YAF

YAF ще один витратомір. Проект процесів пакетної передачі даних з файлів дампов PCAP, як генерується ТСРйітр або через живий захоплення з інтерфейсом за допомогою PCAP в двонапрямлених потоків, потім експортує ці потоки, щоб IPFIX Збір процесів або у форматі файлу IPFIX основі. Вихід YAF можуть бути використані з інструментами аналізу потоків шовку і NetSA Сукупний потік (НВС) набору інструментів.
YAF також підтримує часткову захоплення корисного навантаження - ця функція призначена для використання в "банер захоплення" для перевірки протоколів і виявлення присутності послуги, і в даний час експериментальної.
Чому світ потрібен ще один генератор подій мережевого потоку? YAF призначений в якості експериментальних розробок стеження реалізація в робочій групі IETF IPFIX, подання спеціально двонаправленого потоку і архівних форматів зберігання даних. Він призначений для виконання прийнятно як датчика витрати на будь-якій мережі, в якій збір білого ящика потік з використанням обладнання підходить, але компроміс між чистої продуктивності і ясності дизайну, як правило, був зроблений на користь останнього.
YAF набору інструментів в даний складається з двох інструментів, YAF сам, і yafscii, який перетворює вихідний YAF у форматі ASCII.
Будівля
YAF потрібно жвавий 2.4.7 або пізнішої версії. Зверніть увагу, що GLib також включені в багатьох операційних середовищ або порти колекції.
YAF потрібно libairframe.
YAF потрібно libfixbuf версії 0.7.0 або пізнішої версії.
YAF потрібно Libpcap.
Endace ДАГ жити введення даних потрібно libdag. Використовуйте опцію --with-Даг в ./configure, щоб включити підтримку DAG.
Функціональність програми маркування YAF вимагає бібліотеку регулярних виразів Perl, PCRE. Ця бібліотека доступна на http://www.pcre.org.
Додатки YAF також вимагають включений libyaf бібліотеку. libyaf реалізує YAF файл і мережі виведення, пакет декодування, збірки I / фрагмент і покоління текти. Ця бібліотека створена і встановлена ​​з розподілом YAF інструментів.
YAF використовує досить стандартний Autotools основі системи збірки. Прийнято процедура складання (./configure && && зробити зробити установку) повинні працювати в більшості середовищ. Зверніть увагу, що YAF знаходить libfixbuf і libairframe допомогою об'єкта PKG-конфігурації, так що ви, можливо, доведеться встановити змінну PKG_CONFIG_PATH в командному рядку, якщо налаштувати ці бібліотеки встановлені в нестандартному місці, крім префікса, який ви встановлюєте сам ЯФ.
Відомі Проблеми
YAF 0.7.0 НЕ НЕ взаємодіяти з попередніми версіями, тому що він більше не використовує тимчасові інформаційні елементи для зворотного напрямку в biflow. YAF 0.7.0 повинні бути використані з процесу збору IPFIX, який використовує PEN 29305 для зворотних інформаційних елементів. Для експорту в шовк, це означає, що шовк пакувальник або rwipfix2silk утиліта повинна бути побудована на
libfixbuf 0.7.0 або пізнішої версії.
В даний час інформаційний елемент містить destinationTransportPort ICMP типу та коду ICMP інформацію або ICMP6 потоків; це нестандартне і не може бути сумісний з іншими реалізаціями IPFIX.