Proponuję wykonać plikc pcap w tcpdump a następnie otworzyć go w wireshark, i znaleźć podany numer (467) w sekcji template. Przykładowo może to być natThresholdEvent. Czyli trzeba dodać do pliku z opisem pól netflow w logstash (np \logstash\netflow\definitions\netflow.yaml) następujące wartości.
Code:
467:
- :string
- :natThresholdEvent