Argus-clients:ra
Jump to navigation
Jump to search
ra
Description
Les utilitaires ra* permettent de mettre en forme les données collectées par argus.
[ tcpdump ] ----------> [ argus ] ----------> [ ra* ] [ Cisco ] Capture au format Formatage Exploitation cap, pcap, données au des données Cisco Netflow data format argus
Ra est le programme de base de la suite ra* et permet d'organiser les données argus en flux.
Utilisation de ra
Liste des paramètres
La commande ra accepte les paramètres suivants :
-A
Affiche un rapport à la fin du traitement
-b
Affiche les résultats sur la sortie stadard (stdout). Utile pour débuguer les filtres
-c <char>
Spécifie le séparateur de colonnes. Par défaut, l'espace est utilisé
-C <[host]:port>
Spécification de la source Cisco Netflow
-D <level>
Affiche les informations de debug, avec un niveau de verbosité spécifié (<level>),
entre 1 et 8.
-e <regex>
Spécifie une expression régulière. Faire précéder de "s:" ou "d:" pour limiter
la portée du filtre à la source ou à la destination
-E <file>
Lorsqu'un filtre est utilisé, les informations rejetées sont enregitrées dans le
fichier <file>
-F <conffile>
Utilise les informations du fichier de configuration (<conffile>)
-h
Affiche l'aide
-M <option>
Spécifie le mode d'opération parmi les options suivantes :
rmon Convertit les flux bi-directionnels en entrée/sortie RMON
poll attach to remote server to get MAR and then disconnect
xml affiche une sortie au format XML
TZ='timezone' Spécification de la zone géographique
saslmech='mech' Spécification du mécanisme sasl à utiliser pour la connexion
label='str' Spécification des expressions pour le "matching"
dsrs='strip str' specify input dsrs (see rastrip.1)
sql='str' Permet d'ajouter une clause SQL de type "WHERE"
disa Use US DISA diff-serve encodings
hex Utilise un encodage hexadécimal
ascii Utilise un encodage ascii
encode32 Utilise un encodage encode32
encode64 Utilise un encodage encode64
-n
Ne résout pas les noms (affichage des hôtes sous forme d'adresses IP)
Utiliser -nn pour ne pas résoudre les protocoles non plus
-N <num>
Ne traite que les <num> premiers enregistrements du fichier
<start-end> process this inclusive range of matching records
<start+num> process this number of matching records, starting at start
-p <digits>
Affichage fractionnaire du temps avec une précision de <digits>
-q
Mode silencieux. N'affiche pas de sortie
-r <file>
Précise le fichier à parcourir. Utiliser '-' pour une sortie à l'écran (stdin).
Utilisée pour transmettre les données à un autre programme ra (via un pipe "|")
-R <dir>
Lecture récursive de tous les fichiers du répertoire <dir>
-s [-][+[#]]field[:w]
Spécifie les champs à afficher
Champs: srcid, stime, ltime, sstime, dstime, sltime, dltime,
trans, seq, flgs, dur, avgdur, stddev, mindur, maxdur,
saddr, daddr, proto, sport, dport, stos, dtos, sdsb, ddsb
sco, dco, sttl, dttl, sipid, dipid, smpls, dmpls, svlan, dvlan
svid, dvid, svpri, dvpri, [s|d]pkts, [s|d]bytes,
[s||d]appbytes, [s|d]load, [s|d]loss, [s|d]ploss, [s|d]rate,
smac, dmac, dir, [s|d]intpkt, [s|d]jit, state, suser, duser,
swin, dwin, trans, srng, erng, stcpb, dtcpb, tcprtt, inode,
offset, smaxsz, dmaxsz, sminsz, dminsz
-S <host[:port]>
Spécifie la sonde argus distante et éventuellement son port
-t <timerange>
Borne temporelle pour la lecture du fichier
format: timeSpecification[-timeSpecification]
timeSpecification: [[[yyyy/]mm/]dd.]hh[:mm[:ss]]
[yyyy/]mm/dd
-%d{yMdhms}
-T <secs>
attach to remote server for T seconds.
-u
Affichage des temps au format Unix
-w <file>
Ecriture de la sortie dans le fichier <file>. Utiliser '-' pour la sortie à l'écran (stdout)
-X
Précise de ne pas lire le fichier par défaut rarc
-z
Affichage des changements d'état TCP Argus
-Z <s|d|b>
Affichage des drapeaux TCP
<'s'rc | 'd'st | 'b'oth>
Exemple d'utilisation
La commande suivante permet de faire apparaître les flux portant sur le port 145 :
# ra -nnr capture.ra - port 145
Autre exemple :
# ra -u -Z b -L0 -n -r wifi.argus \
-s stime proto saddr sport daddr dport \
spkts sappbytes dpkts dappbytes state - tcp | head
StartTime Proto SrcAddr Sport DstAddr Dport SrcPkts SAppBytes DstPkts DAppBytes State
1253975298.502248 tcp 192.168.2.4.32924 209.85.*.*.80 6 0 4 0 SPA_S
1253975299.849217 tcp 192.168.2.4.47210 209.85.*.*.80 24 0 20 0 FSPA_
1253975300.665129 tcp 192.168.2.4.47211 209.85.*.*.80 20 0 17 0 FSPA_
1253975301.137820 tcp 192.168.2.4.59232 209.85.*.*.80 6 0 4 0 FSPA_
1253975301.739399 tcp 192.168.2.4.47213 209.85.*.*.80 7 0 4 0 FSPA_
1253975303.690671 tcp 192.168.2.4.32924 209.85.*.*.80 2 0 1 0 FA_FA
Les paramètres utilisés dans la commande ci-dessus sont expliqués ci-dessous :
- -u : affichage de date/heure au format unix
- -Z b : affichage des valeurs des drapeaux TCP (codes apparaissant dans la colonne State)
- -L0 : affichage des en-têtes de colonne sur la première ligne seulement
- -n : affichage des hôtes sous la forme d'IP (pas de résolution des noms)
- -r /root/argus/capture.argus : Fichier de capture argus utilisé
- -s stime proto saddr ... state : spécification des colonnes (voir la commande "man ra" pour une liste exhaustive)
- - tcp : filtre sur les données TCP uniquement
- les résultats sont envoyés à la commande head afin de limiter l'affichage à 10 lignes.