nfdump是一款开源的netflow收集、存储、过滤、统计分析软件。目前支持 netflow v5、v7和v9版本.
软件地址:http://nfdump.sourceforge.net/
一 . nfdump安装
首先下载软件nfdump-1.6.4.tar.gz。
http://sourceforge.net/projects/nfdump/
目前最新版本为1.6.4.
# tar zxvf nfdump-1.6.4.tar.gz
# cd nfdump-1.6.4
# ./configure --prefix=/usr/local/nfdump
# make
# make install
将nfdump可执行文件加入到PATH目录中。
export PATH=/usr/local/netflow/bin:$PATH
二. nfdump使用
nfdump包含了五个命令,nfanon, nfcapd, nfdump, nfexpire和nfreplay,其中比较常用的只有nfcapd和nfdump。
下面就分别介绍这五个命令。
1.nfanon
nfanons使用CryptoPan模块实现netflow记录中所有IP地址(源 IP、目的IP、下一条、路由器IP)的匿名。
用法:
-r inputFile :指定单个输入文件, 如 -r nfcapd.201109020900
-R expr :指定一个目录或一组输入文件,如 -R /data/flows/nfcapd.201109020900:nfcapd.201109201000
-M expr :指定多个目录下的输入文件,如 -M /data/flows/router1:router2:router3
-w outputfile :指定输出文件
-K key :指定key, key用来初始化Rijndael加密算法,是一个32个字符的字符串,或64个以0x十六进制数值串。
2.nfexpire
nfexpire: 用于历史netflow数据文件到期的管理。文件的到期管理可以使用nfcapd的自动到期模式或nfexpire实现。
用法:
-l directory :列出directory datadir的当前数据统计;
-r directory :重扫描指定目录以更新统计文件;
-e datadi