Nfdump

Mise en place sur un routeur, répéter pour chaque interface intéressante :

ip flow-cache timeout active 5
ip flow-export source Loopback0
ip flow-export version 5 peer-as
ip flow-export destination 212.43.194.17 9995

interface GigabitEthernet0/3
  ip flow ingress ! or ip flow egress

Sur nuala, il faut un démon nfcapd par routeur, utiliser /usr/local/etc/rc.d/nfdump-dengar.sh ou copier ce fichier et y faire les modifications nécessaires pour un autre routeur.

Les démons nfcapd tournent sous utilisateur nfdump.

Les logs sont dans /var/clara_logs/nfdump.

Utiliser nfdump (syntaxe similaire à tcpdump) pour examiner les logs.

En cron, un script de nettoyage supprime les logs les plus anciens (la somme de tous les fichiers de logs ne devant pas dépasser le maximum indiqué dans ce script).

Il faut modifier ce script si vous ajoutez un routeur (sinon les logs vont remplir /var).

Exemple d'utilisation, lister les 10 IP qui génèrent le plus de traffic :

$ nfdump -r nfcapd.200510061300 -sip/bps -n5