Februar 26

Spikes/Peaks im Netflow mit NfSen bei Mikrotik Routern

Ich hatte kürzlich einen Mikrotik Router in mein Netflow eingebunden,
welcher mit Netflow v9 exportieren sollte.
Anfangs sah das auch ganz vernünftig aus, allerdings hat sich nach kurzer
Zeit ein merkwürdiges Bild ergeben:

netflow fehler

Die roten Peaks waren definitiv falsch.
Nachdem der erste Verdacht, dass es an v9 liegt, widerlegt werden konnte (mit netflow v5
zeigte sich ein ähnliches Bild), testeten wir das Konstrukt an einem anderen Netflow,
um einen (Konfigurations-)Fehler im NfSen bzw. nfcapd auszuschließen.

Aber auch in der anderen Netflow Instanz zeigten sich diese falschen Spitzen.
Ich wurde schließlich durch einen Beitrag im Cisco Forum auf den Parameter
„Active Flow Timeout“ aufmerksam.

Der „Fehler“ war schließlich der default Wert im Mikrotik – der Active Flow Timeout
steht dort standardmäßig auf 30 Minuten. NfSen wertet allerdings alle 5 Minuten aus.

Dadurch hat der Collector alle 30 Minuten (bzw. alle 6 Durchläufe) einen haufen Flows vom Router
bekommen, die sich in dieser Zeit angesammelt haben.

Die Lösung ist denkbar einfach: Im Router (das kann letztlich auch ein anderer,
als ein Mikrotik sein) muss der Active Flow Timeout auf den Wert eingestellt sein,
in dessen Intervall der Netflow Collector auswertet.
Bei NfSen also 5 Minuten, beim NetFlow Analyzer sogar nur 1 Minute.

Bei Cisco Geräten lautet der entsprechende Eintrag übrigens „ip flow-cache timeout active 5“
für einen Timeout von 5 Minuten.


Schlagwörter: ,

Veröffentlicht26. Februar 2016 von gerger in Kategorie "Allgemein

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.