Argus-clients:Rasort
Jump to navigation
Jump to search
rasort
Description
Rasort permet de trier une sortie argus en fonction de critères fournis en paramètres
Utilisation
Paramètres
-M replace
Ecrase le contenu du fichier source par le contenu résultant de la commande
-m sortmode Supported sortmodes are:
stime Début de l'enregistrement
ltime Fin de l'enregistrement
trans Nombre d'enregistrements remontés par l'agrégation
dur Somme des temps des enregistrements
avgdur Temps moyen des enregistrements
mindur Temps minimum des enregistrements
maxdur Temps maximum des enregistrements
smac Adresse MAC source
dmac Adresse MAC de destination
saddr Adresse IP source
daddr Adresse IP de destination
proto Protocole
sport Port source
dport Port de destination
stos Valeur de bytes TOS source
dtos Valeur de bytes TOS de destination
sttl src -> dst valeur de TTL
dttl dst -> src valeur de TTL
bytes Nombre total de bytes des transactions
sbytes src -> dst nombre de bytes
dbytes dst -> src nombre de bytes
pkts Nombre total de paquets
spkts src -> dst nombre de paquets
dpkts dst -> src nombre de paquets
load Nombre total de bits par seconde
sload Nombre de bits source par seconde
dload Nombre de bits de destination par seconde
loss Paquets retransmis ou supprimés
sloss Paquets source retransmis ou supprimés
dloss Paquets de destination retransmis ou supprimés
ploss Pourcentage de paquets retransmis ou supprimés
sploss Pourcentage de paquets source retransmis ou supprimés
dploss Pourcentage de paquets de destination retransmis ou supprimés
rate Nombre total de paquets par seconde
srate Nombre de paquets source par seconde
drate Nombre de paquets de destination par seconde
tranref Numéro de reférence de la transaction argus
seq Numéro de séquence argus
smpls Identifiant source MPLS
dmpls Identifiant de destination MPLS
svlan Identifiant VLAN source
dvlan Identifiant VLAN de destination
srcid Identifiant source argus
stcpb Numéro de séquence source de base TCP
dtcpb Numéro de séquence de destination de base TCP
tcprtt TCP connection setup round-trip time.
Note
Les colonnes sont triées dans le même ordre qu'au paramètre -m.
Exemple
La commande suivante permet d'afficher, à partir du fichier aldeid.ra, les 10 premiers flux ayant généré le plus grand nombre de paquets
# rasort -m pkts -L0 -nr aldeid.ra | head -n 11
StartTime Flgs Proto SrcAddr Sport Dir DstAddr Dport TotPkts TotBytes State
06:38:15.670513 e d tcp 192.168.1.12.41824 -> 88.191.*.*.80 10552 10564504 CON
06:38:10.670167 e d tcp 192.168.1.12.41824 -> 88.191.*.*.80 10222 10236246 CON
06:38:20.672094 e d tcp 192.168.1.12.41824 -> 88.191.*.*.80 8578 8571175 CON
06:38:25.672672 e d tcp 192.168.1.12.41824 -> 88.191.*.*.80 8311 8238709 CON
17:40:14.567235 eI* tcp 192.168.1.12.38850 -> 80.157.*.*.80 8151 8186989 CON
17:40:19.568086 e d tcp 192.168.1.12.38850 -> 80.157.*.*.80 3147 3108105 CON
06:40:52.333621 e d tcp 192.168.1.12.48877 -> 88.191.*.*.80 2028 1977221 FIN
18:11:35.691663 e d tcp 192.168.1.12.33297 -> 88.191.*.*.80 1506 1439841 FIN
06:47:16.964721 e d tcp 192.168.1.12.51971 -> 82.116.*.*.53500 1124 953211 RST
06:47:06.940546 eI* tcp 192.168.1.12.51971 -> 82.116.*.*.53500 1068 898643 CON