[GTER] LOG's CGNAT Cisco ASR

Maicon R Fracasso fracassomaicon at gmail.com
Fri Apr 23 09:55:30 -03 2021 

Bom dia Michael.
Única forma de receber o port (no graylog) sem ser NULL, é usar o cgnat sem
BPA exemplo (ip nat settings pap limit 30), mas, com isso você irá receber
um fluxo gigante de log's, não vale a pena!
No GrayLog o inicio do bloco de portas é apresentado no campo
"nf_postnatportblockstart", mas faço uma observação, ele somente registra o
início do bloco, se você receber o bloco 1024 e precisar consultar a porta
1123, você vai precisar ter uma planilha com a tabela de blocos para se
localizar, o GrayLog não irá identificar a porta associada ao block_start.

Eu não encontrei nenhuma solução Open para esse fim, com o BPA.
Tivemos de escrever nossa própria ferramenta, coletor (beckend e frontend)

Abraços

Em qui., 22 de abr. de 2021 às 19:21, Michael Stein <michafelipe at hotmail.com>
escreveu:

> Boa noite,
> Bruno, da forma que voce esta utilizando esta rodando para mim... o
> problema que a informaçao esta pela metade, pode ver que os campos de port
> ficam como "null", alem disso fica dificil de fazer alguma consulta
> posterior sem ter o bloco exato..."mais trabalhoso".
>
> estou testando no NFDump, aparetemente o mesmo problema do graylog, mas ja
> estou chegando em uma correçao.
>
> se alguem tiver algum cenario que esteja rodando BPA e logando em alguma
> soluçao OPEN e puder compartilhar conosco...
>
>
> Att;
> Michael Stein
>
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de Bruno Viviani <
> bruno at semprenet.com.br>
> Enviado: quinta-feira, 22 de abril de 2021 14:29
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> gter at eng.registro.br>
> Assunto: Re: [GTER] LOG's CGNAT Cisco ASR
>
> Olá Maicon, utilizo o  graylog para coleta e armazenamento, com netflow v9
> udp.
>
> ip nat settings mode cgn
> ip nat settings pap limit 30 bpa set-size 1024
> ip nat log translations flow-export v9 udp destination x.x.x.x xxxx
> bind-only
>
> Print do log:
> https://www.linkpicture.com/view.php?img=LPic6081ce5c177281458732356
>
> att,
> Bruno Viviani
>
>
>
> Em qui., 22 de abr. de 2021 às 16:08, Maicon R Fracasso <
> fracassomaicon at gmail.com> escreveu:
>
> > Bruno,
> > Você disse em seu e-mail que grava LOG normalmente.
> >
> > Pode-nos informar as ferramentas para armazenar e o modo de export (você
> > exporta por FLOWs?) que usa para isso? observando-se a utilização CGNAT
> com
> > BPA
> >
> > Obrigado!
> >
> > --
> > Maicon Fracasso
> > CGR - AdylNet Telecom
> >
> > Em qui., 22 de abr. de 2021 às 14:55, Bruno Viviani <
> > bruno at semprenet.com.br>
> > escreveu:
> >
> > > Não seria versão de soft do cisco com algum bug?
> > > Aqui gravo log normalmente, versao Cisco IOS XE Software, Version
> > > 03.16.07b.S - Extended Support Release
> > >
> > > att,
> > > Bruno Viviani
> > >
> > >
> > >
> > > Em qui., 22 de abr. de 2021 às 11:18, Maurício de Souza <
> > > mauricio.souza1976 at gmail.com> escreveu:
> > >
> > > > Estou com o mesmo problema. Já tentei com graylog e outra solução.
> Mas
> > os
> > > > loga.do ASR 1001 vem todos com caracteres estranhos.
> > > >
> > > > Em ter, 20 de abr de 2021 2:31 PM, Michael Stein <
> > > michafelipe at hotmail.com>
> > > > escreveu:
> > > >
> > > > > Boa tarde,
> > > > >
> > > > > Alguem tem a soluçao para este problema em questao?
> > > > >
> > > > >
> > > > > Att;
> > > > >
> > > > > Michael Stein
> > > > >
> > > > > ________________________________
> > > > > De: gter <gter-bounces at eng.registro.br> em nome de tiago martini <
> > > > > tiago at martiniti.com.br>
> > > > > Enviado: quinta-feira, 4 de março de 2021 15:15
> > > > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> > > > > gter at eng.registro.br>
> > > > > Assunto: Re: [GTER] LOG's CGNAT Cisco ASR
> > > > >
> > > > > Pessoal, estou com sintoma parecido aqui.. Conseguiram contornar de
> > > > alguma
> > > > > forma, tendo em vista que o modo "syslog" faz com que o
> processamento
> > > da
> > > > > caixa dispare?
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > Atenciosamente,
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >        Tiago Martini
> > > > >
> > > > >       MARTINI TI
> > > > >
> > > > >        Consultoria em Redes, Servidores e ISPs
> > > > >
> > > > >        (51) 98654-1890
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > ---- Ativado Qui, 28 jan 2021 17:24:57 -0300 Wagner Bento <
> > > > > wagner at seanet.com.br> escreveu ----
> > > > >
> > > > >
> > > > > Aqui também tenho essas linhas no meu:
> > > > >
> > > > > parameter-map type inspect global
> > > > >  log flow-export v9 udp destination IP-SERVER PORTA
> > > > >  log flow-export template timeout-rate 1
> > > > > multilink bundle-name authenticated
> > > > >
> > > > >
> > > > > Atenciosamente.
> > > > >
> > > > >
> > > > > Em qui., 28 de jan. de 2021 às 15:04, Maicon R Fracasso <
> > > > > mailto:fracassomaicon at gmail.com> escreveu:
> > > > >
> > > > > > Olá a todos.
> > > > > >
> > > > > > Estou tendo alguns problemas quanto à exportação de flows CGNAT
> em
> > > > caixas
> > > > > > cisco ASR 1002 e 1006.
> > > > > > Ocorre que, os dados coletados pela ferramenta retornam campos
> > nulos,
> > > > > mais
> > > > > > especificamente, port e nf_dst.
> > > > > >
> > > > > > -----
> > > > > > NetFlowV9 [100.64.206.254]:null <> [null]:null proto:1 pkts:0
> > bytes:0
> > > > > >
> > > > > > nf_dst
> > > > > > null:null
> > > > > > -----
> > > > > >
> > > > > > Esta Ferramenta (graylog) já está em produção e funcionando bem
> com
> > > > > caixas
> > > > > > de outras fabricantes, somente com cisco ASR isso ocorre.
> > > > > >
> > > > > > Faço o export dos log's no ASR com a seguinte linha:
> > > > > > ip nat log translations flow-export v9 udp destination x.x.x.x
> 2055
> > > > > source
> > > > > > Loopback0 bind-only
> > > > > >
> > > > > > Alguém já passou por algo parecido?
> > > > > >
> > > > > > Abaixo informações de meu cenário:
> > > > > > - graylog-plugin-netflow 0.1.1
> > > > > > - graylog-server 4.0.2-1
> > > > > > - elasticsearch 6.8.13
> > > > > > - Cisco ASR1002
> > > > > > - Cisco ASR1006
> > > > > >
> > > > > > --
> > > > > > Maicon
> > > > > > --
> > > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > > --
> > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list