本身提供了 Traffic Flow 功能，与 Scisco的 Netflow 功能类似。只要开启 Traffic Flow 传到日志服务器即可, 这种设置系统开销很小，

可以传到本地网络，也可以传到公网。上图：

 

在日志服务器上开启 nfdump, 开源软件，无需付费哦。

# nfcapd -z -w -D -T all -p 2155 -l /data/flows -S 1 -P /var/lib/nfcapd.pid

Traffic Flow 数据就自动保存到 /data/flows 目录下了。

比如要查询2014年11月29日谁上了百度网：

#nfdump -R /data/flows/2014/11/29/ 'dst host  and port 80 and proto tcp' 

这个结果会很长，上百度的实在大多了。下图是00:00 到 00:05分的结果：

 

查 172.16.11.247 这个客户上过哪些网站：

＃nfdump -R /data/flows/2014/11/29/ 'src ip 172.16.11.247' |less

这个结果会很长，基本上我们是不会感兴趣的。

 

苦逼的小区网，上传带宽总是不够用，是不是？查一下到底是谁超占了我们宝贵的上传资源呢？

#nfdump -R /data/flows/2014/11/29/ 'src net 172.16.0.0/16' -s srcip/bytes 

 

那么问题来了，nfdump 这个软件哪里有的下呢？答案是这个软件在 linux 系统下可以自动安装，不用单独下载。

可是我不会用 linux 系统怎么办？ 嗯，这个......