YAF עדיין מד זרימה נוסף. הפרויקט מעבד נתוני מנות מdumpfiles PCAP שכנוצר על ידי tcpdump או באמצעות לכידת חיות מממשק באמצעות PCAP לתזרימי דו-כיווניים, ואז מייצא תזרימי אלה לתהליכי איסוף IPFIX או בפורמט קובץ מבוסס IPFIX. הפלט של YAF ניתן להשתמש בכלי ניתוח זרימת המשי וtoolchain NetSA מצטבר זרימה (NAF).
YAF תומך גם לכידת מטען חלקית - תכונה זו מיועדת לשימוש ב" הדגל תופס "לאימות פרוטוקול וזיהוי נוכחות שירות, וכיום ניסיוני.
מדוע העולם אינו צריך עוד מחולל אירוע זרימת רשת? YAF נועד כהתפתחויות ניסיוניות מעקב יישום בקבוצת העבודה IETF IPFIX, זרימה דו-כיוונית וייצוג במיוחד פורמטי אחסון ארכיונים. זה נועד כדי לבצע מקובל כחיישני זרימה בכל רשת שבו זרימת אוסף קופסא לבנה עם חומרת סחורות הוא מתאים, אבל פשרות בין ביצועים ובהירות של עיצוב גלם בדרך כלל נעשו לטובת האחרונה.
Toolchain YAF כיום מורכב משני כלים, yaf עצמו, וyafscii, אשר ממיר פלט yaf לפורמט ASCII.
בנייה
YAF דורש 2.4.7 חלקלק או במאוחר. הערה חלקלקה שנכלל גם בהרבה סביבות הפעלה או אוספי יציאות.
YAF דורש libairframe.
YAF דורש libfixbuf גרסת 0.7.0 או במאוחר.
YAF דורש libpcap.
Endace DAG לחיות תמיכת קלט דורשת libdag. השתמש באפשרות --with-דאג ל./configure כדי לאפשר תמיכת DAG.
פונקציונלי תיוג יישום YAF דורש ספריית הביטוי הרגילה פרל, PCRE. ספרייה זו זמינה בhttp://www.pcre.org.
יישומי YAF גם דורשים ספריית libyaf הכלולה. libyaf מיישם קובץ YAF ורשת I / O, הרכבה בר מנות פענוח, ולזרום דור. ספרייה זו היא בנויה ומותקן עם הפצת הכלים YAF.
YAF משתמש במערכת לבנות מבוסס autotools סטנדרטית למדי. הליך הבנייה המקובל (./configure && לעשות && make install) צריך לעבוד ברוב הסביבות. שים לב שYAF מוצא libfixbuf וlibairframe שימוש במתקן pkg-config, ולכן ייתכן שתצטרך להגדיר את המשתנה PKG_CONFIG_PATH בשורת הפקודה להגדיר אם ספריות אלה מותקנות במיקום לא סטנדרטי, מלבד הקידומת שאתה מתקין YAF עצמו.
בעיות מוכרות
0.7.0 YAF לא במשולב עם גרסאות קודמות, כי זה כבר לא משתמש באלמנטי מידע זמניים לכיוון ההפוך של biflow. YAF 0.7.0 יש להשתמש בתהליך איסוף IPFIX המשתמש PEN 29,305 לאלמנטי מידע הפוכים. ליצוא למשי, זה מרמז על כך ששירות פקר משי או rwipfix2silk חייב להיות בנוי נגד
libfixbuf 0.7.0 או במאוחר.
נכון להיום, רכיב מידע destinationTransportPort מכיל מידע סוג וקוד ICMP ICMP או לICMP6 זורם; זה לא סטנדרטי ולא יכול להיות לשימוש עם יישומים אחרים IPFIX.
תגובות לא נמצא