Sobre como remover o NetFlow do Mikrotik, mantendo o tráfego em um servidor na Internet, não é difícil de encontrar. Mas era necessário salvar o conteúdo do tráfego, mas aqui havia pequenas dificuldades.
Em princípio, no próprio modo sniffer , tudo é muito acessível descrito no wiki do Mikrotik , surgiram dificuldades em manter o tráfego para um servidor externo.
O fato é que o Mikrotik está pronto para enviar os pacotes capturados para o servidor, mas os encapsula no Tazmen Sniffer Protocol (TZSP) . Mas como extraí-los para o trabalho, digamos, com o mesmo tcpdump, esta é a tarefa. O Google mostrou que o Wireshark entende esse protocolo imediatamente, mas o Google disse que o Wireshark não salva os dados recebidos em um arquivo. E foi muito necessário.
Na Internet, foi mencionado o programa trafr - um programa nativo do Mikrotik. A julgar pela descrição, ela resolve o problema. Um menos, foi escrito em 2004. E ela é de 32 bits. Aqui está o que eu vi quando tentei iniciá-lo:
mike@monitoring:~$]./trafr -bash: ./trafr: No such file or directory mike@monitoring:~$]file trafr trafr: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.2.0, stripped
Esse problema é resolvido de duas maneiras. Primeiro: selecione um servidor separado e instale um SO de 32 bits. Segundo, habilite o suporte para esses aplicativos. Por exemplo, para o ubuntu:
apt-get update apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386 apt-get install multiarch-support
Em seguida, salvamos / filtramos / processamos o tráfego recebido conforme necessário:
./trafr -s | /usr/sbin/tcpdump -r - -n "(port 22 or 23 or 135 or 137 or 138 or 139 or 389 or 445)" -w test.pcap
E um exemplo da inclusão de um sniffer no Mikrotik:
/tool sniffer set streaming-enabled=yes streaming-server=192.168.0.23 interface=WAN /tool sniffer start
Espero que isso reduza o tempo para alguém pesquisar e experimentar.
UPD mais_es sugeriu que também existe o utilitário tzsp2pcap , que na verdade faz o mesmo que trafr .