我正在尝试使用CERT工具来读取和解析IPFIX文件。文档说要从文件中获取“内部”模板,尽管每个与模板相关的调用似乎都需要模板ID(tid)或其他我没有的信息。这是一个彻头彻尾的鸡蛋问题,我似乎无法弄明白。想法?
答案 0 :(得分:1)
要从数据记录中识别模板,您需要查找Set ID。 Set ID将告诉您正在查看的记录是模板还是数据集。大于255的任何内容都是数据集。模板的Set Id在IPFIX中是2.(0到NetFlow v9,2种格式看似相似)。请参阅http://tools.ietf.org/html/rfc5101#section-3.3.2找到Set Id 2后,下一个字段应该是模板的TemplateId。
此Wiki页面显示了IPFIX数据包的示例。