YAF er Yet Another Målere. Prosjektet behandler pakkedata fra PCAP dumpfiles som genereres av tcpdump eller via live-fangst fra et grensesnitt ved hjelp pcap inn toveis strømmer, eksporterer da disse strømmer til IPFIX Samle prosesser eller i en IPFIX-basert filformat. YAF utgang kan brukes sammen med silke strømnings analyseverktøy og NetSA Aggregerte Flow (NAF)-verktøyene.
YAF støtter også delvis nyttelast capture - denne funksjonen er beregnet for bruk i "banner gripe tak" for protokollen verifikasjon og deteksjon tjenesten tilstedeværelse, og er i dag eksperimentell.
Hvorfor verden trenger et annet nettverk flyt event generator? YAF er ment som en eksperimentell implementering sporing utviklingen i IETF IPFIX arbeidsgruppen, spesielt toveis flyt representasjon og arkivlagringsformater. Den er designet for å utføre akseptabelt som en flyt sensor på alle nettverk som white-box flyt samling med råvare hardware er hensiktsmessig, men avveininger mellom rå ytelse og klarhet av design har generelt blitt gjort i favør av sistnevnte.
Den YAF-verktøyene for tiden består av to verktøy, yaf seg selv, og yafscii, som konverterer yaf utgang til ASCII-format.
Bygning
YAF krever glib 2.4.7 eller nyere. Merk at glib er også inkludert i mange driftsmiljøer eller havner samlinger.
YAF krever libairframe.
YAF krever libfixbuf versjon 0.7.0 eller nyere.
YAF krever libpcap.
Endace DAG leve innspill støtte krever libdag. Bruk --with-dag muligheten til å ./configure aktivere DAG støtte.
Den YAF søknad merking funksjonalitet krever Perl regulært uttrykk bibliotek, PCRE. Dette biblioteket er tilgjengelig på http://www.pcre.org.
De YAF programmer krever også inkludert libyaf biblioteket. libyaf implementerer YAF fil og nettverk I / O, pakke dekoding, fragment montering, og flyt generasjon. Dette biblioteket er bygget og installert med YAF verktøy distribusjon.
YAF bruker en rimelig standard Autotools-baserte build system. Den vanlige build prosedyre (./configure && gjøre && make install) skal fungere i de fleste miljøer. Merk at YAF finner libfixbuf og libairframe bruker pkg-config-anlegget, slik at du kan ha til å sette PKG_CONFIG_PATH variabelen på konfigurere kommandolinjen hvis disse bibliotekene er installert i et ikke-standard sted, annet enn prefikset som du installerer YAF selv.
Kjente problemer
YAF 0.7.0 ikke fungere sammen med tidligere versjoner, fordi det ikke lenger bruker midlertidige informasjonselementer for motsatt retning av en biflow. YAF 0.7.0 må brukes med en IPFIX Collecting Process som bruker PEN 29305 for omvendt informasjonselementer. For eksport til silke, innebærer dette at silke pakning eller rwipfix2silk verktøyet må bygges mot
libfixbuf 0.7.0 eller nyere.
For tiden inneholder ICMP type og kodeinformasjon for ICMP eller ICMP6 renner destinationTransportPort informasjon element; dette er ikke-standard, og kan ikke brukes sammen med andre IPFIX implementeringer.
Kommentarer ikke funnet