Az 5 legjobb NetFlow gyűjtő Linuxra 2020-ban

A hálózatok kezelése speciális eszközök használatát igényli, amelyek biztosítják a szükséges láthatóságot ahhoz, hogy minden mindig zökkenőmentesen működjön. Ellentétben a közúti forgalommal, ahol a lassulások és az akadályok könnyen felismerhetők, a hálózati forgalom nem olyan könnyű megfigyelés. Ezért segíthetnek az olyan eszközök, mint a NetFlow. A NetFlow technológia betekintést nyújthat abba, hogy milyen forgalom halad át a hálózaton, ahelyett, hogy mekkora forgalom van. Olvassa el, miközben áttekinti a legjobb NetFlow gyűjtőket és elemzőket Linuxhoz.

Utazásunkat azzal kezdjük, hogy megvitatjuk azokat a különféle módszereket, amelyeket a hálózati rendszergazdák használhatnak hálózatuk figyelésére, valamint a problémák felkutatására és kijavítására, mielőtt azok valódi problémákká válnának. Ezután elmagyarázzuk, mi a NetFlow, hogyan működik, és mire van szükség a kihasználásához. És ha már ott tartunk, megvitatunk néhány NetFlow alternatívát is, amelyek érdekesek lehetnek. Ezután belemerülünk az ügy lényegébe, és áttekintjük a Linux platformon elérhető legjobb NetFlow gyűjtők és elemzők némelyikét. A Linux nyílt forráskódú filozófiájának megfelelően ezek egy része ingyenesen elérhető, míg mások vásárlást vagy előfizetést igényelnek.

Monitoring Networks

Hálózati adminisztrátorként az egyik feladata annak biztosítása, hogy minden működjön zökkenőmentesen, hogy ne legyenek lassulások, és minden hálózati forgalom a célállomáshoz érjen egy elfogadható idő. Sajnos, ami a hálózaton történik, az a kábelekben, útválasztókban, kapcsolókban és egyéb berendezésekben történik, ahol általában nagyon nehéz látni, hogy mi történik. Innen származik a hálózatfelügyelet fogalma. különböző eszközök használatával a rendszergazdák némi rálátást kaphatnak arra, hogy mi történik a hálózaton belül.

Parancssori segédprogramok

A rendszergazdák számos eszközt használhatnak hálózatuk figyelésére. A legalapvetőbb eszközök a parancssori diagnosztikai eszközök. Valószínűleg ismeri őket, és folyamatosan használja őket. A ping például lehetővé teszi annak ellenőrzését, hogy egy adott IP-cím elérhető-e, és statisztikai adatokat szolgáltathat az oda-vissza út késéseiről és a csomagvesztésről. A Tracert – vagy a traceroute, az operációs rendszertől függően – nyomon követi a teljes hálózati utat két eszköz között. Az Nmap felsorolja az összes eszközt, amely egy adott alhálózaton található.

Csomag rögzítő és elemző eszközök

Ezután a hálózati megfigyelő eszközök, amelyek lehetővé teszik egy adott helyen áthaladó forgalom rögzítését, és lehetővé teszik a csomagok dekódolását és elemzését. Nagyon hasznosak lehetnek, amikor megpróbálják megoldani az alkalmazási réteggel kapcsolatos problémákat, de gyakran nem adnak sok információt a hálózat tényleges teljesítményéről. Az egyik ilyen eszköz, amely nagyon elterjedt, a Wireshark. A Tcpdump egy másik hasonló eszköz, amely grafikus felhasználói felület helyett parancssori felületet használ.

Áramláselemző szoftver

A történések legpontosabb áttekintéséhez végezze el az áramláselemzést, amire szüksége van. Hálózati eszközökre támaszkodik, hogy forgalmi információkat küldjenek, úgynevezett gyűjtőknek és/vagy elemzőknek nevezett rendszerekre, amelyek viszont képesek értelmezni az áramlási adatokat és értelmes módon megjeleníteni azokat. Az ezt lehetővé tevő protokoll neve NetFlow. A Cisco Systems hozta létre néhány évvel ezelőtt, de ma már általánosan használják ilyen vagy olyan formában a legtöbb nagy gyártó hálózati berendezésein.

Mi az a NetFlow?

A NetFlow-t a Cisco Systems fejlesztette ki, és az útválasztókon vezették be, hogy lehetővé tegyék az IP-hálózati forgalom összegyűjtését, amikor az interfészen belép vagy kilép. Az összegyűjtött adatokat ezután a hálózati rendszergazdák elemzik, hogy segítsenek meghatározni a forgalom forrását és célját, a szolgáltatás osztályát és a torlódások okait.

Az áramlási exportőr a csomagokat folyamokká összesíti, és az áramlási rekordokat egy vagy több áramlásgyűjtő felé exportálja. Ez az a komponens, amely a felügyelt eszközökön fut.

Az áramlásgyűjtő felelős az áramlásexportőrtől kapott áramlási adatok fogadásáért, tárolásáért és előfeldolgozásáért.

Végül a folyam elemzizer egy olyan alkalmazás, amely a fogadott áramlási adatok elemzésére szolgál. Az elemzés felhasználható a forgalom profilalkotására vagy a hálózati hibaelhárításra.

Hogyan működik a NetFlow

Az útválasztók, kapcsolók és bármely más, a NetFlow-t támogató eszköz beállítható úgy, hogy áramlási adatokat áramlási rekordok formájában adjon ki és küldjön el egy NetFlow gyűjtőhöz. A flow egy teljes beszélgetés az IP értelmében. Az áramlási rekordokat előkészítő eszköz általában elküldi azokat a kollektornak, amikor megállapítja, hogy az áramlás befejeződött vagy az öregedés miatt – nem volt forgalom egy adott időtúllépésen belül –, vagy amikor TCP-munkamenetet lát megszüntetése.

Az áramlási rekord sok információt tartalmaz az áramlásról. Tartalmazza a bemeneti és kimeneti interfészt, a folyam kezdeti és befejezési időbélyegét, a bájtok és csomagok számát tartalmazza a 3. réteg fejléceit, a forrás és a cél IP-címét és portszámát, az IP protokollt és a TOS-t. érték. A folyamatrekordok nem tartalmazzák az áramlást alkotó tényleges adatokat. Az egyetlen információ az áramlásról. Ez biztonsági szempontból fontos.

A hatalmas többhelyes környezetek kivételével az áramlásgyűjtők, ahová a rekordokat küldik, gyakran az áramláselemzők is. A folyamatrekordokban található információkat arra használják, hogy a hálózati forgalommal kapcsolatos adatokat a hálózati rendszergazdák számára hasznos módon jelenítsék meg. A különböző NetFlow gyűjtők és analizátorok eltérő módon jeleníthetik meg az adatokat. Itt hasznos lesz a legjobb NetFlow gyűjtők és elemzők listája.

Néhány alternatíva a NetFlow-hoz

Ahogy már utaltunk rá, a NetFlow többféle néven létezik. De a NetFlow-nak is vannak alternatívái, a két legismertebb az sFlow és az IPFIX. Ez utóbbi nagymértékben a NetFlow legújabb verzióján alapul, kivéve, hogy ez egy IETF szabvány. Szabadon gondolhatjuk, hogy a Cisco végül akár a NetFlow-t is lecserélheti IPFIX-re.

Ami az sFlow-t illeti, ez egy másik, egymással versengő rendszer. Célja és általános működési elve hasonló, de eltérő. Egyes NetFlow-elemzők az sFlow-val is működnek, de általában az egyik felhasználója nem használja a másikat.

A legjobb NetFlow gyűjtők Linuxhoz

Felkutattuk a piacon a legjobb NetFlow Collectors és analizátorokat Linuxhoz. Amit kínálunk Önnek, az az öt legjobb termék, amelyet megtaláltunk, preferencia sorrendben, kedvencünkkel a lista elején. Tekintsük át mindegyiket, és fedezzük fel főbb jellemzőiket azzal a céllal, hogy segítsünk kiválasztani az igényeinek leginkább megfelelő csomagot.

1. ManageEngine NetFlow Analyzer

A ManageEngine NetFlow Analyzer részletes képet ad a hálózati rendszergazdának a hálózati sávszélesség kihasználtságáról és a forgalmi mintákról. A terméket web alapú felület vezérli, és lenyűgöző számú különböző nézetet kínál a hálózaton.

Megtekintheti például a forgalmat alkalmazások, beszélgetések, protokollok és számos további lehetőség szerint. Riasztásokat is beállíthat, hogy figyelmeztesse Önt a lehetséges problémákra. Például beállíthat egy forgalmi küszöböt egy adott felületen, és figyelmeztetést kaphat, ha a forgalom meghaladja azt.

De a termék erejének nagy része a jelentésekből és az irányítópultból származik. Az eszköz számos nagyon hasznos előre elkészített jelentést tartalmaz, amelyek kifejezetten konkrét célokra vannak szabva, például hibaelhárítás, kapacitástervezés vagy számlázás. De nem ragad le a beépített jelentéseknél, mivel az eszköz lehetővé teszi a rendszergazdák számára, hogy tetszés szerint készítsenek egyéni jelentéseket.

Ami az eszköz általunk említett irányítópultot illeti, az ugyanolyan lenyűgöző, mint a jelentései. Számos kördiagramot tartalmaz olyan dolgokkal, mint például a legnépszerűbb alkalmazások, a legnépszerűbb protokollok vagy a legnépszerűbb beszélgetések. Hőtérképet is tud megjeleníteni a felügyelt interfészek állapotával. És ahogy azt sejteni lehetett, az irányítópultok testreszabhatók úgy, hogy csak azokat az információkat tartalmazzák, amelyeket hasznosnak talál. A műszerfalon a figyelmeztetések is megjelennek felugró ablakok formájában. Az útközbeni hálózati rendszergazda számára pedig van egy okostelefon-alkalmazás, amely lehetővé teszi az irányítópult és a jelentések elérését.

A ManageEngine NetFlow Analyzer támogatja a legtöbb áramlási technológiát, beleértve a NetFlow-t (természetesen), az IPFIX-et, a J-flow-t, a NetStream-et és még néhányat. Bónuszként az is kiválóan integrálható a Cisco eszközökkel, és támogatja a forgalomformálás és/vagy QoS házirendek beállítását közvetlenül az eszközből.

Sok konkurens termékhez hasonlóan a ManageEngine NetFlow Analyzer is két változatban érhető el. Az ingyenes verzió az első 30 napban megegyezik a fizetős verzióval, de ezután csak két áramlási felület figyelésére tér vissza. Bár ez nem sok, ez lehet minden, amire szüksége van.

Ha fizetős verziót szeretne, a licencek többféle méretben is elérhetők, 100-tól 2500-ig terjedő interfészek vagy áramlások között, az árak körülbelül 600 USD és több mint 50 000 USD között változnak, plusz az éves karbantartási díjak.

2. Vizsgáló

A Plixer Scrutinizer egy másik nagyszerű NetFlow Analyzer. Valójában ez még ennél is több, és sokan teljes körű incidensreagáló rendszernek tekintik. Különböző folyamtípusok, például NetFlow, J-flow, NetStream és IPFIX figyelésére való képességének köszönhetően nem korlátozódik csak a Cisco eszközök figyelésére.

Hierarchikus felépítésével a Scrutinizer egyszerű és hatékony adatgyűjtést kínál, és lehetővé teszi, hogy kicsiben és könnyen skálázzon akár több millió áramlást másodpercenként. Gyakran először a hálózatot hibáztatják, amikor valami elromlik. A Scrutinizer segítségével gyorsan megtalálhatja a legtöbb hálózati probléma valódi okát. A Scrutinizer fizikai és virtuális környezetben is működik, és fejlett jelentési funkciókkal rendelkezik.

A Scrutinizer négy licencszinttel érkezik, amelyek az alap ingyenes verziótól a teljes értékű SCR-szintig terjednek, amely akár több mint 10 millió másodpercenkénti adatfolyamot is elérhet. Az ingyenes verzió másodpercenként 10 ezer áramlásra korlátozódik, és csak 5 órán keresztül tárolja a nyers áramlási adatokat, de ez bőven elegendő a hálózati problémák elhárításához. Kipróbálhatja bármelyik licencszintet 30 napig, majd visszaáll az ingyenes verzióra. Az eszköz hardvereszközként vagy virtuális eszközként érhető el, amely Linux-gazdagépen futhat KVM-en keresztül

3. nProbe és ntopng

Az nProbe és az ntopng valamivel fejlettebb – és bonyolultabb – nyílt forráskódú eszközök. Az Ntopng egy webalapú forgalomelemző eszköz a hálózatok áramlási adatokon alapuló megfigyelésére, míg az nProbe egy NetFlow és IPFIX exportőr és gyűjtő. Együtt nagyon rugalmas elemzési csomagot alkotnak. Ha korábban már felügyelt Linux hálózatokat, akkor valószínűleg ismeri az ntopot. Az ntopng ennek a kortalan eszköznek a következő generációs GUI verziója.

Létezik az ntopng ingyenes közösségi verziója, és vállalati verziókat is vásárolhat. Ezek drágák lehetnek, de ingyenesek az oktatási és nonprofit szervezetek számára. Ami az nProbe-ot illeti, ingyenesen kipróbálhatja, de összesen 25 000 exportált adatfolyamra korlátozódik. Ha ezen túl szeretne lépni, licencet kell vásárolnia.

A legtöbb modern hálózati elemző eszközhöz hasonlóan az ntopng is rendelkezik egy webalapú felhasználói felülettel, amely képes adatokat megjeleníteni a forgalom szerint, például a legnépszerűbb beszélők, folyamok, gazdagépek, eszközök és interfészek szerint. Diagramok, táblázatok és grafikonok keverékét tartalmazza. a legtöbb olyan lefúrási opciókat tartalmaz, amelyek lehetővé teszik a mélyebb felfedezést. A felület meglehetősen rugalmas, és sok testreszabást tesz lehetővé.

4. FlowScan

A FlowScan egyfajta vizualizációs eszköz, amellyel elemezheti a Netflow adatokat, és jelentést készíthet azokról. Képes vizuális grafikonokat készíteni, amelyek közel valós időben mutatják meg, mi történik a hálózaton. A FlowScan telepíthető GNU/Linux vagy BSD rendszeren. Számos más csomagot használ az áramlások helyes összegyűjtéséhez és feldolgozásához. Például a Cflowd-ot áramlásgyűjtőként használják. A FlowScan valójában egy Perl-szkript, amely a szoftvercsomag nagy részét alkotja. Ez az összetevő felelős a jelentések betöltéséért és végrehajtásáért. Az utolsó fő összetevő az RRDtool, amely egy népszerű eszköz az adatok körkörös adatbázisokban való tárolására és ezeknek az adatoknak a grafikonokon való ábrázolására, amelyet áramlási információk tárolására és hasznos grafikonok előállítására használnak.

A hálózati rendszergazdák gyakran tapasztalják, hogy túl kevés vagy túl sok adatot gyűjtöttek össze. A FlowScan által biztosított áramlási profilalkotás pragmatikus kompromisszumot kínál az adatgyűjtés ilyen szélsőségei között. Mivel a folyamok a csomagok egy adott porton vagy interfészen való áthaladása során gyűjtött összesített adatokat tartalmazzák, használhatók egyfajta rövidítésként az érdekes végpontok között utazó csomagok sorozataihoz. Ez a szolgáltatás azonban önmagában nem elegendő a megbízható folyamatos használathoz: további szoftvereszközökre van szükség ezen folyamok meghatározásához, elemzéséhez és elemzéséhez. Ezeket a kiegészítő eszközöket a FlowScan tartalmazza.

5. inMon sFlowTrend (Külön említés)

Bár nem NetFlow gyűjtő és elemző, hanem inkább olyan, amely kezeli az sFlow-t, úgy éreztük, hogy az sFlowTrend megérdemli, hogy szerepeljen ezen a listán. Futhat Linuxon, és ha a hálózat összetevői az sFlow-t használják a NetFlow helyett, akkor ez az egyik legjobb elérhető eszköz. Az eszköz az inMon-tól származik, az sFlow mögött álló cégtől. Ez egy alapvető és kissé korlátozott, de nagyon hatékony eszköz. A szoftver ingyenes verziója lehetővé teszi, hogy akár öt sFlow-kompatibilis kapcsolóról, útválasztóról vagy gazdagépről gyűjtsön adatokat, és legfeljebb egy óráig tárolja az előzményeket a RAM-ban. Ennek elegendőnek kell lennie a legtöbb hálózati probléma elhárításához. És ha fokozni szeretné a dolgot, frissíthet a pro verzióra – természetesen költség ellenében –, amely megszünteti az eszközök számának korlátozását, és az előzményeket a lemezen tárolja.

Az sFlowTrend Dashboard fül gyors áttekintést nyújt a felügyelt eszközök és hálózatok aktuális állapotáról, tartalmazza a legfelső szintű küszöbértékeket és az esetleges hibákat tartalmazó interfészt. Ha rákattint a Hálózat fülre, az sflowTrend összesített teljesítménystatisztikát és részletes forgalmat jelenít meg a hálózat vagy az eszköz szintjén. Riasztási küszöbértékek határozhatók meg. Lehetővé teszi, hogy riasztásokat kapjon, ha a szokásosnál nagyobb sávszélesség-használat vagy hálózati hiba történik. Van még egy kiváltó ok lap is, ahol részletesebben megtudhatja a probléma okát, például a küszöbsértést.

A Gazdagépek lapon részletesebb információkat talál az egyes eszközökről. Teljesítményadatokat biztosít a hálózaton, a CPU-n, a lemezen stb. az sFlow-kompatibilis szerverekhez – beleértve a virtuálisakat is. A Szolgáltatások lapon az sFlow adatokat exportáló alkalmazások (beleértve a különféle webszervereket) teljesítményadatait találja. Az Események lapon talál egy naplót az eseményekről, például a küszöbértékek túllépéséről vagy az észlelt hibákról. Végül a Jelentések lap számos előre definiált jelentést kínál, de támogatja az egyéni jelentések létrehozását is. Itt futtathatja a jelentéseket, majd megtekintheti az eredményeket.

Az sFlowTrend Java nyelven íródott, és Java-alapú vagy web-alapú felhasználói felülettel is rendelkezik. Elérhető Linux, Windows és Mac rendszereken. Online súgó is rendelkezésre áll, amely segítséget nyújt az eszköz konfigurálásához és használatához. Ez egy nagyszerű eszköz, különösen az sFlow-kompatibilis berendezésekkel rendelkező kisebb szervezetek számára. A pro verzióhoz vezető frissítési útvonal pedig ugyanolyan érvényes választássá teszi a nagyobb hálózatok számára.

Becsomagolás

Bár a legjobb NetFlow gyűjtők és elemzők, például a SolarWinds NetFlow Traffic Analyzer csak Windows rendszerű gépeken fut, még mindig rengeteg lehetőség áll rendelkezésre, ha az Ön által választott megfigyelőeszköz-platform Linux. Az olyan kereskedelmi termékek, mint a ManageEngine NetFlow Analyzer vagy a Plixer's Scrutinizer és a nyílt forráskódú eszközök között kell olyannak lennie, amely tökéletesen megfelel az Ön igényeinek.

Az összes termék, amelyet most áttekintettünk, nagyszerű lehetőség. Előfordulhat, hogy egyesek nem olyan teljes értékűek, vagy egy kicsit több munkát igényelnek a beállításuk, de bármelyikük elvégzi a dolgát, és jól teszi. És mivel mindegyik kínál valamilyen ingyenes próbaverziót – vagy teljesen ingyenes, nincs ok arra, hogy ne próbáljon ki néhányat közülük, és nézze meg, melyik a megfelelő.