Netflow 导出器	v5	v9	IPFIX	备注
梭子鱼防火墙			是	支持扩展单流
思科 ACI		是
思科 ASA		是
思科 ASR 1k			否	因字段重复而失败
思科 ASR 9k		是
思科 IOS 12.x		是
思科 ISR (带 HSL)		否		因字段重复而失败，请参阅：https://github.com/logstash-plugins/logstash-codec-netflow/issues/93
思科 WLC		是
Citrix Netscaler			是	仍然有一些未知字段，标记为 netscalerUnknown<id>
fprobe	是
Fortigate FortiOS		是
华为 Netstream		是
ipt_NETFLOW	是	是	是
IXIA 数据包代理			是
Juniper MX	是		是	软件版本 > 12.3R8。由于我们目前不支持的重复字段名称，无法解码来自 Junos 16.1 的 IPFIX。
Mikrotik	是		是	http://wiki.mikrotik.com/wiki/Manual:IP/Traffic_Flow
nProbe	是	是	是	现在也支持 L7 DPI 字段
诺基亚 BRAS			是
OpenBSD pflow	是	否	是	http://man.openbsd.org/OpenBSD-current/man4/pflow.4
Riverbed		否		由于字段 ID 冲突而不受支持。在 Elastiflow 的 definitions 目录中提供解决方法：https://github.com/robcowart/elastiflow
Sandvine Procera PacketLogic			是	v15.1
Softflowd	是	是	是	在 https://github.com/djmdjm/softflowd 中支持 IPFIX
Sophos UTM			是
Streamcore Streamgroomer		是
Palo Alto PAN-OS		是
Ubiquiti Edgerouter X		是		带有 MPLS 标签
VMware VDS			是	仍然有一些未知字段
YAF			是	带有 silk 和 applabel，但不支持 DPI 插件
vIPtela			是

用法

编辑

Logstash 配置示例，它将在 2055/udp 上侦听 Netflow v5、v9 和 IPFIX

input {
  udp {
    port  => 2055
    codec => netflow
  }
}

对于高性能生产环境，以下配置将在专用的 16 CPU 实例上解码来自思科 ASR 9000 路由器的每秒最多 15000 个流。如果您的总流量速率超过每秒 15000 个流，则应使用多个 Logstash 实例。

请注意，对于来自思科 ASA 防火墙的更丰富的流，此数字将至少低 3 倍。

input {
  udp {
    port                 => 2055
    codec                => netflow
    receive_buffer_bytes => 16777216
    workers              => 16
  }

要减少丢包，请确保增加 Linux 内核接收缓冲区限制

# sysctl -w net.core.rmem_max=$((1024*1024*16))

Netflow 编解码器配置选项

编辑

设置	输入类型	必需
`cache_save_path`	有效的文件系统路径	否
`cache_ttl`	数字	否
`include_flowset_id`	布尔值	否
`ipfix_definitions`	有效的文件系统路径	否
`netflow_definitions`	有效的文件系统路径	否
`target`	字符串	否
`versions`	数组	否

`cache_save_path`

编辑

值类型是路径
此设置没有默认值。

启用模板缓存并将其保存在指定的目录中。这最大限度地减少了 Logstash 重启后的数据丢失，因为编解码器不必等待模板的到达，而是重新加载在以前的运行期间已收到的模板。

模板缓存保存为

路径/netflow_templates.cache 用于 Netflow v9 模板。
路径/ipfix_templates.cache 用于 IPFIX 模板。

`cache_ttl`

编辑

值类型是数字
默认值是4000

Netflow v9/v10 模板缓存 TTL（秒）

`include_flowset_id`

编辑

值类型是布尔值
默认值是false

仅对 ipfix 有意义，v9 已经包括此设置。设置为 true 将在事件中包含 flowset_id。允许您使用序列，例如使用聚合过滤器

`ipfix_definitions`

编辑

值类型是路径
此设置没有默认值。

覆盖包含 IPFIX 字段定义的 YAML 文件

与 Netflow 版本非常相似，只是添加了顶层的私有企业编号 (PEN) 键

pen:
id:
- :uintN or :ip4_addr or :ip6_addr or :mac_addr or :string
- :name
id:
- :skip

对于标准字段，存在一个隐式的 PEN 0。

有关基本集，请参阅https://github.com/logstash-plugins/logstash-codec-netflow/blob/master/lib/logstash/codecs/netflow/ipfix.yaml。

`netflow_definitions`

编辑

值类型是路径
此设置没有默认值。

覆盖包含 Netflow 字段定义的 YAML 文件

每个 Netflow 字段的定义如下

id:
- default length in bytes
- :name
id:
- :uintN or :ip4_addr or :ip6_addr or :mac_addr or :string
- :name
id:
- :skip

有关基本集，请参阅https://github.com/logstash-plugins/logstash-codec-netflow/blob/master/lib/logstash/codecs/netflow/netflow.yaml。

`target`

编辑

值类型是字符串
默认值是"netflow"

指定要将 Netflow 数据放入哪个字段。

`versions`

编辑

值类型是数组
默认值是[5, 9, 10]

指定您将接受的 Netflow 版本。

« 多行编解码器插件 Nmap 编解码器插件 »