linux - netflow 上的时间戳

Question

我在使用名为 netflow 的产品时遇到问题，该产品读取网络流量数据。当我读取一些捕获的网络流数据时，网络流上的时间戳不是以毫秒为单位的。我在下面显示了一行数据；

Date flow start||Duration||Proto||Src IP Addr:Port||Dst IP Addr:Port||Packets||Bytes||Flows 1970-01-02 || 05:51:34.210 || 0.000 || TCP || 192.168.88.3:56457 -> 172.17.1.20:8080 || 2 || 82 || 1

如您所见，日期流开始和持续时间虽然列为小数点后三位，但仅计算为两位。这对每个流都是一样的。

这可能是操作系统问题吗？我在谷歌上看到该程序的图片精确到小数点后三位。我正在使用 Linux Mint，我的处理器是 Intel® Core™ i3 CPU M 370 @ 2.40GHz × 4

Answer 1

在 nfdump 中 启动时间设置为一天前 - 假设每个流的开始时间没有更早开始

    boot_time = (uint64_t)(master_record->first - 86400)*1000;

并且使用的纪元是 000 UTC 1970，如 link to netflow packet 中所述

实际上是什么

日期流开始 = 1970-01-02 05:51:34.210

持续时间 = 0.000

这很好。

所以我想这描述了日期流程。

另外:行格式:-o 行

这是默认格式，每行显示一条 netflow 记录:

Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets Bytes Flows

20012-08-30 06:59:52.338 0.001 UDP 36.249.80.226:3040 -> 92.98.219.116:1434 1 404 1

流的日期和持续时间以毫秒分辨率给出。小数点后 3 位也是如此。

不，这不是操作系统问题。

附言nfdump 提供日期的格式化输出而不是毫秒。