+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: Logstash (https://monitoringserwerow.pl/forumdisplay.php?fid=20)
+--- Thread: problem z netflow na checkpoint (/showthread.php?tid=94)
problem z netflow na checkpoint - adamwolny - 05-07-2020
Dzień dobry,
Mam taki dziwny objaw z ruchem netflow przychodzącym z routera checkpoint. Problem wystąpił po aktualizacji jednego routera do nowszej wersji.
Code:
[WARN ][logstash.codecs.netflow ] Unsupported field in template 256 {:type=>467, :length=>4}
[WARN ][logstash.codecs.netflow ] Can't (yet) decode flowset id 256 from source id 0, because no template to decode it with has been received. This message will usually go away after 1 minute.Wbrew komunikatowi problem nie ustępuje. Przestałem tez otrzymywać dane z tego routera.
RE: problem z netflow na checkpoint - WojciechG - 05-07-2020
Proponuję wykonać plikc pcap w tcpdump a następnie otworzyć go w wireshark, i znaleźć podany numer (467) w sekcji template. Przykładowo może to być natThresholdEvent. Czyli trzeba dodać do pliku z opisem pól netflow w logstash (np \logstash\netflow\definitions\netflow.yaml) następujące wartości.
Code:
467:
- :string
- :natThresholdEvent