Netflow v9 Template造成ElastiFlow流量统计异常的处理

之前本站曾经介绍过ElastiFlow这个流量分析工具对网络工程师的帮助。最近在一个大型网络环境中部署了一套后,发现Netflow Version 9的模板机制带来的“ 困扰 ”,在这里做一个分享,避免后来者踩坑。

首先是放上异常截图:

可以看到Bytes和Packets都异常大(PB, EB, ZB)。而在刚部署完系统,收集设备还比较少的时候,没有出现这个问题。而当导入日志的设备逐渐增多,日志统计就彻底没法看了。

首先抓包分析。抓下来发现无可读性…Google一番后根据此篇文章解决:How to view NetFlow in WireShark

然后又发现抓下来的包,no template found,又根据这两篇解决:Wireshark needs templates to decipher Cisco NetFlow v9Netflow V9

最后终于确认原始数据包里Octets都是正常的。于是继续搜索社区,终于找到这里这里还有这里,原来还是Netflow v9 Template的问题:

确认原因后就比较好解决了,由于Logstash官方不愿意merge ElastiFlow作者的UDP代码,因此我为了省心,直接又多起了几个Logstash实例给不同的Netflow v9设备(主要是Cisco ASA防火墙)。等未来有时间了再来测试一下如何优化。

 

 

发表评论

邮箱地址不会被公开。 必填项已用*标注