YAF is nog 'n flow. Die projek prosesse pakkie data van PCAP dumpfiles soos gegenereer deur tcpdump of via live opname van 'n koppelvlak met behulp van PCAP in tweerigting vloei, dan uitvoer diegene vloei om ipfix Versameling prosesse of in 'n ipfix-gebaseerde lêer formaat. Uitset YAF se gebruik kan word met die kant vloei analise gereedskap en die NetSA Saamgevoeg Flow (NAF) tool chain.
YAF ondersteun ook gedeeltelike loonvrag capture - hierdie funksie is bedoel vir gebruik in "vaandel gryp" vir protokol verifikasie en teenwoordigheid diens opsporing en is tans eksperimentele.
Hoekom het die wêreld 'n ander netwerk vloei gebeurtenis generator nodig? YAF is bedoel as 'n eksperimentele implementering dop ontwikkelings in die IETF ipfix werkgroep, spesifiek tweerigting vloei verteenwoordiging en argiefmateriaal stoor formate. Dit is ontwerp om aanvaarbaar te voer as 'n vloei sensor op enige netwerk waarop wit-box vloei versameling met kommoditeit hardeware is gepas, maar werkinge tussen rou prestasie en duidelikheid van die ontwerp is oor die algemeen ten gunste van die laasgenoemde.
Die YAF tool chain bestaan tans uit twee gereedskap, YAF self, en yafscii, wat YAF uitset vat in ASCII-formaat.
Building
YAF vereis glad 2.4.7 of later. Let daarop dat glad is ook ingesluit in baie bedryfstelsel omgewings of hawens versamelings.
YAF vereis libairframe.
YAF vereis libfixbuf weergawe 0.7.0 of later.
YAF vereis libpcap.
Endace DAG leef insette ondersteuning vereis libdag. Gebruik die opsie with-dag te Configure om DAG ondersteuning moontlik te maak.
Die YAF aansoek etikettering funksionaliteit vereis die Perl gereelde uitdrukking biblioteek, PCRE. Hierdie biblioteek is beskikbaar by http://www.pcre.org.
Die YAF toepassings vereis ook die ingesluit libyaf biblioteek. libyaf implemente YAF lêer en netwerk I / O, pakkie dekodering, fragment vergadering, en vloei geslag. Hierdie biblioteek is gebou en geïnstalleer met die YAF tools verspreiding.
YAF gebruik 'n redelik standaard-autotools gebaseer bou stelsel. Die gebruiklike prosedure bou (Configure && maak && maak installeer) moet werk in die meeste omgewings. Let daarop dat YAF vind libfixbuf en libairframe met behulp van die pkg-config fasiliteit, sodat jy kan hê om die PKG_CONFIG_PATH veranderlike ingestel op die instel command line as hierdie biblioteke is geïnstalleer in 'n standaard ligging, anders as die voorvoegsel wat jy die installering van YAF self.
Bekende probleme
YAF 0.7.0 nie versoenbaar met vorige weergawes, want dit nie meer gebruik voorlopige inligting elemente vir die teenoorgestelde rigting van 'n biflow. YAF 0.7.0 moet gebruik word met 'n ipfix Versameling Proses wat PEN 29.305 gebruik vir omgekeerde inligting elemente. Vir uitvoer na wes, beteken dit dat die kant verpakker of rwipfix2silk nut moet gebou word teen
libfixbuf 0.7.0 of later.
Tans, die destinationTransportPort inligting element bevat ICMP tipe en kode inligting vir ICMP of ICMP6 vloei; dit is standaard en mag nie compatible met ander ipfix implementering wees.
Kommentaar nie gevind