如何使用libfixbuf从IPFIX文件中检索模板？

Question

我正在尝试使用CERT工具来读取和解析IPFIX文件。文档说要从文件中获取“内部”模板，尽管每次与模板相关的调用似乎都需要一个模板id (tid)或其他我没有的信息。这完全是一个先有鸡还是先有蛋的问题，我似乎弄不明白。有什么想法？

Answer 1

要从数据记录中识别模板，您需要查找集合ID。集合ID将告诉您正在查看的记录是模板还是数据集。任何大于255的值都是数据集。一个模板的集合Id在IPFIX中是2。(从0到NetFlow v9，这两种格式看起来很相似)。查看https://www.rfc-editor.org/rfc/rfc5101#section-3.3.2一旦找到集合Id 2，模板的下一个字段就应该是TemplateId。

此维基页面显示了IPFIX数据包的一个示例。

http://en.wikipedia.org/wiki/IP_Flow_Information_Export