
<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;">Hi everyone,<br>


<br>


I am trying to use softflowd and nfcapd to turn a pcap into neflow data.<br>


<br>


I am starting nfcapd by running: nfcapd -p 12345 -l netflow/<br>


and softflowd by running: softflowd -n localhost:12345 -r singleflow.pcap<br>


<br>


This is the pcap I am trying to convert<br>

<br>

No.&nbsp;&nbsp;&nbsp;&nbsp; Time&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Destination&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Protocol Info<br>

&nbsp;&nbsp;&nbsp;&nbsp; 1 0.000000&nbsp;&nbsp;&nbsp; 192.168.1.73&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 74.86.135.174&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TCP <br>

&nbsp;&nbsp;&nbsp;&nbsp; 2 0.149059&nbsp;&nbsp;&nbsp; 74.86.135.174&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 192.168.1.73&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TCP<br>

&nbsp;&nbsp;&nbsp;&nbsp; 3 0.149170&nbsp;&nbsp;&nbsp; 192.168.1.73&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 74.86.135.174&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TCP<br>

&nbsp;&nbsp;&nbsp;&nbsp; 4 0.149322&nbsp;&nbsp;&nbsp; 192.168.1.73&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 74.86.135.174&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; HTTP<br>

&nbsp;&nbsp;&nbsp;&nbsp; 5 0.200823&nbsp;&nbsp;&nbsp; 192.168.1.73&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 74.86.135.174&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TCP<br>

&nbsp;&nbsp;&nbsp;&nbsp; 6 0.299411&nbsp;&nbsp;&nbsp; 74.86.135.174&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 192.168.1.73&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TCP<br>

&nbsp;&nbsp;&nbsp;&nbsp; 7 0.319394&nbsp;&nbsp;&nbsp; 74.86.135.174&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 192.168.1.73&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; HTTP<br>

&nbsp;&nbsp;&nbsp;&nbsp; 8 0.319474&nbsp;&nbsp;&nbsp; 192.168.1.73&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 74.86.135.174&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TCP<br>

&nbsp;&nbsp;&nbsp;&nbsp; 9 0.376528&nbsp;&nbsp;&nbsp; 74.86.135.174&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 192.168.1.73&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TCP<br>

&nbsp;&nbsp;&nbsp; 10 0.376569&nbsp;&nbsp;&nbsp; 192.168.1.73&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 74.86.135.174&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TCP<br>

<br>

This shows the pcap contains a single flow. &nbsp;However when I run nfdump on the produced nfcap file, I get: -<br>

<br>

Date flow start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Duration Proto&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Src IP Addr:Port Dst IP Addr:Port&nbsp;&nbsp; Packets&nbsp;&nbsp;&nbsp; Bytes Flows<br>

2009-08-23 03:33:22.720&nbsp;&nbsp;&nbsp;&nbsp; 0.377 TCP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 74.86.135.174:80&nbsp;&nbsp;&nbsp; -&gt; 192.168.1.73:38589&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 4&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 445&nbsp;&nbsp;&nbsp;&nbsp; 1<br>

2009-08-23 03:33:22.720&nbsp;&nbsp;&nbsp;&nbsp; 0.377 TCP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 192.168.1.73:38589 -&gt; 74.86.135.174:80&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 846&nbsp;&nbsp;&nbsp;&nbsp; 1<br>

<br>

Summary: total flows: 2, total bytes: 1291, total packets: 10, avg bps: 27395, avg pps: 26, avg bpp: 129<br>

Time window: 2009-08-23 03:33:22 - 2009-08-23 03:33:23<br>

Total flows processed: 2, Records skipped: 0, Bytes read: 116<br>

Sys: 0.000s flows/second: 0.0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Wall: 0.000s flows/second: 5333.3<br>

<br>

Summary: total flows: 2, total bytes: 1291, total packets: 10, avg<br>


bps: 27395, avg pps: 26, avg bpp: 129<br>


Time window: 2009-08-23 03:33:22 - 2009-08-23 03:33:23<br>


Total flows processed: 2, Records skipped: 0, Bytes read: 116<br>


Sys: 0.000s flows/second: 0.0 &nbsp; &nbsp; &nbsp; &nbsp;Wall: 0.000s flows/second: 5333.3<br>


<br>

Which shows there are two flows. &nbsp;Every time I try and convert a pcap

to netflow I get double the number of flows I expect. &nbsp;Can anyone tell

me why this is, and what I can do to correct it?<br>


<br>


Thank you all for you help.<br>


<br>


Regards,<br>


<font color="#888888"><br>

Simon</font><br>

</td></tr></table><br>