Блог

Я хочу разделить файлы, созданные nfcapd (демоном, создающим netflow), на несколько файлов, потому что файл, изначально созданный nfcapd, может быть слишком большим.

Моя проблема в том, что я понятия не имею, какова структура создаваемых файлов, я полагаю, что есть заголовок, а затем список netflows, но я не могу понять, на каком байте заканчивается заголовок и на каком байте начинается и заканчивается netflow, и есть ли нижний колонтитул.

Я пытался понять это, прочитав исходный код C на github, но поскольку я на самом деле не зверь в C, мне довольно сложно понять.

Сначала я думал, что nfdump может решить мою проблему, прочитав несколько сетевых потоков одновременно в исходном файле, но для этого нет встроенного способа. вы можете использовать nfdump для чтения первых N сетевых потоков, но вы не можете перейти от 1 к N, затем от N к N N, вы можете читать только от 1 до N.

Если кто-нибудь знает способ разбить эти двоичные файлы на несколько файлов, которые могут быть использованы nfdump, я действительно хотел бы это знать.

вы можете установить интервал времени менее 5 минут (который используется по умолчанию), используя параметр -t . Это способ создания файлов меньшего размера из advance. Например: nfcapd -w 1 -l -p -t 60

Пожалуйста, обратите внимание, что значение -w должно быть установлено соответствующим образом: если значение -t равно 60 (секундам), то значение -w должно быть равно 1 (минуте)

здесь есть еще кое-что: https://manpages .debian.org/testing/nfdump/nfcapd.1.en.html