problem z netflow na checkpoint

[adamwolny]

Dzień dobry,
Mam taki dziwny objaw z ruchem netflow przychodzącym z routera checkpoint. Problem wystąpił po aktualizacji jednego routera do nowszej wersji.

Code:

[WARN ][logstash.codecs.netflow  ] Unsupported field in template 256 {:type=>467, :length=>4}
[WARN ][logstash.codecs.netflow  ] Can't (yet) decode flowset id 256 from source id 0, because no template to decode it with has been received. This message will usually go away after 1 minute.

Wbrew komunikatowi problem nie ustępuje. Przestałem tez otrzymywać dane z tego routera.

[WojciechG]

Proponuję wykonać plikc pcap w tcpdump a następnie otworzyć go w wireshark, i znaleźć podany numer (467) w sekcji template. Przykładowo może to być natThresholdEvent. Czyli trzeba dodać do pliku z opisem pól netflow w logstash (np \logstash\netflow\definitions\netflow.yaml) następujące wartości.

Code:

467:
- :string
- :natThresholdEvent