Netflow 编解码器插件
编辑Netflow 编解码器插件编辑
- 插件版本:v4.3.2
- 发布时间:2023-12-22
- 更新日志
有关其他版本,请参阅版本化插件文档。
获取帮助编辑
如果您对插件有任何疑问,请在论坛中打开一个主题。对于错误或功能请求,请在Github中打开一个问题。有关 Elastic 支持的插件列表,请参阅Elastic 支持矩阵。
描述编辑
“netflow”编解码器用于解码 Netflow v5/v9/v10 (IPFIX) 流。
支持的 Netflow/IPFIX 导出器编辑
此编解码器支持
- Netflow v5
- Netflow v9
- IPFIX
以下 Netflow/IPFIX 导出器已使用最新版本的 Netflow 编解码器进行测试和验证
| Netflow 导出器 | v5 | v9 | IPFIX | 备注 |
|---|---|---|---|---|
Barracuda Firewall |
是 |
支持 Extended Uniflow |
||
Cisco ACI |
是 |
|||
Cisco ASA |
是 |
|||
Cisco ASR 1k |
否 |
由于字段重复而失败 |
||
Cisco ASR 9k |
是 |
|||
Cisco IOS 12.x |
是 |
|||
Cisco ISR w/ HSL |
否 |
由于字段重复而失败,请参阅:https://github.com/logstash-plugins/logstash-codec-netflow/issues/93 |
||
Cisco WLC |
是 |
|||
Citrix Netscaler |
是 |
仍然有一些未知字段,标记为 netscalerUnknown<id> |
||
fprobe |
是 |
|||
Fortigate FortiOS |
是 |
|||
Huawei Netstream |
是 |
|||
ipt_NETFLOW |
是 |
是 |
是 |
|
IXIA 数据包代理 |
是 |
|||
Juniper MX |
是 |
是 |
SW > 12.3R8。由于我们目前不支持的重复字段名称,因此无法解码 Junos 16.1 中的 IPFIX。 |
|
Mikrotik |
是 |
是 |
||
nProbe |
是 |
是 |
是 |
现在也支持 L7 DPI 字段 |
Nokia BRAS |
是 |
|||
OpenBSD pflow |
是 |
否 |
是 |
|
Riverbed |
否 |
由于字段 ID 冲突,因此不支持。Elastiflow 的 definitions 目录中提供了变通方法,网址为https://github.com/robcowart/elastiflow |
||
Sandvine Procera PacketLogic |
是 |
v15.1 |
||
Softflowd |
是 |
是 |
是 |
在https://github.com/djmdjm/softflowd中支持 IPFIX |
Sophos UTM |
是 |
|||
Streamcore Streamgroomer |
是 |
|||
Palo Alto PAN-OS |
是 |
|||
Ubiquiti Edgerouter X |
是 |
使用 MPLS 标签 |
||
VMware VDS |
是 |
仍然有一些未知字段 |
||
YAF |
是 |
使用 silk 和 applabel,但不支持 DPI 插件 |
||
vIPtela |
是 |
用法编辑
示例 Logstash 配置,将在 2055/udp 上侦听 Netflow v5、v9 和 IPFIX
input {
udp {
port => 2055
codec => netflow
}
}
对于高性能生产环境,以下配置将在专用的 16 CPU 实例上从 Cisco ASR 9000 路由器解码高达 15000 个流/秒。如果您的总流量超过 15000 个流/秒,则应使用多个 Logstash 实例。
请注意,对于来自 Cisco ASA 防火墙的更丰富的流,此数字将至少低 3 倍。
input {
udp {
port => 2055
codec => netflow
receive_buffer_bytes => 16777216
workers => 16
}
要减少丢包,请确保增加 Linux 内核接收缓冲区限制
# sysctl -w net.core.rmem_max=$((1024*1024*16))
Netflow 编解码器配置选项编辑
| 设置 | 输入类型 | 是否必需 |
|---|---|---|
有效的 文件系统路径 |
否 |
|
否 |
||
否 |
||
有效的 文件系统路径 |
否 |
|
有效的 文件系统路径 |
否 |
|
否 |
||
否 |
cache_save_path编辑
- 值类型为路径
- 此设置没有默认值。
启用模板缓存并将其保存在指定的目录中。这最大限度地减少了 Logstash 重启后的数据丢失,因为编解码器不必等待模板的到来,而是重新加载在先前运行期间接收到的模板。
模板缓存保存为
include_flowset_id编辑
- 值类型为布尔值
- 默认值为
false
仅对 ipfix 有意义,v9 已包含此设置。设置为 true 将在事件中包含 flowset_id,允许您使用序列,例如使用聚合过滤器
ipfix_definitions编辑
- 值类型为路径
- 此设置没有默认值。
覆盖包含 IPFIX 字段定义的 YAML 文件
与 Netflow 版本非常相似,只是添加了一个顶级私营企业编号 (PEN) 键
pen: id: - :uintN or :ip4_addr or :ip6_addr or :mac_addr or :string - :name id: - :skip
标准字段有一个隐式 PEN 0。