De 5 beste NetFlow-verzamelaars voor Linux in 2020

Het beheren van netwerken vereist het gebruik van gespecialiseerde tools die u de nodige zichtbaarheid geven om ervoor te zorgen dat alles te allen tijde soepel verloopt. In tegenstelling tot wegverkeer waar vertragingen en obstakels gemakkelijk kunnen worden vastgesteld, is netwerkverkeer niet gemakkelijk te zien. Dit is de reden waarom tools zoals NetFlow kunnen helpen. De NetFlow-technologie kan u enig inzicht geven in welk verkeer uw netwerk doorkruist in plaats van hoeveel verkeer er is. Lees verder terwijl we enkele van de beste NetFlow-verzamelaars en -analysers voor Linux beoordelen.

We beginnen onze reis met het bespreken van de verschillende methoden die netwerkbeheerders kunnen gebruiken om hun netwerk te bewaken en problemen te lokaliseren en op te lossen voordat ze echte problemen worden. Vervolgens leggen we uit wat NetFlow is, hoe het werkt en wat er nodig is om het te exploiteren. En terwijl we daar zijn, bespreken we ook enkele NetFlow-alternatieven die interessant kunnen zijn. We duiken dan in de kern van de zaak en beoordelen enkele van de beste NetFlow-verzamelaars en -analysatoren die beschikbaar zijn voor het Linux-platform. In overeenstemming met de open-sourcefilosofie van Linux zijn sommige gratis beschikbaar, terwijl andere een aankoop of een abonnement vereisen.

Monitoring netwerken

Als netwerkbeheerder is het een van uw verantwoordelijkheden om ervoor te zorgen dat alles actief is soepel, dat er geen vertragingen zijn en dat al het netwerkverkeer binnen een acceptabele tijd. Wat er op een netwerk gebeurt, gebeurt helaas in kabels, routers, schakelaars en andere apparatuur, waar het doorgaans erg moeilijk is om te zien wat er aan de hand is. Hier komt het concept van netwerkmonitoring vandaan. met behulp van verschillende tools kunnen beheerders inzicht krijgen in wat er in het netwerk gebeurt.

Opdrachtregelhulpprogramma's

Er zijn verschillende tools die beheerders kunnen gebruiken om hun netwerk te bewaken. De meest elementaire hulpmiddelen zijn diagnostische hulpmiddelen voor de opdrachtregel. U kent ze waarschijnlijk en gebruikt ze constant. Met Ping kunt u bijvoorbeeld valideren dat een bepaald IP-adres kan worden bereikt en enkele statistieken verstrekken over retourvertragingen en pakketverlies. Tracert - of traceroute, afhankelijk van uw besturingssysteem - traceert het volledige netwerkpad tussen twee apparaten. Nmap geeft een overzicht van alle apparaten die aanwezig zijn op een specifiek subnet.

Hulpmiddelen voor pakketvastlegging en analyse

Vervolgens zijn er tools voor netwerkbewaking waarmee u verkeer kunt vastleggen dat door een specifieke locatie gaat en waarmee u de pakketten kunt decoderen en analyseren. Ze kunnen erg handig zijn bij het oplossen van problemen met de applicatielaag, maar ze geven u vaak niet veel informatie over de daadwerkelijke prestaties van uw netwerk. Een dergelijke tool die heel gewoon is geworden, wordt Wireshark genoemd. Tcpdump is een ander soortgelijk hulpmiddel dat een opdrachtregelinterface gebruikt in plaats van een GUI.

Stroomanalysesoftware

Voor een zo nauwkeurig mogelijk beeld van wat er gaande is, analyseert u wat u nodig heeft. Het vertrouwt op netwerkapparaten om verkeersinformatie te verzenden, dus systemen die verzamelaars en / of analysatoren worden genoemd en die op hun beurt stroomgegevens kunnen interpreteren en op zinvolle manieren kunnen presenteren. Het protocol dat dit toelaat, heet NetFlow. Het is enkele jaren geleden door Cisco Systems gemaakt, maar wordt nu in de een of andere vorm algemeen gebruikt op netwerkapparatuur van de meeste grote fabrikanten.

Wat is NetFlow?

NetFlow is ontwikkeld door Cisco Systems en werd geïntroduceerd op hun routers om IP-netwerkverkeer te verzamelen wanneer het een interface binnenkomt of verlaat. De verzamelde gegevens worden vervolgens geanalyseerd door netwerkbeheerders om de bron en bestemming van het verkeer, de serviceklasse en de oorzaken van congestie te helpen bepalen.

De stroom exporteur aggregeert pakketten in stromen en exporteert stroomrecords naar een of meer stroomverzamelaars. Dit is het onderdeel dat wordt uitgevoerd op de bewaakte apparaten.

De stroomcollector is verantwoordelijk voor de ontvangst, opslag en voorverwerking van stroomgegevens ontvangen van een stroomexporteur.

eindelijk, de stromen analyserennul is een applicatie die wordt gebruikt om ontvangen stroomgegevens te analyseren. Analyse kan worden gebruikt voor verkeersprofilering of voor het oplossen van netwerkproblemen.

Hoe NetFlow werkt

Routers, switches en elk ander apparaat dat NetFlow ondersteunt, kunnen worden geconfigureerd om stroomgegevens uit te voeren in de vorm van stroomrecords en deze naar een NetFlow-verzamelaar te sturen. Een flow is een compleet gesprek in IP-zin. Het apparaat dat stroomrecords voorbereidt, stuurt deze normaal gesproken naar de verzamelaar wanneer wordt vastgesteld dat de stroom is voltooid ofwel door veroudering - er is geen verkeer binnen een specifieke time-out - of wanneer het een TCP-sessie ziet beëindiging.

Het stroomrecord bevat veel informatie over de stroom. Het bevat de invoer- en uitvoerinterfaces, de start- en eindtijdstempels van de stroom, het aantal bytes en pakketten het bevat, de headers van laag 3, het IP-adres van de bron en bestemming en het poortnummer, het IP-protocol en de TOS waarde. Stroomrecords bevatten niet de feitelijke gegevens waaruit de stroom bestond. De enige bevatten informatie over de stroom. Dit is belangrijk vanuit veiligheidsoogpunt.

Behalve in enorme omgevingen met meerdere locaties, zijn de stroomcollectoren waar de records naartoe worden gestuurd vaak ook de stroomanalysatoren. Ze gebruiken de informatie in stroomrecords om gegevens over netwerkverkeer te presenteren op een manier die handig is voor netwerkbeheerders. Verschillende NetFlow-verzamelaars en -analysatoren kunnen op verschillende manieren gegevens presenteren. Dit is waar onze lijst met de beste NetFlow-verzamelaars en -analysatoren van pas zal komen.

Enkele alternatieven voor NetFlow

Zoals we al hebben laten doorschemeren, bestaat NetFlow onder verschillende namen. Maar er zijn ook alternatieven voor NetFlow, de twee bekendste zijn sFlow en IPFIX. De laatste is sterk gebaseerd op de nieuwste versie van NetFlow, behalve dat het een IETF-standaard is. We zijn vrij om te denken dat Cisco uiteindelijk zelfs NetFlow kan vervangen door IPFIX.

Wat sFlow betreft, het is een ander, concurrerend systeem. Het doel en de algemene werkingsprincipes zijn vergelijkbaar maar verschillend. Sommige NetFlow-analysers werken ook met sFlow, maar over het algemeen gebruiken gebruikers van de ene de andere niet.

De beste NetFlow-verzamelaars voor Linux

We hebben de markt afgezocht naar de beste NetFlow-verzamelaars en -analysers voor Linux. Wat we voor je hebben zijn vijf van de beste producten die we konden vinden, in volgorde van voorkeur met onze favoriet bovenaan de lijst. Laten we ze allemaal bekijken en hun belangrijkste kenmerken verkennen met als doel u te helpen het pakket te kiezen dat het beste bij u past.

1. ManageEngine NetFlow Analyzer

De ManageEngine NetFlow Analyzer geeft de netwerkbeheerder een gedetailleerd overzicht van het gebruik van netwerkbandbreedte en verkeerspatronen. Het product wordt bestuurd door een webgebaseerde interface en biedt een indrukwekkend aantal verschillende weergaven op uw netwerk.

U kunt bijvoorbeeld het verkeer bekijken per applicatie, per gesprek, per protocol en nog veel meer opties. U kunt ook waarschuwingen instellen om u te waarschuwen voor mogelijke problemen. U kunt bijvoorbeeld een verkeersdrempel instellen op een specifieke interface en worden gewaarschuwd wanneer er meer verkeer is.

Maar de meeste kracht van het product komt uit de rapporten en het dashboard. De tool wordt geleverd met een aantal zeer nuttige vooraf gebouwde rapporten die specifiek zijn afgestemd op specifieke doeleinden zoals probleemoplossing, capaciteitsplanning of facturering. Maar u zit niet vast aan ingebouwde rapporten, omdat de tool beheerders ook in staat stelt om aangepaste rapporten naar wens te maken.

Het dashboard van de tool dat we noemden, is net zo indrukwekkend als de rapporten. Het bevat verschillende cirkeldiagrammen met zaken als toptoepassingen, topprotocollen of topgesprekken. Het kan ook een hittekaart weergeven met de status van de bewaakte interfaces. En zoals je misschien al geraden had, kunnen dashboards worden aangepast om alleen de informatie te bevatten die je nuttig vindt. Op het dashboard worden ook waarschuwingen weergegeven in de vorm van pop-ups. En voor de netwerkbeheerder die onderweg is, is er een smartphone-app waarmee u toegang krijgt tot het dashboard en de rapporten.

De ManageEngine NetFlow Analyzer ondersteunt de meeste stroomtechnologieën, waaronder NetFlow (natuurlijk), IPFIX, J-flow, NetStream en een paar andere. Als bonus heeft ook zij een uitstekende integratie met Cisco-apparaten, met ondersteuning voor het aanpassen van traffic shaping en / of QoS-beleid rechtstreeks vanuit de tool.

Zoals veel concurrerende producten, is de ManageEngine NetFlow Analyzer verkrijgbaar in twee versies. De gratis versie zal gedurende de eerste 30 dagen identiek zijn aan de betaalde versie, maar zal dan terugkeren naar het bewaken van slechts twee interfaces van stromen. Hoewel dit niet veel is, is het misschien alles wat u nodig heeft.

Als u de betaalde versie wilt, zijn licenties beschikbaar in verschillende groottes van 100 tot 2500 interfaces of stromen met prijzen die variëren van ongeveer $ 600 tot meer dan $ 50.000 plus jaarlijkse onderhoudskosten.

2. Onderzoeker

Scrutinizer van Plixer is een andere geweldige NetFlow Analyzer. Het is zelfs meer dan dat en velen beschouwen het als een volledig systeem voor incidentrespons. Met de mogelijkheid om verschillende stroomtypes zoals NetFlow, J-flow, NetStream en IPFIX te monitoren, bent u niet beperkt tot het monitoren van alleen Cisco-apparaten.

Met zijn hiërarchische ontwerp biedt Scrutinizer een gestroomlijnde en efficiënte gegevensverzameling en stelt u in staat om klein te beginnen en gemakkelijk op te schalen tot vele miljoenen stromen per seconde. Het netwerk krijgt vaak eerst de schuld als er iets misgaat. Met Scrutinizer kunt u snel de echte oorzaak van bijna alle netwerkproblemen vinden. Scrutinizer werkt in zowel fysieke als virtuele omgevingen en wordt geleverd met geavanceerde rapportagefuncties.

Scrutinizer wordt geleverd in vier licentieniveaus die gaan van de gratis basisversie tot het volwaardige SCR-niveau, dat kan oplopen tot meer dan 10 miljoen stromen per seconde. De gratis versie is beperkt tot 10.000 stromen per seconde en het zal slechts ruwe stroomgegevens gedurende 5 uur bewaren, maar het zou meer dan genoeg moeten zijn om netwerkproblemen op te lossen. U kunt ook elke licentielaag 30 dagen proberen, waarna deze terugkeert naar de gratis versie. De tool is beschikbaar als hardware-appliance of als virtuele appliance die via KVM op een Linux-host kan draaien

3. nProbe en ntopng

nProbe en ntopng zijn wat geavanceerdere - en meer gecompliceerde - open source tools. Ntopng is een webgebaseerde tool voor verkeersanalyse voor het bewaken van netwerken op basis van stroomgegevens, terwijl nProbe een NetFlow- en IPFIX-exporteur en -verzamelaar is. Samen zorgen ze voor een zeer flexibel analysepakket. Als je eerder Linux-netwerken hebt beheerd, ben je misschien bekend met ntop. ntopng is de volgende generatie GUI-versie van deze tijdloze tool.

Er is een gratis communityversie van ntopng en u kunt ook bedrijfsversies kopen. Ze kunnen duur zijn, maar ze zijn gratis voor educatieve en non-profitorganisaties. Wat nProbe betreft, u kunt het gratis proberen, maar het is beperkt tot een totaal van 25.000 geëxporteerde stromen. Om verder te gaan, moet u een licentie kopen.

Zoals de meeste moderne netwerkanalysetools, beschikt ntopng over een webgebaseerde gebruikersinterface die gegevens kan presenteren door verkeer, zoals topsprekers, stromen, hosts, apparaten en interfaces. Het heeft een mix van grafieken, tabellen en grafieken. de meeste hebben opties voor detailweergave waarmee u dieper kunt verkennen. De interface is vrij flexibel en laat veel maatwerk toe.

4. FlowScan

FlowScan is een soort visualisatietool die u kunt gebruiken om Netflow-gegevens te analyseren en erover te rapporteren. Het kan visuele grafieken produceren die in bijna realtime zijn en u laten zien wat er in uw netwerk gebeurt. FlowScan kan worden ingezet op een GNU / Linux- of een BSD-systeem. Het gebruikt verschillende andere pakketten om stromen correct te verzamelen en te verwerken. Zo wordt Cflowd gebruikt als de stroomcollector. FlowScan is eigenlijk een Perl-script dat het grootste deel van het softwarepakket uitmaakt. Dit onderdeel is verantwoordelijk voor het laden en uitvoeren van rapporten. Een laatste belangrijke component is RRDtool, een populaire tool voor het opslaan van gegevens in round-robin databases en het plotten van die gegevens op grafieken, die wordt gebruikt om stroominformatie op te slaan en bruikbare grafieken te produceren.

Netwerkbeheerders vinden vaak dat ze ofwel te weinig of te veel gegevens hebben verzameld. Flowprofilering zoals geleverd door FlowScan biedt een pragmatisch compromis tussen dergelijke extremen in gegevensverzameling. Omdat stromen geaggregeerde gegevens verzamelen die worden verzameld als pakketten over een bepaalde poort of interface reizen, kunnen ze worden gebruikt als een soort afkorting voor reeksen pakketten die tussen eindpunten van belang reizen. Maar deze functie alleen is onvoldoende voor betrouwbaar continu gebruik: aanvullende softwaretools zijn nodig om deze stromen te definiëren, te ontleden en te analyseren. Die extra tools zijn inbegrepen bij FlowScan.

5. inMon sFlowTrend (Speciale vermelding)

Hoewel het geen NetFlow-verzamelaar en -analysator is, maar eerder een die sFlow verwerkt, vonden we dat sFlowTrend het verdiende om op deze lijst te staan. Het kan op Linux draaien en als de componenten van uw netwerk sFlow gebruiken in plaats van NetFlow, is het een van de beste tools die er zijn. De tool is van inMon, het bedrijf achter sFlow. Het is een eenvoudig en enigszins beperkt maar zeer capabel hulpmiddel. Met de gratis versie van de software kunt u gegevens verzamelen van maximaal vijf sFlow-compatibele switches, routers of hosts en bewaart u de geschiedenisgegevens slechts een uur in het RAM. Het zou voldoende moeten zijn om de meeste netwerkproblemen op te lossen. En als u een stap verder wilt gaan, kunt u upgraden naar de pro-versie - uiteraard tegen een vergoeding - waardoor het aantal apparaten wordt beperkt en de geschiedenisgegevens op schijf worden opgeslagen.

Het sFlowTrend Dashboard-tabblad biedt een snel overzicht van de huidige status van de bewaakte apparaten en netwerken, het bevat drempels op het hoogste niveau en interfaces met mogelijke fouten. Wanneer u op het tabblad Netwerk klikt, geeft sflowTrend beknopte prestatiestatistieken en gedetailleerd verkeer op netwerk- of apparaatniveau weer. Waarschuwingsdrempels kunnen worden gedefinieerd. Hiermee kunt u waarschuwingen ontvangen wanneer er een bandbreedtegebruik of netwerkfout optreedt die hoger is dan normaal. Er is zelfs een tabblad met de hoofdoorzaak waar u kunt inzoomen op de oorzaak van een probleem, zoals een drempeloverschrijding.

Op het tabblad Hosts vindt u meer gedetailleerde informatie over elk apparaat. Het biedt prestatiegegevens op netwerk, CPU, schijf, enz. Voor sFlow-compatibele servers, inclusief virtuele. Op het tabblad Services vindt u prestatiegegevens voor applicaties (waaronder verschillende webservers) die sFlow-gegevens exporteren. Op het tabblad Gebeurtenissen vindt u een logboek met gebeurtenissen zoals drempelwaarden overschreden of gedetecteerde fouten. En tot slot biedt het tabblad Rapporten verschillende vooraf gedefinieerde rapporten, maar het ondersteunt ook het maken van aangepaste rapporten. Dit is waar u naartoe gaat om rapporten uit te voeren en vervolgens hun resultaten te bekijken.

sFlowTrend is geschreven in Java en wordt geleverd met zowel een op Java als op het web gebaseerde gebruikersinterface. Het is beschikbaar voor Linux, Windows en Mac. Er is ook online hulp beschikbaar om u te helpen bij het configureren en gebruiken van de tool. Het is een geweldige tool, vooral voor kleinere organisaties met sFlow-compatibele apparatuur. En het upgradepad naar de pro-versie maakt het een even geldige keuze voor grotere netwerken.

Afsluiten

Hoewel enkele van de allerbeste NetFlow-verzamelaars en -analysatoren zoals de SolarWinds NetFlow Traffic Analyzer dat zullen doen alleen draaien op Windows-machines, er zijn nog genoeg opties beschikbaar als uw monitoring tool platform naar keuze is Linux. Tussen commerciële producten zoals de ManageEngine NetFlow Analyzer of Plixer's Scrutinizer en open source-tools, moet er een zijn die perfect bij uw behoeften past.

Alle producten die we zojuist hebben beoordeeld, zijn geweldige opties. Sommigen zijn misschien niet zo volledig uitgerust of ze hebben misschien wat meer werk nodig om ze in te stellen, maar elk van hen zal zijn werk doen en het goed doen. En aangezien ze allemaal een of andere vorm van gratis proefversie bieden - of helemaal gratis zijn, is er geen reden om er niet een paar te proberen en zelf te kijken welke voor jou is.