Recent Changes - Search:
DocCollecteur /

La commande netMATfilter

La commande est une variante de la commande netMETexp intégrant une expression de filtrage sur les différentes caractéristiques des flux. Elle remplace avantageusement une commande netMETexp "pipée" avec une commande grep. L'affichage a le même format que l'affichage de netMETexp, y compris les trois premières valeurs correspondant aux dates et à la durée de collecte.

Affichage des adresses sources et destinations

La commande 

 netMATfilter -e|--FILTER  expression  -H|--HOSTaccprint  fichier_de_collecte...  [-f|--ORGAfile organismes]  [-c|--CUMULaccprint]

affiche sur la sortie standard la table obtenue par «fusion» des fichiers en arguments en ne retenant que les flux correspondant à l'expression de filtrage. L'affichage commence par trois lignes contenant la date (en secondes depuis EPOCH) de début de la (première) collecte, la date du dernier «dump» et la durée (cumulée) de collecte.

L'option --ORGAfile ne doit être présente que si le filtre contient au moins un nom d'organisme. Ce nom doit bien entendu figurer dans le fichier organismes.

Qu'un nom d'organisme figure ou pas dans le filtre, chaque entrée de la table est listée sous la forme 

 adresse_IP_source adresse_IP_destination [service/protocole](nbre octets) ...

Si l'option --CUMULaccprint est utilisée, le détail des volumes par service/protocole est remplacé par le nombre total d'octets tous services confondus.

De plus (depuis la version 5.10 du collecteur) si l'option --Long (-l en version courte) est utilisée chaque entrée de la table est listée sous la forme 

 adresse_IP_source adresse_IP_destination organisme_de_la source organisme_de_la_destination [service/protocole](nbre octets) ...

Il faut bien sûr dans ce cas que le fichier d'organismes soit en argument (-f|--ORGAfile organismes).

Affichage des noms des sources et destinations

Avec la forme 

 netMATfilter -e|--FILTER  expression  -O|--ORGAaccprint  fichier_de_collecte ...   -f|--ORGAfile organismes  [-c|--CUMULaccprint] [-a|--ALLtraffic]

le contenu de la table résultat de la «fusion» des fichiers de données est affiché en totalisant les flux par organismes (sous-réseaux) conformément aux spécifications fournies dans le fichier organismes. Les lignes affichées sont cette fois de la forme : 

 organisme_source organisme_destination [service/protocole](nbre octets) ...

Comme dans le cas précédent l'option --CUMULaccprint permet d'obtenir le volume total tous services confondus.

L'option --ALLtraffic provoque l'affichage de tous les flux, en son absence seuls les flux depuis ou vers des adresses IP identifiées (dans le fichier organismes) sont pris en compte.

Affichage de l'aide

 netMATfilter -h|--help

Affichage de la version

 netMATfilter -v|--version

Syntaxe du filtre

Le filtre doit respecter la syntaxe suivante ([ ... ] indique un élément facultatif, { ... }+ note la répétition au moins une fois, | note l'alternative et le point marque la fin de règle) : 

 
expression : ' { A_RETENIR | A_REJETER }+ '   |
             " { A_RETENIR | A_REJETER }+ "   .

A_RETENIR  :  keep_filter      FILTRE ; .

A_REJETER  :  reject_filter    FILTRE ; .

FILTRE     :  [ src   ADRESSE ] [ dst   ADRESSE ]  
              [ port  plus_petit_port  plus_grand_port ]
              [ protocol  plus_petit_protocole   plus_grand_protocole ]
              [ volume    plus_petit_volume     plus_grand_volume   ] .

ADRESSE    :  adresse IPv4 | adresse IPv6 | adresse CIDR de sous-réseau | 
              nom_d_organisme:ipv4 | 
              nom_d_organisme:ipv6 .

Dans la ligne de commande le filtre doit être placé entre quotes ou doubles-quotes comme l'indique la syntaxe ci-dessus.

plus_petit_port plus_grand_port sont des numéros de ports, plus_petit_protocole plus_grand_protocole des numéros de protocoles et plus_petit_volume plus_grand_volume sont des volumes.

La commande lit le ou les fichiers de collecte, retient les flux respectant l'un des filtres keepfilter et rejette les flux correspondant à l'un des filtres reject_filter.

Attention : Si les fichiers de collecte contiennent à la fois des adresses IPv4 et des adresses IPv6 et s'il y a un filtre IPv4 alors en l'absence de filtrage IPv6 tous les flux IPv6 seront retenus. L'inverse est vrai aussi.

Pour rejeter tous les flux IPv4, utilisez 

  reject_filter src 0.0.0.0/0 ;

Pour rejeter tous les flux IPv6, utilisez 

 reject_filter src 0::0/0 ;

<< La commande dtgReadPrint | Le collecteur et les commandes associées | La commande netMETdup >>

Print - Recent Changes - Search
Page last modified on 2019/04/08 10:01:20