Это старая версия документа!
3 Экспорт в формате IPFIX
Для анализа данных Clickstream (сведения о посещениях абонентами страниц web сайтов) и SIP (сведения о voip переговорах)
на внешних системах, можно экспортировать эти данных по сети в формате IPFIX.
Со списком соответствия между протоколом и номером порта в NetFow5 можно ознакомиться здесь.
Для сбора информации в формате IPFIX подойдет любой универсальный IPFIX коллектор,понимающий шаблоны, или утилита IPFIX Receiver.
Для приема, обработки и хранения ClickStream рекомендуется использовать программный продукт для сбора статистики QoE Store и графический интерфейс DPIUI2.
При недостаточном качестве канала связи между СКАТ и NetFlow/IPFIX коллектором СКАТ пропускает отправку части статистики для сохранения производительности. При ропуске чанка информации в fastdpi_alert.log выводится сообщение:
[NFLW] very long operation ….
С версии 12.0 появилась статистика отправки информации по NetFlow/IPFIX (дополнительная секция в fastdpi_stat.log):
[STAT ][2022/11/20-17:55:03:213770] Statistics on NFLW_export : {a/b/c%/d/e}
a - кол-во выполнения циклов отправки
b - кол-во циклов отправки, когда время затраченное на отправку превысило период выполнения циклов
c - процент превышения кол-ва циклов отправки : 100 * b/a
d - время в микросекундах максимальной продолжительности цикла отправки
e - время в микросекундах периода отправки статистики ( значение параметра ''netflow_timeout''( параметр задается в секундах ))
Пример:
[STAT ][2022/11/20-17:55:03:213770] Statistics on NFLW_export : {7/0/0.00%/45297us/30008163us}
Настройка экспорта Clickstream
Экспорт Clickstream настраивается следующими параметрами:
ipfix_dev=em1 ipfix_udp_collectors=1.2.3.4:1500,1.2.3.5:1501 ipfix_tcp_collectors=1.2.3.6:9418 dbg_log_mask=0x80
где
- em1 – имя сетевого интерфейса для экспорта.
- ipfix_udp_collectors – адреса UDP коллекторов.
- ipfix_tcp_collectors – адреса TCP коллекторов.
- dbg_log_mask=0x80 – вывод статистической информации об экспорте в лог.
IPFIX шаблона экспорта Clickstream
Формат IPFIX шаблонов для IPV6 отличается форматом полей IP_SOURCE и IP_DESTINATION.
| № | Кол-во байт | Тип данных | IANA | Описание | Примечание |
|---|---|---|---|---|---|
| 1103 | 16 | IPv6 | 43823 | IP_SOURCE | Адрес отправителя |
| 1104 | 16 | IPv6 | 43823 | IP_DESTINATION | Адрес получателя |
| Формат IPFIX шаблона экспорта Clickstream | |||||
|---|---|---|---|---|---|
| № | Кол-во байт | Тип данных | IANA | Описание | Примечание |
| 1001 | 4 | int32 | 43823 | TIME_STAMP | Метка времени |
| 1002 | - | string | 43823 | LOGIN | Вход в систему |
| 1003 | 4 | IPv4 | 43823 | IP_SOURCE | Адрес отправителя |
| 1004 | 4 | IPv4 | 43823 | IP_DESTINATION | Адрес получателя |
| 1005 | - | string | 43823 | HOSTNAME/CNAME/SNI | Имя хоста/каноническое имя/индикация имени сервера |
| 1006 | - | string | 43823 | PATH | Переменная окружения |
| 1007 | - | string | 43823 | REFER | Заголовок запроса клиента |
| 1008 | - | string | 43823 | USER AGENT | Пользовательский агент |
| 1009 | - | string | 43823 | COOKIE | Ку́ки |
| 2000 | 8 | int64 | 43823 | SESSION_ID | Идентификатор сессии |
| 1010 | 8 | int64 | 43823 | LOCKED | Заблокированный |
| 1011 | 1 | int8 | 43823 | HOST_TYPE | Тип хоста |
| 1012 | 1 | int8 | 43823 | METHOD | Метод |
| 1013 | 2 | int16 | 43823 | PORT_SOURCE | Порт отправителя |
| 1014 | 2 | int16 | 43823 | PORT_DESTINATION | Порт получателя |
| 2016 | 2 | int16 | 43823 | BRIDGE_CHANNEL_NUM | Номер канала (vchannel) или моста. Если в конфигурации DPI настроены vchannel, то будет передаваться номер канала, иначе номер моста |
| 1024 | 2 | int16 | 43823 | CipherSuitesLen | Размер в байтах набора доступных методов шифрования CipherSuites в сообщении Client Hello |
| 1025 | - | raw | 43823 | CipherSuites | Массив CipherSuites в Client Hello (max 16 значений) |
| 58 | 2 | int16 | - | VlanId | VLAN |
| 59 | 2 | int16 | - | postVlanID | POST VLAN |
| 56 | 6 | mac_address | - | Source MAC Address | |
| 57 | 6 | mac_adress | - | Destination MAC Address | |
| 2017 | - | raw | 43823 | MPLS Labels | |
| 2018 | 4 | int32 | 43823 | TCP Sequence | |
Примечание:
LOCKED – битовая маска, содержит признак того, был ли ресурс заблокирован или переадресован (0x3 для HTTP, 0x1 для остального).
HOST_TYPE = 1 в случае HTTP, 2 - CNAME, 3 - SNI, 4 - QUIC.
METHOD = 1 - GET, 2 - POST, 3 - PUT, 4 - DELETE.
При включенном настроечном параметре "http_parse_reply=1" дополнительно будет передаваться информация из ответов на запросы. Связать их с ответами можно по идентификатору сессии SESSION_ID, учитывая порядок следования.
| Формат IPFIX шаблона экспорта Clickstream для ответов HTTP 1) | |||||
|---|---|---|---|---|---|
| № | Кол-во байт | Тип данных | IANA | Описание | Примечание |
| 1001 | 4 | int32 | 43823 | TIME_STAMP | Метка времени |
| 1002 | - | string | 43823 | LOGIN | Вход в систему |
| 1003 | 4 | IPv4 | 43823 | IP_SOURCE | Адрес отправителя |
| 1004 | 4 | IPv4 | 43823 | IP_DESTINATION | Адрес получателя |
| 1020 | 4 | int32 | 43823 | RESULT_CODE | Код результата |
| 1021 | 8 | int64 | 43823 | CONTENT LENGTH | Количество пересылаемых байт |
| 1022 | - | string | 43823 | CONTENT_TYPE | Тип передаваемых данных |
| 2000 | 8 | int64 | 43823 | SESSION_ID | Идентификатор сессии |
| 1023 | - | string | 43823 | LOCATION | |
| 2016 | 2 | int16 | 43823 | BRIDGE_CHANNEL_NUM | Номер канала (vchannel) или моста. Если в конфигурации DPI настроены vchannel, то будет передаваться номер канала, иначе номер моста |
| 58 | 2 | int16 | - | VlanId | VLAN |
| 59 | 2 | int16 | - | postVlanID | POST VLAN |
| 56 | 6 | mac_address | - | Source MAC Address | |
| 57 | 6 | mac_adress | - | Destination MAC Address | |
| 2017 | - | raw | 43823 | MPLS Labels | |
При включенном настроечном параметре "ssl_parse_reply=1" дополнительно будет передаваться информация из ответов на запросы. Связать их с ответами можно по идентификатору сессии SESSION_ID с учетом порядка следования.
| Формат IPFIX шаблона экспорта Clickstream для ответов по SSL/TLS, HTTPS 2) | |||||
|---|---|---|---|---|---|
| № | Кол-во байт | Тип данных | IANA | Описание | Примечание |
| 1001 | 4 | int32 | 43823 | TIME_STAMP | Метка времени |
| 1002 | - | string | 43823 | LOGIN | Вход в систему |
| 1003 | 4 | IPv4 | 43823 | IP_SOURCE | Адрес отправителя |
| 1004 | 4 | IPv4 | 43823 | IP_DESTINATION | Адрес получателя |
| 2000 | 8 | int64 | 43823 | SESSION_ID | Идентификатор сессии |
| 1030 | 2 | int16 | 43823 | SSL_VERSION | Версия SSL |
| 1031 | 2 | int16 | 43823 | CIPHER_SUITE | Набор шифров |
| 1032 | 1 | int8 | 43823 | COMPRESSION_METHOD | Метод сжатия |
| 2016 | 2 | int16 | 43823 | BRIDGE_CHANNEL_NUM | Номер канала (vchannel) или моста. Если в конфигурации DPI настроены vchannel, то будет передаваться номер канала, иначе номер моста |
| 58 | 2 | int16 | - | VlanId | VLAN |
| 59 | 2 | int16 | - | postVlanID | POST VLAN |
| 56 | 6 | mac_address | - | Source MAC Address | |
| 57 | 6 | mac_adress | - | Destination MAC Address | |
| 2017 | - | raw | 43823 | MPLS Labels | |
| 1011 | 1 | int8 | 43823 | type_host | |
| 1005 | - | string | 43823 | cname | |
Настройка экспорта метаданных
Экспорт метаданных других протоколов для СОРМ настраивается следующими параметрами:
ipfix_dev=em1 ipfix_meta_udp_collectors=1.2.3.4:1500,1.2.3.5:1501 ipfix_meta_tcp_collectors=1.2.3.6:9418 dbg_log_mask=0x80
где
- em1 – имя сетевого интерфейса для экспорта.
- ipfix_meta_udp_collectors – адреса UDP коллекторов.
- ipfix_meta_tcp_collectors – адреса TCP коллекторов.
- dbg_log_mask=0x80 – вывод статистической информации об экспорте в лог.
Форматы IPFIX шаблона экспорта метаданных
| Формат IPFIX шаблона экспорта метаданных SIP | |||||
|---|---|---|---|---|---|
| № | Кол-во байт | Тип данных | IANA | Описание | Примечание |
| 1001 | 4 | int32 | 43823 | TIME_STAMP | Метка времени |
| 1002 | - | string | 43823 | LOGIN | Вход в систему |
| 1003 | 4 | IPv4 | 43823 | IP_SRC | Адрес отправителя |
| 1004 | 4 | IPv4 | 43823 | IP_DST | Адрес получателя |
| 2000 | 8 | int64 | 43823 | SESSION_ID | Идентификатор сессии |
| 3000 | - | string | 43823 | MSG_CODE | Msg код |
| 3001 | 2 | int16 | 43823 | STATUS_CODE | Код состояния |
| 3002 | - | string | 43823 | URI | Унифицированный идентификатор ресурса |
| 3003 | - | string | 43823 | FROM | |
| 3004 | - | string | 43823 | TO | |
| 3005 | - | string | 43823 | CALLID | Идентификатор вызова |
| 3006 | - | string | 43823 | UAGENT | Клиентское приложение |
| 3007 | - | string | 43823 | CTYPE | Тип передаваемого контента |
| 3008 | - | string | 43823 | GATEWAYS | Список шлюзов |
| 58 | 2 | int16 | - | VlanId | VLAN |
| 59 | 2 | int16 | - | postVlanID | POST VLAN |
| 56 | 6 | mac_address | - | Source MAC Address | |
| 57 | 6 | mac_adress | - | Destination MAC Address | |
| 2017 | - | raw | 43823 | MPLS Labels | |
Примечание:
IP_SRC – IP_SOURCE.
IP_DST – IP_DESTINATION.
GATEWAYS – список шлюзов (IP или hostname), разделенных запятой.
| Формат IPFIX шаблона экспорта метаданных FTP | |||||
|---|---|---|---|---|---|
| № | Кол-во байт | Тип данных | IANA | Описание | Примечание |
| 1001 | 4 | int32 | 43823 | TIME_STAMP | Метка времени |
| 1002 | - | string | 43823 | LOGIN | Вход в систему |
| 1003 | 4 | IPv4 | 43823 | IP_SRC | Адрес отправителя |
| 1004 | 4 | IPv4 | 43823 | IP_DST | Адрес получателя |
| 2000 | 8 | int64 | 43823 | SESSION_ID | Идентификатор сессии |
| 3050 | - | string | 43823 | SERVER_NAME | Имя сервера |
| 3051 | - | string | 43823 | USER | Пользователь |
| 3052 | - | string | 43823 | PASSWORD | Пароль |
| 3053 | 1 | int8 | 43823 | MODE | Режим |
| 1020 | 4 | int32 | 43823 | RESULT CODE | Код результата |
| 58 | 2 | int16 | - | VlanId | VLAN |
| 59 | 2 | int16 | - | postVlanID | POST VLAN |
| 56 | 6 | mac_address | - | Source MAC Address | |
| 57 | 6 | mac_adress | - | Destination MAC Address | |
| 2017 | - | raw | 43823 | MPLS Labels | |
Примечание: поле MODE содержит тип FTP соединения : ( 0 - активный, 1 - пассивный ).
| Формат IPFIX шаблона экспорта метаданных мессенджеров (XMPP) | |||||
|---|---|---|---|---|---|
| № | Кол-во байт | Тип данных | IANA | Описание | Примечание |
| 1001 | 4 | int32 | 43823 | TIME_STAMP | Метка времени |
| 1002 | - | string | 43823 | LOGIN | Вход в систему |
| 1003 | 4 | IPv4 | 43823 | IP_SRC | Адрес отправителя |
| 1004 | 4 | IPv4 | 43823 | IP_DST | Адрес получателя |
| 2000 | 8 | int64 | 43823 | SESSION_ID | Идентификатор сессии |
| 3100 | - | string | 43823 | IM_LOGIN | |
| 3101 | - | string | 43823 | IM_PASSW | |
| 3102 | - | string | 43823 | IM_SCREEN_NAME | Экранное имя |
| 3103 | - | string | 43823 | IM_UIN | Универсальный интернет-номер |
| 3104 | 1 | int8 | 43823 | IM_PROTOCOL | Тип используемого протокола |
| 3105 | - | string | 43823 | IM_RECEIVERS | Получатель |
| 1020 | 4 | int32 | 43823 | RESULT_CODE | Код результата |
| 58 | 2 | int16 | - | VlanId | VLAN |
| 59 | 2 | int16 | - | postVlanID | POST VLAN |
| 56 | 6 | mac_address | - | Source MAC Address | |
| 57 | 6 | mac_adress | - | Destination MAC Address | |
| 2017 | - | raw | 43823 | MPLS Labels | |
Примечание: поле IM_PROTOCOL содержит тип используемого протокола: 0 -ICQ, 7 - XMPP, 106 - ZELLO/
| Формат IPFIX шаблона экспорта метаданных почтовых протоколов (POP,IMAP,SMTP) | |||||
|---|---|---|---|---|---|
| № | Кол-во байт | Т ип данных | IANA | Описание | Примечание |
| 1001 | 4 | int32 | 43823 | TIME_STAMP | Метка времени |
| 1002 | - | string | 43823 | LOGIN | Вход в систему |
| 1003 | 4 | IPv4 | 43823 | IP_SRC | Адрес отправителя |
| 1004 | 4 | IPv4 | 43823 | IP_DST | Адрес получателя |
| 2000 | 8 | int64 | 43823 | SESSION_ID | Идентификатор сессий |
| 3150 | - | string | 43823 | MAIL_SENDER | Отправитель |
| 3151 | - | string | 43823 | MAIL_RECEIVER | Получатель |
| 3152 | - | string | 43823 | MAIL_CC | Получатель копии |
| 3153 | - | string | 43823 | MAIL_SUBJECT | Тема письма |
| 3154 | - | string | 43823 | MAIL_SERVERS | Сервера |
| 3155 | - | string | 43823 | MAIL_REPLY | Ответы на сообщения |
| 3156 | 1 | int8 | 43823 | EVENT | Тип события |
| 3157 | 1 | int8 | 43823 | ATTACHMENT | Признак наличия вложения |
| 3158 | 1 | int8 | 43823 | MAIL_PROTOCOL | Почтовый протокол |
| 1020 | 4 | int32 | 43823 | RESULT_CODE | Код результата |
| 58 | 2 | int16 | - | VlanId | VLAN |
| 59 | 2 | int16 | - | postVlanID | POST VLAN |
| 56 | 6 | mac_address | - | Source MAC Address | |
| 57 | 6 | mac_adress | - | Destination MAC Address | |
| 2017 | - | raw | 43823 | MPLS Labels | |
Примечание: поле EVENT указывает тип события 1 - send, 2 - receive,
ATTACHMENT – признак наличия вложения: mail_protocol = 0 - smtp, 1 - pop3, 2 - imap.
| Формат IPFIX шаблона экспорта сырых нераспарсенных метаданных | |||||
|---|---|---|---|---|---|
| № | Кол-во байт | Т ип данных | IANA | Описание | Примечание |
| 1001 | 4 | int32 | 43823 | TIME_STAMP | Метка времени |
| 1002 | - | string | 43823 | LOGIN | Вход в систему |
| 1003 | 4 | IPv4 | 43823 | IP_SRC | Адрес отправителя |
| 1004 | 4 | IPv4 | 43823 | IP_DST | Адрес получателя |
| 2000 | 8 | int64 | 43823 | SESSION_ID | Идентификатор сессии |
| 2013 | 1 | int8 | 43823 | FLW_DIR | Направление пакета по интерфейсам |
| 2014 | 1 | int8 | 43823 | DIR_DATA | Направление пакета по сессии |
| 2015 | 2 | int16 | 43823 | VDPI_PROTO | Протокол, который определил dpi |
| 2900 | 2 | int16 | 43823 | META_PROTO | Внутренний идентификатор протокола |
| 2901 | - | string | 43823 | RAW_DATA | Сырые данные |
| 4 | 1 | int8 | - | protocolIdentifier | PROTOCOL |
| 7 | 2 | int16 | - | sourceTransportPort | |
| 11 | 2 | int16 | - | destinationTransportPort | |
| 6 | 2 | int16 | - | tcpControlBits | |
| 2018 | 4 | int32 | - | TCP Sequence | |
| 58 | 2 | int16 | - | VlanId | VLAN |
| 59 | 2 | int16 | - | postVlanID | POST VLAN |
| 56 | 6 | mac_address | - | Source MAC Address | |
| 57 | 6 | mac_adress | - | Destination MAC Address | |
| 2017 | - | raw | 43823 | MPLS Labels | |
Примечание:
- FLW_DIR – направление пакета по интерфейсам: 0 : subs -→ inet, 1 : inet -→ subs.
- DIR_DATA – направление пакета по сессии: для TCP 0 : клиент -→ сервер, 1 : сервер -→ клиент, для UDP - от кого первый пакет зафиксирован, тот и клиентом считается.
- VDPI_PROTO – протокол, определяющий dpi.
- META_PROTO – внутренний идентификатор протокола (3 - SIP, 4 - FTP, 5 - SMTP, 6 - POP3, 7 - IMAP, 8 - XMPP, 9 - ICQ, 10 - RSS, 11 - NNTP, 12 - H323, 13 - ZELLO).
- RAW_DATA – сырые данные.
Для агрегации "raw_data", "clickstream", "http_reply" и "ssl_reply" с данными по сессиям требуется дополнительная обработка или выполнение запроса по БД с ключом Session_ID, или поддержка в утилилите rcollector.
DNS
Экспорт DNS настраивается следующими параметрами:
ipfix_dev=em1 ipfix_dns_udp_collectors=1.2.3.4:1234 ipfix_dns_tcp_collectors=1.2.3.6:4567
где
- em1 – имя сетевого интерфейса для экспорта.
- ipfix_dns_udp_collectors – адреса UDP коллекторов.
- ipfix_dns_tcp_collectors – адреса TCP коллекторов.
Формат IPFIX шаблонов для IPV6 отличается форматом полей IP_SOURCE и IP_DESTINATION.
| № | Кол-во байт | Тип данных | IANA | Описание | Примечание |
|---|---|---|---|---|---|
| 1103 | 16 | IPv6 | 43823 | IP_SOURCE | Адрес отправителя |
| 1104 | 16 | IPv6 | 43823 | IP_DESTINATION | Адрес получателя |
| Формат IPFIX шаблона экспорта DNS | |||||
|---|---|---|---|---|---|
| № | Кол-во байт | Тип данных | IANA | Описание | Примечание |
| 1001 | 4 | int32 | 43823 | TIME_STAMP | Метка времени |
| 1002 | - | string | 43823 | LOGIN | Вход в систему |
| 1003 | 4 | IPv4 | 43823 | IP_SOURCE | Адрес отправителя |
| 1004 | 4 | IPv4 | 43823 | IP_DESTINATION | Адрес получателя |
| 1013 | 2 | int16 | 43823 | SOURCE PORT | |
| 1014 | 2 | int16 | 43823 | DESTINATION PORT | |
| 2000 | 8 | int64 | 43823 | SESSION_ID | Идентификатор сессии |
| 3200 | 1 | int8 | 43823 | UDP/TCP | Транспорт : 0 - UDP, 1 - TCP |
| 3201 | - | string | 43823 | DOMAIN | |
| 3202 | 2 | int16 | 43823 | RRCLASS | |
| 3203 | 2 | int16 | 43823 | RRTYPE | |
| 3204 | 4 | int32 | 43823 | TTL | |
| 3205 | - | raw | 43823 | RDATA | |
| 58 | 2 | int16 | - | VlanId | VLAN |
| 59 | 2 | int16 | - | postVlanID | POST VLAN |
| 56 | 6 | mac_address | - | Source MAC Address | |
| 57 | 6 | mac_adress | - | Destination MAC Address | |
| 2017 | - | raw | 43823 | MPLS Labels | |
Альтернативой является сохранение данных в локальном текстовом логе:
- ajb_save_dns – флаг записи в текстовый файл.
- ajb_dns_ftimeout – таймаут ( в минутах ) переключения на следующий файл.
- ajb_dns_bufsize – буфер записи в файл.
- ajb_dns_fsize – ограничение на размер файла.
- ajb_dns_path – путь к записывающему файлу.
Переключение на следующий файл происходит, когда размер файла достигнет ajb_dns_fsize или файл непустой и прошло время ajb_dns_ftimeout
ajb_save_dns_format : формат записи в текстовый файл
- "ts" – время.
- "ipsrc" – ip_source.
- "ipdst" – ip_destination.
- "ssid" – session_id.
- "login" – логин.
- "host" – name, которого запрашивали информацию.
- "rrtype" – RR types.
- "rrclass" – RR class.
- "ttl" – TTL.
- "rdlen" – размер rdata.
- "rdata" – ресурс.
- "psrc" – port source.
- "pdst" – port destination.
- "transport" – как пролучен DNS запрос.
По умолчанию: "ts:ssid:login:ipsrc:ipdst:psrc:pdst:transport:host:rrtype:rrclass:ttl:rdlen:rdata"