ako na netflow

[Polk]

Takže nastavením all nic nezkazím, ve smyslu raději toho mít více než méně a někdo kdo by se tím probíral at si poradí. ?

[qidoRV]

jj, mám nastaveno all, protože ve flow-filter si můžu vybrat interface které potřebuji pro export

[deelite]

Podarilo sa ti vyriesit ten problem? Lebo mne to tiez vyhadzuje rovnaku chybu.

Ano pozeral som, zahadzuje to niektore pakety

Kód: Vybrat vše

Aug 16 06:50:22 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357721 received=357723 lost=2
Aug 16 06:50:36 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357724 received=357723 lost=4294967294
Aug 16 06:50:38 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357724 received=357723 lost=4294967294
Aug 16 06:50:58 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357724 received=357726 lost=2
Aug 16 06:51:10 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357727 received=357726 lost=4294967294
Aug 16 06:51:18 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357728 received=357726 lost=4294967293
Aug 16 06:51:46 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357727 received=357728 lost=1
Aug 16 06:52:30 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357729 received=357731 lost=2
Aug 16 06:52:36 local-server flow-capture[2218]: ftpdu_seq_check(): src_ip=192.168.1.1 dst_ip=192.168.1.3 d_version=5 expecting=357733 received=357731 lost=4294967293



[deelite]

Vyzera to na dlhotrvajucu chybu mikrotiku
http://forum.mikrotik.com/viewtopic.php?f=2&t=31573

Ako ficite vy ostani? Ignorujete tu chybu?
Ked si dam prikaz: # flow-header </var/flow/gateway/2010/2010-01/2010-01-27/ft-v05.2010-01-27.113112+0100
tak dostavam dost strasidelne statistiky so skoro 50% stratou:
#
# mode: normal
# capture hostname: debian
# capture start: Wed Jan 27 11:31:12 2010
# capture end: Wed Jan 27 12:28:48 2010
# capture period: 3456 seconds
# compress: on
# byte order: little
# stream version: 3
# export version: 5
# lost flows: 381112
# corrupt packets: 0
# sequencer resets: 12725
# capture flows: 408721

Ak sa tu nachadza niekto, komu chodi kombinacia MK3.30 a vyssia a flow-tools, tak prosim popis, ako to mas zapojene a aku verziu MK mas.

[lukas]

Zmenil jsem verzi na v1 a pri teto jedine to neztratuje... Jinak jsem to vyresit nedokazal ... :/

[Polk]

A nějaký podstatný rozdíl v zaznamenaných datech mezi v1 a v5 je ?

[deelite]

Zmenil jsem verzi na v1 a pri teto jedine to neztratuje... Jinak jsem to vyresit nedokazal ... :/

Hmm, zmenil som na verziu 1 ale v syslogu vidim, ze mi to stale vyhodnocuje ako verziu 5 . Nepomohol ani restart flow-capture.
MK mam vo verzii 4.1.

[reset]

Kód: Vybrat vše

Jan 30 11:59:15 ruah flow-capture[3668]: ftpdu_seq_check(): src_ip=192.168.5.53 dst_ip=192.168.7.19 d_version=5 expecting=41533644 received=41533614 lost=4294967265
Jan 30 11:59:16 192.168.5.53 system,info SHAKAREE1: traffic flow target changed by admin
Jan 30 11:59:17 ruah flow-capture[3668]: New exporter: time=1264849157 src_ip=192.168.5.53 dst_ip=192.168.7.19 d_version=1

a nasledne v logu uz ani zmintak o netflow

loguje to MKv3.30

[Ajfel]

Kód: Vybrat vše

Jan 30 11:59:15 ruah flow-capture[3668]: ftpdu_seq_check(): src_ip=192.168.5.53 dst_ip=192.168.7.19 d_version=5 expecting=41533644 received=41533614 lost=4294967265
Jan 30 11:59:16 192.168.5.53 system,info SHAKAREE1: traffic flow target changed by admin
Jan 30 11:59:17 ruah flow-capture[3668]: New exporter: time=1264849157 src_ip=192.168.5.53 dst_ip=192.168.7.19 d_version=1

a nasledne v logu uz ani zmintak o netflow

loguje to MKv3.30

jj, mam stejny poznatek, po zmene na v1 prestal flow-capture za..rat log

[Polk]

Takže v1 posílá uplně stejná data , jen nedochází k zahozeným paketům ?
Jen nevím jak si vysvětlit orig. dokumentaci, aby se nepoužívala :

Traffic-Flow supports the following NetFlow formats:

version 1 - the first version of NetFlow data format, do not use it, unless you have to
version 5 - in addition to version 1, version 5 has the BGP AS and flow sequence number information included
version 9 - a new format which can be extended with new fields and record types thank's to its template-style design

[flasher]

Takže v1 posílá uplně stejná data ...

uplne rovnake to asi nebude: netflow.caligare.com/netflow_v1.htm

[lukas]

Podle mě je to probém mikrotiku, jinde mi to nedělá. Každopádně ten problém, že se to po změnění stále tváří jako v5 se mi taky nepodařilo vyřešit normálně, prostě jsem to furt dokola aktivovat na v1 a najednou to začalo běžět. Nechápu. Verze 3.17, 4.2, a 2.9.cosi.

[lukas]

Rozdí v datech není, pokud teda nemáš ipv6

[deelite]

Podle mě je to probém mikrotiku, jinde mi to nedělá. Každopádně ten problém, že se to po změnění stále tváří jako v5 se mi taky nepodařilo vyřešit normálně, prostě jsem to furt dokola aktivovat na v1 a najednou to začalo běžět. Nechápu. Verze 3.17, 4.2, a 2.9.cosi.

Aj mne sa to uz umudrilo a flow-tools to uz detekuje ako v1. Podla objemu dat sa mi zda, ze aj pri verzii 5 to zrejme zachytavalo vsetky pakety, len to zadrbavalo syslog. Takze mozno je to nejaka chyba na obidvoch stranach a patchnutie a prekompilovanie flow-capture je zrejme tiez riesenie pre tych, co pouzivaju ipv6.

[dodo]

Ahojte,

skusam spravit vypis z netflow ale akosik to vzdy skonci s chybou.
Ako syntax pouzivam:

flow-print -f 5 ft-v05.2012-06-07.051501+0200 > test.txt

a vzdy to skonci s chybou:

flow-print: Extra arguments starting with ft-v05.2012-06-07.051501+0200.

Neviete poradit kde je chyba?

Dakujem.