I 5 migliori raccoglitori NetFlow per Linux nel 2020

La gestione delle reti richiede l'uso di strumenti specializzati che ti diano la visibilità necessaria per garantire che tutto funzioni senza intoppi in ogni momento. A differenza del traffico stradale in cui è possibile individuare facilmente rallentamenti e ostacoli, il traffico di rete non è qualcosa di facile da vedere. Questo è il motivo per cui strumenti come NetFlow possono aiutare. La tecnologia NetFlow può darti un'idea del traffico che attraversa la tua rete invece di quanto traffico c'è. Continua a leggere mentre esaminiamo alcuni dei migliori raccoglitori e analizzatori NetFlow per Linux.

Inizieremo il nostro viaggio discutendo i diversi metodi che gli amministratori di rete possono utilizzare per monitorare la propria rete e individuare e risolvere i problemi prima che diventino problemi reali. Quindi, spiegheremo cos'è NetFlow, come funziona e cosa è necessario per sfruttarlo. E già che ci siamo, discuteremo anche di alcune alternative NetFlow che potrebbero interessare. Ci immergeremo quindi nel nocciolo della questione e esamineremo alcuni dei migliori raccoglitori e analizzatori NetFlow disponibili per la piattaforma Linux. In accordo con la filosofia open source di Linux, alcuni di essi sono disponibili gratuitamente mentre altri richiedono un acquisto o un abbonamento.

Reti di monitoraggio

In qualità di amministratore di rete, una delle tue responsabilità è assicurarti che tutto funzioni senza intoppi, che non ci siano rallentamenti e che tutto il traffico di rete arrivi a destinazione entro un tempo accettabile. Sfortunatamente, ciò che accade su una rete accade all'interno di cavi, router, switch e altre apparecchiature dove è generalmente molto difficile vedere cosa sta succedendo. Da qui nasce il concetto di monitoraggio della rete. utilizzando diversi strumenti, gli amministratori possono ottenere una certa visibilità su ciò che accade all'interno della rete.

Utilità da riga di comando

Esistono diversi strumenti che gli amministratori possono utilizzare per monitorare la propria rete. Gli strumenti di base sono strumenti diagnostici da riga di comando. Probabilmente li conosci e li usi costantemente. Ping, ad esempio, consente di convalidare che un determinato indirizzo IP può essere raggiunto e fornire alcune statistiche sui ritardi di andata e ritorno e la perdita di pacchetti. Tracert, o traceroute, a seconda del sistema operativo, traccerà il percorso di rete completo tra due dispositivi. Nmap elencherà tutti i dispositivi presenti su una specifica sottorete.

Acquisizione di pacchetti e strumenti di analisi

Successivamente, ci sono strumenti di monitoraggio della rete che ti permetteranno di catturare il traffico che passa attraverso una posizione specifica e che ti permetteranno di decodificare i pacchetti e analizzarli. Possono essere molto utili quando si tenta di risolvere problemi a livello di applicazione, ma spesso non forniscono molte informazioni sulle prestazioni effettive della rete. Uno di questi strumenti che è diventato molto comune si chiama Wireshark. Tcpdump è un altro strumento simile che utilizza un'interfaccia a riga di comando anziché una GUI.

Software di analisi del flusso

Per una visione più precisa di cosa sta succedendo, analizza il flusso di cui hai bisogno. Si basa su dispositivi di rete per inviare informazioni sul traffico, così sistemi chiamati raccoglitori e/o analizzatori che possono, a loro volta, interpretare i dati di flusso e presentarli in modi significativi. Il protocollo che lo consente si chiama NetFlow. È stato creato da Cisco Systems diversi anni fa, ma ora è comunemente utilizzato in una forma o nell'altra sulle apparecchiature di rete della maggior parte dei principali produttori.

Che cos'è NetFlow?

NetFlow è stato sviluppato da Cisco Systems ed è stato introdotto sui loro router per fornire la capacità di raccogliere il traffico di rete IP quando entra o esce da un'interfaccia. I dati raccolti vengono quindi analizzati dagli amministratori di rete per aiutare a determinare l'origine e la destinazione del traffico, la classe di servizio e le cause della congestione.

Il esportatore di flusso aggrega i pacchetti in flussi ed esporta i record di flusso verso uno o più collettori di flusso. Questo è il componente in esecuzione sui dispositivi monitorati.

Il collettore di flusso è responsabile della ricezione, conservazione e pre-elaborazione dei dati di flusso ricevuti da un esportatore di flusso.

Infine, il flusso analisizero è un'applicazione utilizzata per analizzare i dati di flusso ricevuti. L'analisi può essere utilizzata per la profilazione del traffico o per la risoluzione dei problemi di rete.

Come funziona NetFlow

Router, switch e qualsiasi altro dispositivo che supporti NetFlow possono essere configurati per emettere dati di flusso sotto forma di record di flusso e inviarli a un raccoglitore NetFlow. Un flusso è una conversazione completa nel senso IP. Il dispositivo che prepara i record di flusso normalmente li invia al raccoglitore quando determina che il flusso è terminato o attraverso l'invecchiamento (non c'è stato alcun traffico entro un timeout specifico) o quando vede una sessione TCP terminazione.

Il record di flusso contiene molte informazioni sul flusso. Include le interfacce di input e output, i timestamp di inizio e fine del flusso, il numero di byte e pacchetti contiene, le intestazioni di livello 3, l'indirizzo IP di origine e destinazione e il numero di porta, il protocollo IP e il TOS valore. I record di flusso non contengono i dati effettivi che costituivano il flusso. Le uniche contengono informazioni sul flusso. Questo è importante dal punto di vista della sicurezza.

Tranne che in enormi ambienti multi-sito, i collettori di flusso a cui vengono inviati i record sono spesso anche gli analizzatori di flusso. Usano le informazioni contenute nei record di flusso per presentare i dati sul traffico di rete in modo utile agli amministratori di rete. Diversi raccoglitori e analizzatori NetFlow avranno modi diversi di presentare i dati. È qui che la nostra lista dei migliori raccoglitori e analizzatori NetFlow tornerà utile.

Alcune alternative a NetFlow

Come abbiamo già accennato, NetFlow esiste con diversi nomi. Ma ci sono anche alternative a NetFlow, le due più conosciute sono sFlow e IPFIX. Quest'ultimo è fortemente basato sull'ultima versione di NetFlow, tranne per il fatto che è uno standard IETF. Siamo liberi di pensare che Cisco potrebbe anche sostituire NetFlow con IPFIX.

Per quanto riguarda sFlow, è un sistema diverso e concorrente. Il suo obiettivo e i principi generali di funzionamento sono simili ma diversi. Alcuni analizzatori NetFlow funzioneranno anche con sFlow ma, in generale, gli utenti di uno non usano l'altro.

I migliori collettori NetFlow per Linux

Abbiamo cercato sul mercato i migliori NetFlow Collector e analizzatori per Linux. Quello che abbiamo per te sono cinque dei migliori prodotti che siamo riusciti a trovare, in ordine di preferenza con il nostro preferito in cima alla lista. Esaminiamo ciascuno ed esploriamo le loro caratteristiche principali con l'obiettivo di aiutarti a scegliere il pacchetto che meglio soddisfa le tue esigenze.

1. Analizzatore NetFlow ManageEngine

ManageEngine NetFlow Analyzer offre all'amministratore di rete una visione dettagliata dell'utilizzo della larghezza di banda della rete e dei modelli di traffico. Il prodotto è controllato da un'interfaccia basata sul Web e offre un numero impressionante di visualizzazioni diverse sulla rete.

Puoi, ad esempio, visualizzare il traffico per applicazione, conversazione, protocollo e molte altre opzioni. Puoi anche impostare avvisi per avvisarti di potenziali problemi. Ad esempio, puoi impostare una soglia di traffico su un'interfaccia specifica ed essere avvisato ogni volta che il traffico la supera.

Ma la maggior parte della forza del prodotto deriva dai suoi report e dashboard. Lo strumento viene fornito con diversi report predefiniti molto utili che sono specificamente personalizzati per scopi specifici come la risoluzione dei problemi, la pianificazione della capacità o la fatturazione. Ma non sei bloccato con i rapporti integrati poiché lo strumento consente anche agli amministratori di creare rapporti personalizzati a loro piacimento.

Per quanto riguarda la dashboard dello strumento che abbiamo menzionato, è impressionante quanto i suoi report. Include diversi grafici a torta con cose come le migliori applicazioni, i migliori protocolli o le migliori conversazioni. Può anche visualizzare una mappa termica con lo stato delle interfacce monitorate. E come avrai intuito, i dashboard possono essere personalizzati per includere solo le informazioni che ritieni utili. La dashboard è anche il luogo in cui vengono visualizzati gli avvisi sotto forma di pop-up. E per l'amministratore di rete in movimento, c'è un'app per smartphone che ti consentirà di accedere alla dashboard e ai report.

ManageEngine NetFlow Analyzer supporta la maggior parte delle tecnologie di flusso, tra cui NetFlow (ovviamente), IPFIX, J-flow, NetStream e poche altre. Come bonus, anche questo ha un'eccellente integrazione con i dispositivi Cisco, con il supporto per la regolazione del traffico shaping e/o delle politiche QoS direttamente dallo strumento.

Come molti prodotti concorrenti, ManageEngine NetFlow Analyzer è disponibile in due versioni. La versione gratuita sarà identica a quella a pagamento per i primi 30 giorni ma poi tornerà a monitorare solo due interfacce di flussi. Anche se questo non è molto, potrebbe essere tutto ciò di cui hai bisogno.

Se si desidera la versione a pagamento, le licenze sono disponibili in diverse dimensioni da 100 a 2500 interfacce o flussi con prezzi che variano tra circa $ 600 e oltre $ 50K più spese di manutenzione annuali.

2. Scrutatore

Scrutinizer di Plixer è un altro ottimo NetFlow Analyzer. In effetti, è anche più di questo e molti lo vedono come un sistema completo di risposta agli incidenti. Con la sua capacità di monitorare diversi tipi di flusso come NetFlow, J-flow, NetStream e IPFIX, non sei limitato a monitorare solo i dispositivi Cisco.

Con il suo design gerarchico, Scrutinizer offre una raccolta dati snella ed efficiente e ti consente di iniziare in piccolo e facilmente scalare fino a molti milioni di flussi al secondo. La rete viene spesso incolpata per la prima volta ogni volta che qualcosa va storto. Con Scrutinizer, puoi trovare rapidamente la vera causa della maggior parte dei problemi di rete. Scrutinizer funziona sia in ambienti fisici che virtuali ed è dotato di funzionalità di reporting avanzate.

Scrutinizer è disponibile in quattro livelli di licenza che vanno dalla versione gratuita di base al livello SCR completo che può scalare fino a oltre 10 milioni di flussi al secondo. La versione gratuita è limitata a 10 mila flussi al secondo e manterrà solo i dati di flusso non elaborati per 5 ore, ma dovrebbe essere più che sufficiente per risolvere i problemi di rete. Puoi anche provare qualsiasi livello di licenza per 30 giorni, dopodiché tornerà alla versione gratuita. Lo strumento è disponibile come appliance hardware o come appliance virtuale che può essere eseguita su un host Linux tramite KVM

3. nProbe e ntopng

nProbe e ntopng sono strumenti open source un po' più avanzati e più complicati. Ntopng è uno strumento di analisi del traffico basato sul web per monitorare le reti in base ai dati di flusso, mentre nProbe è un esportatore e raccoglitore di NetFlow e IPFIX. Insieme, costituiscono un pacchetto di analisi molto flessibile. Se hai già amministrato reti Linux, potresti avere familiarità con ntop. ntopng è la versione GUI di nuova generazione di questo strumento senza età.

Esiste una versione community gratuita di ntopng e puoi anche acquistare versioni aziendali. Possono essere costosi ma sono gratuiti per le organizzazioni educative e senza scopo di lucro. Per quanto riguarda nProbe, puoi provarlo gratuitamente ma è limitato a un totale di 25.000 flussi esportati. Per andare oltre, dovrai acquistare una licenza.

Come la maggior parte dei moderni strumenti di analisi di rete, ntopng presenta un'interfaccia utente basata sul web che può presentare dati in base al traffico, come i principali oratori, flussi, host, dispositivi e interfacce. Ha un mix di grafici, tabelle e grafici. la maggior parte presenta opzioni di drill-down che ti consentono di esplorare in modo più approfondito. L'interfaccia è abbastanza flessibile e consente molte personalizzazioni.

4. FlowScan

FlowScan è una sorta di strumento di visualizzazione che puoi utilizzare per analizzare i dati di Netflow e creare report su di essi. Può produrre grafici visivi quasi in tempo reale che ti mostrano cosa sta succedendo sulla tua rete. FlowScan può essere distribuito su un sistema GNU/Linux o BSD. Utilizza diversi altri pacchetti per raccogliere ed elaborare correttamente i flussi. Ad esempio, Cflowd viene utilizzato come collettore di flusso. FlowScan è in realtà uno script Perl che costituisce la maggior parte del pacchetto software. Questo componente è responsabile del caricamento e dell'esecuzione dei report. Un ultimo componente importante è RRDtool, uno strumento popolare per archiviare dati in database round-robin e tracciare tali dati su grafici, che viene utilizzato per memorizzare informazioni sul flusso e produrre grafici utili.

Gli amministratori di rete spesso scoprono di aver raccolto troppo pochi o troppi dati. Il profilo di flusso fornito da FlowScan offre un compromesso pragmatico tra tali estremi nella raccolta dei dati. Poiché i flussi aggregano i dati raccolti mentre i pacchetti viaggiano attraverso una determinata porta o interfaccia, possono essere utilizzati come una sorta di abbreviazione per serie di pacchetti che viaggiano tra gli endpoint di interesse. Ma questa funzionalità da sola non è sufficiente per un uso continuo affidabile: sono necessari strumenti software aggiuntivi per definire, analizzare e analizzare questi flussi. Questi strumenti aggiuntivi sono inclusi con FlowScan.

5. inMon sFlowTrend (Menzione speciale)

Sebbene non sia un raccoglitore e un analizzatore NetFlow, ma piuttosto uno che gestisce sFlow, abbiamo ritenuto che sFlowTrend meritasse di essere in questo elenco. Può essere eseguito su Linux e se i componenti della tua rete utilizzano sFlow anziché NetFlow, è uno dei migliori strumenti disponibili. Lo strumento è di inMon, l'azienda dietro sFlow. È uno strumento di base e un po' limitato ma molto capace. La versione gratuita del software consente di raccogliere dati da un massimo di cinque switch, router o host abilitati sFlow e conserverà i dati della cronologia nella RAM solo per un massimo di un'ora. Dovrebbe essere sufficiente per risolvere la maggior parte dei problemi di rete. E se vuoi fare un passo avanti, puoi passare alla versione pro, ovviamente a un costo, che rimuove il limite del numero di dispositivi e memorizza i dati della cronologia su disco.

La scheda sFlowTrend Dashboard fornisce una rapida visualizzazione dello stato corrente dei dispositivi e delle reti monitorati, include soglie di primo livello e interfacce con potenziali errori. Quando si fa clic sulla scheda Rete, sflowTrend rivela statistiche sulle prestazioni riassunte e traffico dettagliato a livello di rete o dispositivo. È possibile definire soglie di allerta. Ti consente di ricevere avvisi quando si verifica un utilizzo della larghezza di banda superiore al normale o un errore di rete. C'è anche una scheda della causa principale in cui è possibile approfondire la causa di un problema come una violazione della soglia.

La scheda Host è dove troverai informazioni più dettagliate su ciascun dispositivo. Fornisce dati sulle prestazioni su rete, CPU, disco e così via per i server abilitati per sFlow, inclusi quelli virtuali. Nella scheda Servizi, troverai i dati sulle prestazioni per le applicazioni (inclusi vari server Web) che esportano i dati sFlow. Nella scheda Eventi, troverai un registro di eventi come il superamento delle soglie o gli errori rilevati. Infine, la scheda Rapporti fornisce diversi rapporti predefiniti ma supporta anche la creazione di rapporti personalizzati. Qui è dove andrai per eseguire i rapporti e quindi visualizzare i loro risultati.

sFlowTrend è scritto in Java e viene fornito con un'interfaccia utente basata su Java o web. È disponibile per Linux, Windows e Mac. C'è anche una guida in linea disponibile per assisterti nella configurazione e nell'utilizzo dello strumento. È un ottimo strumento, soprattutto per le organizzazioni più piccole con apparecchiature abilitate per sFlow. E il percorso di aggiornamento alla versione pro lo rende una scelta altrettanto valida per reti più grandi.

Avvolgendo

Sebbene alcuni dei migliori collettori e analizzatori NetFlow, come l'analizzatore di traffico NetFlow di SolarWinds, funziona solo su macchine Windows, ci sono ancora molte opzioni disponibili se la tua piattaforma di strumenti di monitoraggio preferita è Linux. Tra prodotti commerciali come ManageEngine NetFlow Analyzer o Plixer's Scrutinizer e strumenti open source, ce ne deve essere uno che si adatta perfettamente alle tue esigenze.

Tutti i prodotti che abbiamo appena recensito sono ottime opzioni. Alcuni potrebbero non essere così completi o potrebbero richiedere un po' più di lavoro per configurarli, ma ognuno di loro farà il suo lavoro e lo farà bene. E poiché offrono tutti una qualche forma di prova gratuita o sono completamente gratuiti, non c'è motivo per non provarne alcuni e vedere di persona quale è per te.