Сервис NetFlow компании Cisco Systems обеспечивает администраторам
доступ к информации о потоках IP в сети передачи данных. Элементы сети
(маршрутизаторы и коммутаторы) собирают данные о потоках и экспортируют
их в коллекторы. Собранные данные обеспечивают точное измерение
параметров использования ресурсов с хорошей детализацией и гибким
выбором параметров мониторинга.
Поток данных определяется как однонаправленная последовательность
пакетов с неким общим набором свойств, проходящих через сетевое
устройство. Собранная информация о потоках экспортируется на внешнее
устройство, называемое коллектором NetFlow. Информация о потоках
включает большой набор параметров — в частности, адреса IP, счетчики
пакетов и байтов, временные метки, значения ToS, номера портов
приложений, входные и выходные интерфейсы и т. п.
Экспортированные данные NetFlow используются для разных целей,
включая учет передачи данных в масштабе предприятия и по отдельным
подразделениям, учет потоков данных в сеть ISP, использование хранилищ
данных, мониторинг сети, перспективное планирование сети, мониторинг и
профилирование приложений и пользователей, анализ защищенности, сбор
данных для маркетинга.
В этом документе содержится спецификация протокола экспорта NetFlow
версии 9. Документ рассматривает спецификацию для реализаций протокола с
точки зрения как сетевых элементов, так и коллекторов NetFlow. Эта
спецификация должна помочь разработчикам реализаций NetFlow v.9 для
различных платформ и различных производителей, снижая риск утраты
интероперабельности. Формат экспорта NetFlow версии 9 использует шаблоны
для предоставления доступа к информации о потоках пакетов IP с высоким
уровнем гибкости и расширяемости.
Шаблон определяет набор полей с соответствующими описаниями структуры и семантики.
Основанная на шаблонах модель обеспечивает ряд преимуществ:
Новые поля могут добавляться в записи NetFlow о потоках без
изменения структуры формата экспорта записей. В предыдущих версиях
NetFlow добавление нового поля в запись для потока приводило к
необходимости создания новой версии протокола экспорта и разработки
новой версии коллектора NetFlow, которая позволила бы разбирать новый
формат протокола экспорта.
Шаблоны, передаваемые коллектору NetFlow, содержат структурную
информацию о полях экспортируемых записей, следовательно коллектор
NetFlow, не понимающий семантику новых полей, сохраняет возможность
интерпретации записи о потоке.
Гибкость механизма шаблонов позволяет экспортировать из потока
коллектору NetFlow только требуемые поля. Это обеспечивает снижение
объема передаваемой информации и может также снижать потребности в
памяти при экспорте данных и на коллекторе NetFlow. Снижение объема
передаваемой информации позволяет также уменьшить нагрузку на сеть.
Рабочая группа IETF IPFIX (IP Flow Information eXport) разрабатывает
новый протокол на основе версии 9 протокола NetFlow. Новый протокол
IPFIX будет обеспечивать преимущества в ряде областей (устойчивый к
перегрузкам траспорт, встроенная защита и т. п.). Более подробно узнать
об этом протоколе можно из материалов рабочей группы IPFIX.
Ключевые слова необходимо (MUST), недопустимо (MUST NOT), требуется
(REQUIRED), нужно (SHALL), не нужно (SHALL NOT), следует (SHOULD), не
следует (SHOULD NOT), рекомендуется (RECOMMENDED), возможно (MAY),
необязательно (OPTIONAL) в данном документе используются для обозначения
уровня требований и интерпретируются в соответствии с BCP 14, RFC 2119
[RFC2119].
В этом разделе приведены определения терминов, используемых в
документе. Отметим, что в таблице параграфа 2.1 приведен список
используемых терминов и показаны связи между ними.
Observation Point — точка наблюдения
Observation Point представляет собой место в сети, где
можно отслеживать пакеты IP (например, один или несколько интерфейсов
маршрутизатора или другого сетевого устройства). Каждая точка наблюдения
связана с областью (доменом) наблюдения — Observation Domain.
Observation Domain — область (домен) наблюдения
Множество точек наблюдения, обеспечивающее наибольший
агрегируемый набор информации о потоках на сетевом устройстве с
поддержкой NetFlow, называется областью наблюдения. Например,
интерфейсный модуль маршрутизатора является областью наблюдения, в
которой каждый интерфейс является точкой наблюдения.
IP Flow или Flow — поток IP или поток
Поток IP (или просто поток) определяется как множество
пакетов IP, проходящих через точку наблюдения в течение некоторого
времени. Все пакеты конкретного потока обладают общим набором свойств,
связанным с содержащимися в пакетах данными или трактовкой пакетов в
точке наблюдения.
Flow Record — запись о потоке
Записи о потоках обеспечивают информацию о потоках IP в
точке наблюдения. В этом документе используется также термин «запись для
данных о потоке» (Flow Data Record) для обозначения данных NetFlow.
Exporter — экспортер
Устройство (например, маршрутизатор) со включенным
сервисом NetFlow, обеспечивающее мониторинг пакетов в точке наблюдения и
создание потоков из этих пакетов. Информация из созданных потоков
экспортируется в форме записей о потоке коллектору NetFlow.
NetFlow Collector — коллектор NetFlow
Коллектор NetFlow получает записи о потоках от одного
или множества экспортеров и обрабатывает полученные пакеты экспорта,
разбирая и сохраняя информацию из записей о потоках. Записи о потоках
могут агрегироваться перед их записью на диск. Коллекторы NetFlow в этом
документе также могут сокращенно называться коллекторами.
Export Packet — пакет экспорта
Пакет экспорта представляет собой исходящий от
экспортера пакет, содержащий записи о потоках от данного экспортера и
адресованный коллектору NetFlow.
Packet Header — заголовок пакета
Заголовок пакета представляет собой первую часть пакета
экспорта. Заголовок пакета содержит базовую информацию о пакете, включая
номер версии NetFlow, число записей в данном пакете и порядковый номер.
Template Record — шаблон
Шаблон определяет структуру и интерпретацию полей записи данных о потоке.
Flow Data Record — запись данных о потоке
Запись данных о потоке представляет собой запись, содержащую параметры пакета в соответствии с шаблоном.
Options Template Record — шаблон опций
Шаблон опций определяет структуру и интерпретацию полей в
записи данных опций, включая определение границ применимости записи
данных опций.
Options Data Record — запись данных опций
Запись, содержащая значения и информацию о границах данных в параметрах измерения потока, соответствующие шаблону записи опций.
FlowSet — набор потоков
FlowSet — базовый термин для набора записей о потоках,
имеющих похожую структуру. В пакетах экспорта после заголовка следует
один или множество наборов FlowSet. Существует три разных типа наборов
FlowSet: Template FlowSet, Options Template FlowSet и Data FlowSet.
Template FlowSet — набор шаблонов
Набор из одного или множества шаблонов, сгруппированных в пакете экспорта.
Options Template FlowSet — набор шаблонов опций
Набор из одной или множества записей шаблонов опций, сгруппированных в пакете экспорта.
Data FlowSet — набор данных
Набор из одной или множества однотипных записей,
сгруппированных в пакете экспорта. Каждая запись имеет тип Flow Data или
Options Data, как определено в шаблоне или шаблоне опций.
Набор Data FlowSet состоит из записей данных опций или данных о
потоке без включения шаблона. Шаблон определяет запись данных о потоке, а
шаблон опций — запись данных опции.
Набор Template FlowSet состоит из шаблонов без включения данных о потоке или опциях.
Набор Options Template FlowSet состоит из шаблонов опций без включения данных о потоке или опциях.
Процесс NetFlow на стороне экспортера отвечает за создание потоков
(Flow) из наблюдаемых пакетов IP. Детали этого процесса выходят за рамки
данного документа.
Покток считается неактивным, если в точке наблюдения в течение
заданного интервала времени не было отмечено относящихся к потоку
пакетов. При появлении любого пакета, относящемуся к потоку, в течение
заданного интервала поток рассматривается, как активный. Поток может
экспортироваться при следующих условиях:
Экспортер может детектировать окончание потока. Например, при
обнаружении в потоке TCP [RFC793] пакета с флагом FIN или RST запись о
потоке экспортируется.
Поток неактивен в течение заданного времени. Значение тайм-аута
следует делать настраиваемым на стороне экспортера с возможностью
задания нулевого тайм-аута для немедленного завершения.
Для долгосрочных потоков экспортеру следует экспортировать записи
о потоке на регулярной основе. Значение периода экспорта следует делать
настраиваемым на стороне экспортера.
Если у экспортера возникают внутренние ограничения, возможно
досрочное завершение (экспорт) потока. Причиной такого досрочного
завершения может явиться достижение верхней ганицы счетчиков или
нехватка памяти.
Для обеспечения эффективной обработки на уровне экспортеров с учетом
большого объема пакетов экспорта в протоколе NetFlow используется
инкапсуляция этих пакетов в дейтаграммы транспортного протокола UDP
[RFC768] для передачи коллектору NetFlow. Однако NetFlow версии 9
обеспечивает независимость от транспортного протокола. Следовательно,
обеспечивается возможность работы на базе протоколов с контролем
насыщения, таких, как SCTP [RFC2960].
Отметим, что экспортер может работать со множеством коллекторов, независимо выбирая для них транспортный протокол.
Протокол UDP [RFC768] не поддерживает контроля насыщения, поэтому при
развертывании NetFlow версии 9 в чувствительной к перегрузкам среде
соединение между экспортером и коллектором осуществляется по выделенному
каналу. Это обеспечивает воздействие выбросов трафика NetFlow
исключительно на выделенный канал без негативного влияния на работу
сети. Когда коллектор NetFlow невозможно разместить в одном интервале
маршрутизации (one-hop distance) от экспортера или путь между
экспортером и коллектором используется не только для передачи данных
мониторинга, путь экспорта данных следует строить так, чтобы на нем
обеспечивалась устойчивость к максимальным пикам трафика NetFlow от
экспортера. Отметим, что при использовании слишком медленного канала
экспортер может входить в насыщение.
Пакет экспорта состоит из заголовка, за которым следует по крайней
мере один набор данных FlowSet. В качестве FlowSet могут использоваться
три типа наборов данных: шаблон (Template), данные (Data), шаблон опций
(Options Template).
Идентификатор набора FlowSet ID служит для идентификации различных
типов FlowSet. Значения FlowSet ID меньше 256 зарезервированы для
специальных наборов типа Template FlowSet (ID 0) и Options Template
FlowSet (ID 1). Для наборов Data FlowSet используется значение FlowSet
ID больше 255.
Формат наборов Template, Data и Options Template обсуждается ниже.
Экспортер должен использовать для всех двоичных целых чисел в заголовке и
наборах FlowSet сетевой порядок байтов (его также называют big-endian).
Ниже приведено несколько примеров пакетов экспорта.
Пакет, состоящий из чередующихся наборов Template, Data и Options
Template. Примером может служить вновь созданный шаблон, который нужно
экспортировать как можно скорей. Поэтому, если уже есть пакет экспорта с
Data FlowSet, подготавливаемый к экспорту, в него включают наборы
Template и Option Template, чередуя их с данными, как показано на
рисунке с учетом доступного в пакете пространства.
Пакет экспорта, включающий только наборы Data. Примером может служить
пакет экспорта, создаваемый после определения шаблонов записей для
передачи их коллектору NetFlow Collector; большая часть пакетов экспорта
включает только наборы Data FlowSet.
Пакет экспорта, содержащий только наборы Template и Options Template.
Например, экспортер может периодически передавать пакеты, содержащие
Template и Options Template, чтобы помочь обеспечить коллектору
корректность записей Template и Options Template при получении
соответствующих записей Flow Data.
Версия формата Flow Record, экспортируемого в данном пакете. Для текущей версии значение этого поля равно 9.
Count — счетчик
Общее число записей в пакете экспорта, равное сумме числа записей Options FlowSet, Template FlowSet и Data FlowSet.
sysUpTime
Время, прошедшее с момента загрузки системы (в миллисекундах).
UNIX Secs
Число секунд, прошедших с момента 0000 UTC 1970 до момента отправки экспортером пакета экспорта.
Sequence Number — порядковый номер
Нарастающий счетчик числа пакетов экспорта, переданных
экспортером из данной точки наблюдения. Это значение должно быть
накопительным и колекторам следует использовать его для детектирования
потерь пакетов экспорта.
Source ID
32-битовое значение, идентифицирующее область наблюдения
экспортера. Коллекторам NetFlow следует использовать IP-адрес
отправителя в комбинации с Source ID для идентификации различных потоков
экспорта от одного экспортера.
Одним из существенных элементов NetFlow является Template FlowSet.
Шаблоны существенно повышают уровень гибкости формата записей о потоках,
поскольку они позволяют коллекторам обрабатывать записи о потоках даже
при отсутствии возможности интерпретации всех содержащихся в записи
данных. Формат Template FlowSet показан на рисунке.
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| FlowSet ID = 0 | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Template ID 256 | Field Count |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Field Type 1 | Field Length 1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Field Type 2 | Field Length 2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Field Type N | Field Length N |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Template ID 257 | Field Count |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Field Type 1 | Field Length 1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Field Type 2 | Field Length 2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Field Type M | Field Length M |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Template ID K | Field Count |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Ниже приводится описание полей шаблона.
FlowSet ID — идентификатор набора
Для Template FlowSet зарезервировано значение FlowSet ID = 0.
Length — размер
Общий размер данного набора FlowSet. Поскольку Template
FlowSet может включать множество записей Template Record, для
определения позиции следующей записи FlowSet, которая может иметь любой
тип FlowSet, должно использоваться значение поля Length. Размер
представляет собой сумму размеров полей FlowSet ID, Length, а также всех
записей Template Record в данном наборе FlowSet.
Template ID — идентификатор шаблона
Каждой из вновь генерируемых записей Template
присваивается уникальное значение Template ID. Уникальность должна
обеспечиваться в масштабе области наблюдения, генерирующей Template ID.
Значения Template ID от 0 до 255 зарезервированы для наборов Template
FlowSet, Options FlowSet и других зарезервированных наборов FlowSet,
которые будут создаваться. Template ID для наборов Data FlowSets
принимают значения от 256 до 65535.
Field Count — счетчик полей
Число полей в данной записи Template. Поскольку набор
Template FlowSet обычно содержит множество записей Template, значение
этого поля позволяет коллектору определить завершение текущей записи
Template и начало следующей.
Field Type — тип поля
Числовой идентификатор типа поля. Идентификаторы описаны в параграфе «Определения типов полей».
Field Length — размер поля
Размер соответствующего Field Type в байтах (см. параграф «Определения типов полей»).
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| FlowSet ID = Template ID | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Record 1 - Field Value 1 | Record 1 - Field Value 2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Record 1 - Field Value 3 | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Record 2 - Field Value 1 | Record 2 - Field Value 2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Record 2 - Field Value 3 | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Record 3 - Field Value 1 | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Ниже приведены описания полей Data FlowSet.
FlowSet ID = Template ID
Каждый набор Data FlowSet имеет свой идентификатор
FlowSet ID. Значение FlowSet ID совпадает с созданным ранее
идентификатором Template ID. Коллектор должен использовать значение
FlowSet ID для нахождения соответствующей записи Template и
декодирования записей о потоках из набора FlowSet.
Length — размер
Размер данного набора FlowSet, определяемый суммой
размеров полей FlowSet ID, Length, всех записей Flow Record в данном
наборе FlowSet и байтов заполнения, если они используются.
Record N — Field Value M — запись N — значение поля M
Оставшаяся часть Data FlowSet представляет собой набор
записей Flow Data, каждая из которых является набором значений полей.
Поля Type и Length заранее определяются в записи Template Record,
указанной полем FlowSet ID или Template ID.
Padding — заполнение
Экспортеру следует использовать байты заполнения для
выравнивания наборов FlowSet по 4-байтовой границе. Важно отметить, что
значение поля Length учитывает байты заполнения. Для заполнения следует
использовать значения 0.
Интерпретация формата Data FlowSet возможна только в тех случаях,
когда коллектору доступен шаблон Template FlowSet, соответствующий
значению Template ID.
Записи Options Template (и соответствующие записи Options Data)
используются для передачи данных о конфигурации процесса NetFlow или
специфических для процесса данных, а не информации о потоке IP.
Например, Options Template FlowSet может показывать частоту выборки
для конкретного интерфейса и используемый метод выборки информации.
Формат набора Options Template FlowSet показан на рисунке:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| FlowSet ID = 1 | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Template ID | Option Scope Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Option Length | Scope 1 Field Type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Scope 1 Field Length | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Scope N Field Length | Option 1 Field Type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Option 1 Field Length | ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Option M Field Length | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Ниже описаны поля Options Template FlowSet.
FlowSet ID = 1
Значение FlowSet ID = 1 соответствует шаблону опций (Options Template).
Length — размер
Общий размер данного набора FlowSet. Каждый набор
шаблонов опций может включать множество записей Options Template.
Следовательно, поле Length должно использоваться для определения начала
следующей записи FlowSet, которая может представлять собой Template
FlowSet или Data FlowSet.
Значения поля Length равно сумме
размеров полей FlowSet ID и Length, а также всех записей Options
Template в данном FlowSet Template ID.
Template ID — идентификатор шаблона
Идентификатор данного шаблона опций. Значение этого поля больше 255.
Option Scope Length — размер определений поля Scope
Размер (в байтах) всех определений поля Scope,
содержащегося в записи Options Template (использование поля Scope
рассматривается ниже).
Option Length — размер опций
Размер (в байтах) всех полей определения опций, содержащихся в данной записи Options Template.
Scope 1 Field Type — тип поля Scope 1
Часть процесса Exporter/NetFlow, на которую указывает запись Options Template. В настоящее время определены значения:
1 System — система;
2 Interface — интерфейс;
3 Line Card — линейная плата;
4 Cache — кэш;
5 Template — шаблон.
Например,
процесс NetFlow может быть реализован для каждого интерфейса и запись
Options Template будет говорить о конфигурации интерфейса, если в
качестве типа поля Scope будет указано значение 2 (интерфейс).
Соответствующий идентификатор интерфейса будет в этом случае
передаваться в связанном наборе Options Data. Возможна дополнительная
конкретизация Scope путем указания множества типов, которым
соответствует процесс. Отметим, что поля Scope всегда предшествуют полям
Option.
Scope 1 Field Length — размер поля Scope 1
Размер (в байтах) поля Scope в записи Options Data.
Option 1 Field Type — тип поля Option 1
Числовой идентификатор типа поля, которое будет
появляться в записи Options Template. Значения идентификаторов приведены
в параграфе «Определения типов полей».
Option 1 Field Length — размер поля Option 1
Размер поля Option в байтах.
Padding — заполнение
Экспортеру следует использовать байты заполнения для
выравнивания начала следующего набора FlowSet по 4-байтовой границе.
Важно отметить, что байты заполнения учитываются в поле Length. Для
заполнения следует использовать значение 0.
Записи Options Data передаются в наборах Data FlowSets регулярно, но
не с каждой записью Flow Data. Частота отправки записей Options Data
задается в конфигурации (см. параграф «Управление шаблонами»).
Формат набора Data FlowSet с записями Options Data показан на рисунке:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| FlowSet ID = Template ID | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Record 1 - Scope 1 Value |Record 1 - Option Field 1 Value|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Record 1 - Option Field 2 Value| ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Record 2 - Scope 1 Value |Record 2 - Option Field 1 Value|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Record 2 - Option Field 2 Value| ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Record 3 - Scope 1 Value |Record 3 - Option Field 1 Value|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Record 3 - Option Field 2 Value| ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... | Padding |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Ниже приводится описание полей записей Options Data в наборе Data FlowSet.
FlowSet ID = Template ID
Идентификатор FlowSet ID предшествует каждой группе
записей Options Data в наборе Data FlowSet. Значение FlowSet ID
совпадает с созданным ранее идентификатором Template ID соответствующей
записи Options Template. Коллектор должен использовать FlowSet ID для
отображения подходящего типа и размера значений всех последующих полей.
Length (размер)
Размер данного набора FlowSet, определяемый суммой
размеров полей FlowSet ID и Length, всех записей Options Data в данном
наборе FlowSet и байтов заполнения, если они используются.
Record N — Option Field M Value (запись N — значение поля опции M)
Оставшаяся часть Data FlowSet представляет собой набор
записей о потоках, каждая из которых содержит область охвата и значения
полей. Тип и размер полей определяются записью Options Template,
указанной идентификатором FlowSet ID или Template ID.
Padding (заполнение)
Экспортеру следует использовать байты заполнения для
выравнивания начала следующего набора FlowSet по 4-байтовой границе.
Важно отметить, что байты заполнения учитываются в поле Length. Для
заполнения следует использовать значение 0.
Формат Data FlowSet может интерпретироваться только при доступности
для коллектора набора Options Template FlowSet, соответствующего
идентификатору Template ID.
Меню сайта