網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【1】-基礎(chǔ)原理
網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【2】-Cisco NetFlow 工作原理介紹及配置
網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【3】-netflow版本5和版本9區(qū)別
網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【4】-接收器nfdump簡介
網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【5】-linux下數(shù)據(jù)采集器fprobe
網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【6】-生產(chǎn)網(wǎng)流量監(jiān)控架構(gòu)設(shè)計(jì)
fprobe參數(shù) -e
fprobe參數(shù) -n -k

10年積累的網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作經(jīng)驗(yàn)，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先建設(shè)網(wǎng)站后付款的網(wǎng)站建設(shè)流程，更有武陵免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

交換機(jī)netflow的不足

首先要知道，交換機(jī)在處理數(shù)據(jù)包的時候是會額外消耗資源的，比如cpu和內(nèi)存，經(jīng)過我們長時間的測試，發(fā)現(xiàn)這個消耗非常高，如果采樣比為1:2的比例下，在一個萬兆網(wǎng)里，cpu直接上升10%，當(dāng)然這個上漲程度與網(wǎng)絡(luò)中的流量大小成正比，但很明顯，這個消耗，太大，如果選擇大采樣比，比如1:1024，那么在還原真實(shí)流量的時候，誤差會非常大，曾經(jīng)一次測試發(fā)現(xiàn)，誤差高達(dá)20%。所以我們得另辟蹊徑，找一個替代產(chǎn)品。

有人說，我們只需要大概數(shù)據(jù)就好，但是在做成本核算的時候，如果只是大概，就會引起成本承擔(dān)者的不滿，他會認(rèn)為你多給他算成本了，所以采樣比1:1的工具才是我們尋找的目標(biāo)。

在linux下有個軟件叫fprobe，可以將接口下的數(shù)據(jù)包轉(zhuǎn)換成netflow格式并發(fā)送數(shù)據(jù)到指定的接收器中，默認(rèn)netflow v5。

安裝

環(huán)境：CentOS 6&7
軟件：
鏈接：百度云盤-fprobe下載 提取碼：ttkz
安裝命令：rpm -ivh fprobe-1.1-2.el7.lux.x86_64.rpm

參數(shù)

我也沒搞懂全部參數(shù)的含義，用了幾個參數(shù)，就記錄下來。

-p：不要設(shè)置成混雜模式，默認(rèn)混雜模式，混雜模式可以監(jiān)聽所有到達(dá)比接口的數(shù)據(jù)包，比如鏡像數(shù)據(jù)。
-i：監(jiān)聽網(wǎng)卡。
-f：篩選規(guī)則。
-e：這個參數(shù)用于發(fā)送頻率，如果設(shè)置很大，會發(fā)現(xiàn)很久都沒有數(shù)據(jù)包發(fā)到采集器中。測試效果見：[fprobe參數(shù) -e](https://www.eazblog.com/fprobe%e5%8f%82%e6%95%b0-e/)
-n：指定netflow的版本
-a：指定發(fā)送源地址，在采集器上做數(shù)據(jù)篩選用
-b：內(nèi)存大小（不太懂）
-m：flow緩存在內(nèi)存使用上限

實(shí)例

監(jiān)聽eth0網(wǎng)卡，將數(shù)據(jù)每10s一個周期發(fā)送到10.2.82.60的9999端口

fprobe -i eth0 -e 10 10.2.82.60:9999

監(jiān)聽eth0網(wǎng)卡，使用非混雜模式，并指定原地址為10.6.6.6，發(fā)送到10.2.82.60的9999端口

fprobe -i eth0 -p -a 10.6.6.6 10.2.82.60:9999

監(jiān)聽bond1，只截取關(guān)于10.10.10.10且端口為80的數(shù)據(jù)包，生成v7版本，發(fā)送到10.2.82.60的9999端口

fprobe -i bond1 -n 7 -f "host 10.10.10.10 && port 80" 10.2.82.60:9999

擴(kuò)展

思科交換機(jī)鏡像下來的數(shù)據(jù)包通過fprobe轉(zhuǎn)換成netflow數(shù)據(jù)正確，但是華為交換機(jī)鏡像下來的數(shù)據(jù)經(jīng)過fprobe轉(zhuǎn)換之后數(shù)據(jù)有錯誤，需要使用-k參數(shù)進(jìn)行VLAN heade的去除，詳見：fprobe參數(shù) -n -k

網(wǎng)頁標(biāo)題：網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【5】-linux下數(shù)據(jù)采集器fprobe
網(wǎng)址分享：http://www.chinadenli.net/article42/pesjhc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、用戶體驗(yàn)、App設(shè)計(jì)、網(wǎng)站導(dǎo)航、網(wǎng)站設(shè)計(jì)公司、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)