В составе пакета get_xyz, в заголовочном файле nf5.h есть строчки:
/*
* ts_[first/last] - timestamp(!) of first/last packet.
* NOT uptime as in Cisco NetFlow v5.
*/
/// Время прохода первого пакета (от Epoch).
u_int32_t ts_first; /* SysUptime at start of flow */
/// Время прохода последнего пакета (от Epoch).
u_int32_t ts_last; /* and of last packet of flow */
Из чего можно предположить, что сии данные БУДУТ использоваться UTM при принятии потока.
Но, загнав поток в ядро, в детальном отчете вижу время принятия потока, а не эти timestamp'ы.
То есть возможность внешней буферизации потока фактически, исключена.
Вопрос: зачем тогда эти timestamp'ы и зачем get_xyz их заполняет, если ядро их все равно не учитывает?