前提提要

本文仅介绍panabit镜像流量部署对接panalog、ntm等，满足对上网流量的审计需求，不涉及panabit作为网络出口使用。

简介

panalog与panabit-ntm区别：
panalog仅记录日志
panabit-ntm可以做到数据包的留存，更详细

前期准备

1.panabit全家桶下载链接：
https://www.panabit.com/download
2.虚拟机配置：
panabit：
网卡数：3张虚拟网卡（一张管理口，两张镜像口），在PVE中网卡模型选择Intel E1000（不可使用VirtIO，panabit不认此网卡）
CPU：4核
内存：4GB
（panabit仅做镜像部署，故配置要求较低）
panalog-freebsd：
网卡数：1张，做管理口用
CPU：4核
内存：8GB
硬盘：根据自己需求 我分配的是36G作为测试用
（参考：在上行跑满250mbps，下行跑100mbps左右的设备上，记录16小时左右的占用空间为1.4G）
panabit-ntm-linux：
网卡数：3张虚拟网卡（一张管理口，两张镜像口），在PVE中网卡模型选择Vmware vmxnet3（不可使用VirtIO，panabit不认此网卡,若使用Intel E1000可能会出现过一段时间就收不到流量的情况）
CPU：4核
内存：8GB
硬盘：根据自己需求

部署过程

部署过程参照panabit论坛相关教程指引操作即可，都比较简单。
这里主要介绍一下部署中遇到的坑:
panalog:

1. 使用Panalog_20220516_fb11.iso安装后，升级panalog时要按照安装包版本，一个一个版本升级，不可直接跨大版本，否则会更新失败，要重装系统重新来。

panalog各版本下载链接：https://bbs.panabit.com/forum-38-1.html

2. panalog在数据状态中查看端口列表中记录数据包状态正常，但在接收状态中相关日志的计数不变化或者记录数虽然变化，但无法查询出数据。

可能原因及解决办法：在PA设备中配置的设备ID与Panalog系统中配置的设备ID不一致。检查PA设备中配置的设备ID与Panalog系统中配置的设备ID，修改一致。
panabit-ntm：
1.proxmox中部署，需要注意网卡类型等，具体参照上文虚拟机配置中的要求。
2.proxmox中部署，数据包留存运行久了之后，记录的时间会错位。导致在溯源分析中，找不到正确的时间点。
注：log时间是不会错位的，但是/data/pcap抓的包时间会错位，比如实际14号20：00的数据包，他会记录成是15号05：00的数据包，具体错位时间根据运行时间决定，运行越久，时间错位的越多。重启ntm可以暂时使时间不错位，但是运行久了还是会出现这个情况