網(wǎng)絡流量分析利器-可視化網(wǎng)絡-netflow【1】-基礎原理
網(wǎng)絡流量分析利器-可視化網(wǎng)絡-netflow【2】-Cisco NetFlow 工作原理介紹及配置
網(wǎng)絡流量分析利器-可視化網(wǎng)絡-netflow【3】-netflow版本5和版本9區(qū)別
網(wǎng)絡流量分析利器-可視化網(wǎng)絡-netflow【4】-接收器nfdump簡介
網(wǎng)絡流量分析利器-可視化網(wǎng)絡-netflow【5】-linux下數(shù)據(jù)采集器fprobe
網(wǎng)絡流量分析利器-可視化網(wǎng)絡-netflow【6】-生產(chǎn)網(wǎng)流量監(jiān)控架構設計
fprobe參數(shù) -e
fprobe參數(shù) -n -k

10年積累的網(wǎng)站設計、成都網(wǎng)站制作經(jīng)驗，可以快速應對客戶對網(wǎng)站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡服務。我雖然不認識你，你也不認識我。但先建設網(wǎng)站后付款的網(wǎng)站建設流程，更有武陵免費網(wǎng)站建設讓你可以放心的選擇與我們合作。

交換機netflow的不足

首先要知道，交換機在處理數(shù)據(jù)包的時候是會額外消耗資源的，比如cpu和內存，經(jīng)過我們長時間的測試，發(fā)現(xiàn)這個消耗非常高，如果采樣比為1:2的比例下，在一個萬兆網(wǎng)里，cpu直接上升10%，當然這個上漲程度與網(wǎng)絡中的流量大小成正比，但很明顯，這個消耗，太大，如果選擇大采樣比，比如1:1024，那么在還原真實流量的時候，誤差會非常大，曾經(jīng)一次測試發(fā)現(xiàn)，誤差高達20%。所以我們得另辟蹊徑，找一個替代產(chǎn)品。

有人說，我們只需要大概數(shù)據(jù)就好，但是在做成本核算的時候，如果只是大概，就會引起成本承擔者的不滿，他會認為你多給他算成本了，所以采樣比1:1的工具才是我們尋找的目標。

在linux下有個軟件叫fprobe，可以將接口下的數(shù)據(jù)包轉換成netflow格式并發(fā)送數(shù)據(jù)到指定的接收器中，默認netflow v5。

安裝

環(huán)境：CentOS 6&7
軟件：
鏈接：百度云盤-fprobe下載 提取碼：ttkz
安裝命令：rpm -ivh fprobe-1.1-2.el7.lux.x86_64.rpm

參數(shù)

我也沒搞懂全部參數(shù)的含義，用了幾個參數(shù)，就記錄下來。

-p：不要設置成混雜模式，默認混雜模式，混雜模式可以監(jiān)聽所有到達比接口的數(shù)據(jù)包，比如鏡像數(shù)據(jù)。
-i：監(jiān)聽網(wǎng)卡。
-f：篩選規(guī)則。
-e：這個參數(shù)用于發(fā)送頻率，如果設置很大，會發(fā)現(xiàn)很久都沒有數(shù)據(jù)包發(fā)到采集器中。測試效果見：[fprobe參數(shù) -e](https://www.eazblog.com/fprobe%e5%8f%82%e6%95%b0-e/)
-n：指定netflow的版本
-a：指定發(fā)送源地址，在采集器上做數(shù)據(jù)篩選用
-b：內存大?。ú惶?-m：flow緩存在內存使用上限

實例

監(jiān)聽eth0網(wǎng)卡，將數(shù)據(jù)每10s一個周期發(fā)送到10.2.82.60的9999端口

fprobe -i eth0 -e 10 10.2.82.60:9999

監(jiān)聽eth0網(wǎng)卡，使用非混雜模式，并指定原地址為10.6.6.6，發(fā)送到10.2.82.60的9999端口

fprobe -i eth0 -p -a 10.6.6.6 10.2.82.60:9999

監(jiān)聽bond1，只截取關于10.10.10.10且端口為80的數(shù)據(jù)包，生成v7版本，發(fā)送到10.2.82.60的9999端口

fprobe -i bond1 -n 7 -f "host 10.10.10.10 && port 80" 10.2.82.60:9999

擴展

思科交換機鏡像下來的數(shù)據(jù)包通過fprobe轉換成netflow數(shù)據(jù)正確，但是華為交換機鏡像下來的數(shù)據(jù)經(jīng)過fprobe轉換之后數(shù)據(jù)有錯誤，需要使用-k參數(shù)進行VLAN heade的去除，詳見：fprobe參數(shù) -n -k

網(wǎng)頁標題：網(wǎng)絡流量分析利器-可視化網(wǎng)絡-netflow【5】-linux下數(shù)據(jù)采集器fprobe
網(wǎng)址分享：http://aaarwkj.com/article42/pesjhc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、用戶體驗、App設計、網(wǎng)站導航、網(wǎng)站設計公司、關鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)