netflow字段解释

dpkts和doctets 分别是是流的包和字节数
first和last 分别是流中第一个包和最后一个包的时间戳
srcaddr和dstaddr 分别是是源IP和目的IP地址
srcport和dstport 分别是源IP和目的IP的端口号
prot 是传输协议 比如TCP或者UDP
src_mask和dst_mask 分别是源的最长匹配IP前缀的长度和目的IP地址
src_as和dst_as　分别是匹配源地址和目的地址的IP前缀的AS
举例来说
#:unix_secs,unix_nsecs,sysuptime,exaddr,dpkts,doctets,first,last,engine_type,engine_id,srcaddr,dstaddr,nexthop,input,output,srcport,dstport,prot,tos,tcp_flags,src_mask,dst_mask,src_as,dst_as
1285804501,0,2442636503,127.0.0.1,1,40,2442590868,2442590868,0,0,128.103.176.0,24.8.80.0,64.57.28.75,213,225,80,51979,6,0,17,16,0,1742,0
这就表示，你有一个流，里面有40 byte的包，在2442590868时刻到达，这个包由128.103.176.0源地址发往24.8.80.0目的地址，其中最后11位置0，是为了数据的匿名。源端口是80，目的端口是51979；假定这是一个web服务器到web客户端的流。协议号是6，tcp_flag是17表示ACK和FINbit位被设置为1，考虑这是一个FIN-ACK包。Web传输的其他传输的其他包可能没有包括在这个流记录中，这是由于报文抽样导致的。源和目的mask是16和0,表示源前缀128.103.0.0/16和目的前缀都是未知的或者是0.0.0.0/0，源AS是1742，由于各种原因原因目的AS未知。