NfDump的obyt是什么意思?
NfDump What is the meaning of obyt?
根据我找到的 NfDump 文档,obyt 是输出字节数。
这是什么意思?
在我所有的数据中, obyt 等于 0 。这是否意味着所有数据包都被丢弃了?
不,这很可能意味着您正在查看 uniflows -- NfDump 分别报告对话的两半(这是 NetFlow 的典型特征),因此您正在寻找的字节数要么是在 "ibyts" 或只是 "byts"。 (顺便说一句,数据包有相应的计数)
如果您想计算出在每个方向上传递了多少字节,那么,您需要匹配 uniflow 的一半。因此,假设您正在查看主机 (IP A) 向 IP B 发出单个 Web 请求。您应该在转储中看到两个条目:第一个是源地址 IP A,源端口在临时范围内(例如,45678)到目标地址 IP B 和目标端口 80,在协议 TCP 上,发送少量数据包和字节。第二个是完全相反的,源地址 B 和源端口 80 到 TCP 上的目标地址 A 和目标端口 45678,发送可能更多的数据包和字节。您使用源 IP、源端口、目标 IP、目标端口和协议来匹配两半(另请注意,它们在开始时间上也应该相似,但可能不会完全相同)
根据我找到的 NfDump 文档,obyt 是输出字节数。
这是什么意思? 在我所有的数据中, obyt 等于 0 。这是否意味着所有数据包都被丢弃了?
不,这很可能意味着您正在查看 uniflows -- NfDump 分别报告对话的两半(这是 NetFlow 的典型特征),因此您正在寻找的字节数要么是在 "ibyts" 或只是 "byts"。 (顺便说一句,数据包有相应的计数)
如果您想计算出在每个方向上传递了多少字节,那么,您需要匹配 uniflow 的一半。因此,假设您正在查看主机 (IP A) 向 IP B 发出单个 Web 请求。您应该在转储中看到两个条目:第一个是源地址 IP A,源端口在临时范围内(例如,45678)到目标地址 IP B 和目标端口 80,在协议 TCP 上,发送少量数据包和字节。第二个是完全相反的,源地址 B 和源端口 80 到 TCP 上的目标地址 A 和目标端口 45678,发送可能更多的数据包和字节。您使用源 IP、源端口、目标 IP、目标端口和协议来匹配两半(另请注意,它们在开始时间上也应该相似,但可能不会完全相同)