamp場合にのみ表示されます)Dest addr - パケット内の宛先 IP アドレス
Src addr - パケット内の送信元 IP アドレス
宛先ポート - 宛先アドレスの TCP(伝送制御プロトコル)または UDP(ユーザーデータグラム プロトコル)ポート
送信元ポート:送信元アドレスの TCP または UDP ポート
プロトタイプ - パケットのプロトコルタイプ
TOS:IP ヘッダーの type-of-service(ToS)フィールドの内容
Pkt len — サンプルされたパケットの長さ(バイト単位)
Intf num:サンプリングされた論理インターフェイスを識別する一意の番号
IP フラグ - IP フラグメント番号(該当する場合)
TCP フラグ—IP ヘッダーで見つかったすべての TCP フラグ
ファイル my-sample のタイムスタンプ オプションを設定するには、次のように入力します。
[edit forwarding-options sampling family (inet | inet6 | mpls) output file] user@host# set filename my-sample files 5 size 2m world-readable stamp;
タイムスタンプオプションを切り替えるたびに、新しいヘッダーがファイルに含まれます。 スタンプ オプションを設定すると、[ 時刻 ] フィールドが表示されます。
# Apr 7 15:48:50 # Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP # addr addr port port len num frag flags # Feb 1 20:31:21 # Dest Src Dest Src Proto TOS Pkt Intf IP TCP # addr addr port port len num frag flags