不接收netflow v9，v5 works - Juniper

Question

我们有一个ELK堆栈运行，它收集数据并对其进行处理，最终用户可以将数据可视化。

现在我们正在处理Syslog和Netflow，但是在netflow方面遇到了一些问题。我们目前已经将netflow版本5配置为发送到udp端口2222上的远程服务器，并且运行良好。

正如您可能知道的，版本5已经很老了，并且没有版本9那么多，所以我们决定配置我们的设备来发送netflow v9。什么都没进来！

是什么导致了这一切？版本5工作正常，但我们无法接收到版本9的netflow。

      family inet {
          output {
              flow-server **.**.**.** {
                  port 2222;
                  version9 {
                      template {
                          ELK;
                      }
                  }
              }



services {
  flow-monitoring {
      version9 {
          template ELK {
              ipv4-template;
          }
      }
  }

}

Answer 1

列出的三个必要部分中有两个，它们看上去还行。第三部分需要“转发选项”，它告诉Juniper是否以及如何采样数据包以生成流(这是v5不需要的)。您还需要告诉Juniper要监视流的接口。监视入口数据包的命令如下所示：

set interfaces ge-0/0/14 unit 0 family inet sampling input

不久前，我写了一篇博客文章，通过在Juniper 这里上设置NetFlow v9 (严格意义上说是J-Flow)，我认为这会很有用。

还有一件事要提到:我以前见过路由器不会将流记录发送到多个源的问题。如果v5流仍然处于活动状态，我将尝试关闭它，以查看v9是否恢复。

(编辑补充:在做任何严肃的工作之前，花时间检查防火墙和连接也是值得的。)你可能已经做过了，但是提出来一点也不痛.