Re, Le format standard d'export est la base de netflow v5. En netflow v9 tu vas définir les champs à exporter via des aggregations de "primitives" en pmacct et un Template dans nprobe, c'est le même principe.
Liste des primitives standards pmacct : https://github.com/pmacct/pmacct/blob/541498768716427663891d4362bf5c35a2c4374e/CONFIG-KEYS#L50 Liste des champs de template nprobe : https://www.ntop.org/guides/nprobe/cli_options.html#netflow-v9-ipfix-format-t Des moteurs complémentaires de DPI peuvent te permettre d'enrichir les flux avec une reconnaissance applicative des flux. Cordialement, Laurent DURU Le lun. 9 janv. 2023 à 12:44, sbu sbu <sbu12...@gmail.com> a écrit : > Bonjour, > Pour des raisons de contrôle d'accès aux datas le puits de log sera dédié > à ce service. > Sinon pour ma culture personnel, avec pmacct et nprobetu peux customiser > les champs d'info, ou bien il faut passer par autre chose, une couche > supplémentaire? > ?cdt > SBU > > > Le lun. 9 janv. 2023 à 12:16, Laurent DURU <laurent.d...@gmail.com> a > écrit : > >> Bonjour, >> >> Si on met de côté les solutions des éditeurs/constructeurs Gigamon like, >> nous avons mis en place et éprouvé pmacct et nprobe (avec ZC). >> Ce sont des solutions hyper low cost, le coût sera lié au hardware qu'il >> faut mettre en œuvre pour supporter 10G de trafic. Il faut aussi une >> solution hardware avec 20 ports 10Gbps pour collecter tes 10 TAP FO. >> >> As-tu prévu d'avoir des sources type log firewall dans ton puit de stats >> ? Dans ce cas, une normalisation des champs d'information est à prévoir >> pour pouvoir consommer indifféremment les différentes sources. >> >> Cordialement, >> >> Laurent DURU >> >> >> Le ven. 6 janv. 2023 à 17:55, sbu sbu <sbu12...@gmail.com> a écrit : >> >>> Bonjour, >>> Je suis à la recherche d'une solution qui saurait prendre du PCAP en >>> entrée >>> (10 x TAP optique 10G mono et multi) et le convertir en Flow. pour >>> l'envoyer vers un seul puits de stats. >>> J'ai bien pensé à prendre des switch mais ceux que j'ai, ont besoin d'une >>> licence pour le flow, que je n'ai pas, qui coûte un bras. Et je ne suis >>> même pas certain de pouvoir récupérer le flux des Tap et le NetFlowiser. >>> En gros l'idéal serait des Gigamon lite pour ceux qui connaissent, sans >>> les fonctions des flux metadata et pour beaucoup mon cher. >>> Pour info ce constructeur me propal plus de 200k€ sur 3 ans (achat + >>> support de 2 boites)... (volume de data 10G en burste sur l'aggregation >>> des >>> 10 points de collecte) >>> Si quelqu'un à déjà utilisé d'autre techno basique ou on intervient >>> uniquement sur l'échantillonnage. Solution hardware, boîtier matriciel >>> comme les Gigamon ou single ou même une solution software qui fonctionne, >>> je suis preneur du retour d'expérience. >>> cdt >>> SBU >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
