
平台论坛博客文库

› 论坛 › IT运维 › 网络技术 › 请教思科netflow中时间的解释

请教思科netflow中时间的解释 [复制链接]

Magicloud

小富即安

论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2012-06-11 17:22 |只看该作者 |倒序浏览

本帖最后由 Magicloud 于 2012-06-11 17:44 编辑

通过nfdump和snmp（net flow mib），都可以获取关于流量的信息，但对比分析，发现若干不解。
例如`nfdump -s record/bytes -r nfcapd.201206111545`给出：
Aggregated flows 8394
Top 10 flows ordered by bytes:
Date flow start Duration Proto Src IP Addr

ort Dst IP Addr

ort Packets Bytes Flows
2012-06-11 15:47:37.633 28.504 TCP       10.3.1.52:389 ->       10.9.6.37:1863    5499 7.8 M    1
而cache timeout为1分钟的snmp历史给出（抓取于2012-06-11 15:47:48.660194）：
id |  idx | src_address_type | src_address | src_address_mask | dst_address_type | dst_address | dst_address_mask | nh_address_type |  nh_address  | src_port | dst_port | src_a_s | dst_a_s | input_if_index | output_if_index | first_switched | last_switched | tos | protocol | tcp_flags | sampler_i_d | class_i_d | flags |  bytes  | packets

3228843 | 110872 |             1 | 10.3.1.52 |             16 |             1 | 10.9.6.37 |             22 |             1 | 10.9.255.245 |    389 |    1863 |    0 |    0 |             4 |             1 |    3971481132 | 3971491992 | 0 |       6 |       26 |          0 |       0 |    0 | 2901954 | 2037
且不考虑两者流量的差异（我理解可能此一分钟外，此连接流量未能进入前30）。first/last switched（3971481132 ／ 3971491992）如何解释？首先两者差值无论如何放缩都不等于28.504，另外按snmp timeticks的定义，3971481132应该解释为459天多，那它是以什么为基础时间的呢？既不是epoch也不是系统uptime……

文库|博客

返回列表

Chinaunix › 论坛 › IT运维 › 网络技术 › 请教思科netflow中时间的解释