O Cisco ASAs suporta uma versão do netflow chamada NetFlow Secure Event Logging (NSEL). É necessário suporte especial para o protocolo nos coletores para visualizar os fluxos? O protocolo é compatível com os coletores de netflow tradicionais? Na minha implementação, estou pensando em enviar apenas os fluxos bem-sucedidos ao coletor.
Nossos ASAs (versão 8.2 (x)) são enviados para um coletor SolarWinds Orion usando o Netflow versão 9. Não precisamos fazer nada de especial para fazê-lo funcionar. O SolarWinds possui um documento com uma boa explicação das diferenças entre o Netflow "normal" e "ASA" aqui: http://www.solarwinds.com/documentation/Netflow/docs/understandingciscoasanetflow.pdf .
Se ajudar aqui, é uma configuração de amostra:
access-list flow_export_acl extended permit ip any any
flow-export destination inside collector_IP_address 2055
flow-export template timeout-rate 1
flow-export delay flow-create 15
class-map flow_export_class
match access-list flow_export_acl
description Netflow
class flow_export_class
flow-export event-type all destination collector_IP-address
Os registros NSEL são enviados apenas durante os eventos de criação de fluxo, desmontagem ou negação da ACL e utilizam campos e modelos do NetFlow v9. Aqui é um Doc que a Cisco tem cerca de Netflow no ASA e no final ele fala sobre a interoperabilidade coletor. Pessoalmente, usei o Scrutinizer e tudo funcionou perfeitamente.
Edit: Plixer também fez um "mergulho profundo" sobre o que é o NSEL.
Eu usei o netflow nos ASAs antes e requer apenas compatibilidade com a v9 no seu coletor.