我想将nfcapd(一个产生netflow的守护程序)生成的文件拆分为多个文件,因为最初由nfcapd生成的文件可能太大。
我的问题是我不知道生成的文件的结构是什么,我想有一个标头,然后是一个网络流列表,但是我不知道标头在哪个字节结束,字节在哪个字节开始并结束净流,如果有页脚,则结束。
我试图通过阅读github上的源C代码来理解它,但是由于我并不是C语言中的野兽,所以我很难理解。
起初,我认为nfdump可以通过一次读取初始文件中的多个netflow来解决我的问题,但是没有内置方法可以执行此操作,您可以使用nfdump读取前N个Netflow,但是您可以不能从1到N再从N到N + N,则只能从1读到N。
如果有人知道将这些二进制文件拆分为nfdump可以使用的多个文件的方法,我真的很想知道。
答案 0 :(得分:0)
您可以使用-t参数将时间间隔设置为小于5分钟(这是默认值)。这是从头开始创建较小文件的方法。 例如: nfcapd -w 1 -l -p -t 60
请注意,-w应该相应地设置: 如果-t为60(秒) -w应该为1(分钟)
这里还有更多:https://manpages.debian.org/testing/nfdump/nfcapd.1.en.html