De 5 beste NetFlow-samlerne for Linux i 2020

Administrering av nettverk krever bruk av spesialiserte verktøy som gir deg den nødvendige synlighet for å sikre at alt går jevnt til enhver tid. I motsetning til veitrafikk der forsinkelser og hindringer lett kan identifiseres, er ikke nettverkstrafikk noe som er lett å se. Dette er grunnen til at verktøy som NetFlow kan hjelpe. NetFlow-teknologien kan gi deg litt innsikt i hvilken trafikk som krysser nettverket ditt i stedet for hvor mye trafikk det er. Les videre mens vi vurderer noen av de beste NetFlow-samlerne og analysatorene for Linux.

Vi starter reisen med å diskutere de forskjellige metodene nettverksadministratorer kan bruke for å overvåke nettverket sitt og finne – og fikse – problemer før de blir reelle problemer. Deretter vil vi forklare hva NetFlow er Hvordan det fungerer og hva som trengs for å utnytte det. Og mens vi er der, vil vi også diskutere noen NetFlow-alternativer som kan være av interesse. Vi vil deretter dykke ned i sakens kjerne og gjennomgå noen av de beste NetFlow-samlerne og analysatorene som er tilgjengelige for Linux-plattformen. I samsvar med åpen kildekode-filosofien til Linux er noen av dem tilgjengelige gratis, mens andre krever et kjøp eller et abonnement.

Overvåkingsnettverk

Som nettverksadministrator er et av dine ansvar å sørge for at alt kjører problemfritt, at det ikke er noen bremser og at all nettverkstrafikk kommer til destinasjonen innen en akseptabel tid. Dessverre skjer det som skjer på et nettverk inne i kabler, rutere, brytere og annet utstyr hvor det vanligvis er veldig vanskelig å se hva som skjer. Det er her konseptet nettverksovervåking kommer fra. Ved å bruke forskjellige verktøy kan administratorer få litt innsikt i hva som skjer inne i nettverket.

Kommandolinjeverktøy

Det er flere verktøy administratorer kan bruke for å overvåke nettverket sitt. De mest grunnleggende verktøyene er kommandolinjediagnoseverktøy. Du kjenner dem sannsynligvis og bruker dem konstant. Ping lar deg for eksempel validere at en gitt IP-adresse kan nås og gi litt statistikk om tur-retur-forsinkelser og pakketap. Tracert – eller traceroute, avhengig av operativsystemet ditt – vil spore hele nettverksbanen mellom to enheter. Nmap vil liste opp alle enhetene som er til stede på et spesifikt subnett.

Pakkefangst- og analyseverktøy

Deretter er nettverksovervåkingsverktøy som lar deg fange opp trafikk som passerer gjennom et bestemt sted, og som lar deg dekode pakkene og analysere dem. De kan være svært nyttige når du prøver å løse problemer med applikasjonslag, men de vil ofte ikke gi deg mye informasjon om den faktiske ytelsen til nettverket ditt. Et slikt verktøy som har blitt veldig vanlig heter Wireshark. Tcpdump er et annet lignende verktøy som bruker et kommandolinjegrensesnitt i stedet for et GUI.

Programvare for flytanalyse

For den mest nøyaktige oversikten over hva som skjer, flytanalyse hva du trenger. Den er avhengig av nettverksenheter for å sende trafikkinformasjon, såkalte samlere og/eller analysatorer, som igjen kan tolke flytdata og presentere dem på meningsfulle måter. Protokollen som tillater dette kalles NetFlow. Det ble opprettet av Cisco Systems for flere år siden, men det er nå ofte brukt i en eller annen form på nettverksutstyr fra de fleste store produsenter.

Hva er NetFlow?

NetFlow ble utviklet av Cisco Systems og ble introdusert på deres rutere for å gi muligheten til å samle IP-nettverkstrafikk når den kommer inn eller ut av et grensesnitt. De innsamlede dataene blir deretter analysert av nettverksadministratorer for å hjelpe med å bestemme kilden og destinasjonen for trafikk, tjenesteklassen og årsakene til overbelastning.

De flyteksportør aggregerer pakker til flyter og eksporterer flytposter til en eller flere flytsamlere. Dette er komponenten som kjører på de overvåkede enhetene.

De strømningssamler er ansvarlig for mottak, lagring og forbehandling av flytdata mottatt fra en flyteksportør.

Til slutt, den strømme analysezer er en applikasjon som brukes til å analysere mottatte flytdata. Analyse kan brukes til trafikkprofilering, eller for nettverksfeilsøking.

Hvordan NetFlow fungerer

Rutere, brytere og andre enheter som støtter NetFlow kan konfigureres til å sende ut flytdata i form av flytposter og sende dem til en NetFlow-samler. En flyt er en fullstendig samtale i IP-forstand. Enheten som forbereder flytposter sender dem normalt til oppsamleren når den fastslår at flyten er ferdig enten gjennom aldring - det har ikke vært noen trafikk innen en bestemt tidsavbrudd - eller når den ser en TCP-økt avslutning.

Flytposten inneholder mye informasjon om flyten. Den inkluderer inngangs- og utgangsgrensesnittene, start- og slutttidsstemplene for flyten, antall byte og pakker den inneholder lag 3-overskriftene, kilde- og destinasjons-IP-adressen og portnummeret, IP-protokollen og TOS verdi. Flytposter inneholder ikke de faktiske dataene som utgjorde flyten. Den eneste inneholder informasjon om flyten. Dette er viktig fra et sikkerhetssynspunkt.

Bortsett fra i enorme multi-site-miljøer, er strømningssamlerne som postene sendes til ofte også strømningsanalysatorene. De bruker informasjonen i flytposter til å presentere data om nettverkstrafikk på en måte som er nyttig for nettverksadministratorer. Ulike NetFlow-samlere og -analysatorer vil ha forskjellige måter å presentere data på. Det er her vår liste over de beste NetFlow-samlerne og analysatorene vil komme godt med.

Noen alternativer til NetFlow

Som vi allerede har antydet, eksisterer NetFlow under flere forskjellige navn. Men det finnes også alternativer til NetFlow, de to mest kjente er sFlow og IPFIX. Sistnevnte er sterkt basert på den nyeste versjonen av NetFlow bortsett fra at det er en IETF-standard. Vi står fritt til å tro at Cisco til og med kan erstatte NetFlow med IPFIX.

Når det gjelder sFlow, er det et annet, konkurrerende system. Dens mål og generelle prinsipper for drift er like, men forskjellige. Noen NetFlow-analysatorer vil også fungere med sFlow, men generelt sett bruker ikke brukere av den ene den andre.

De beste NetFlow-samlerne for Linux

Vi har søkt markedet etter de beste NetFlow-samlerne og analysatorene for Linux. Det vi har til deg er fem av de beste produktene vi kunne finne, i prioritert rekkefølge med vår favoritt øverst på listen. La oss gå gjennom hver enkelt og utforske hovedfunksjonene deres med målet om å hjelpe deg med å velge den pakken som passer best til dine behov.

1. ManageEngine NetFlow Analyzer

ManageEngine NetFlow Analyzer gir nettverksadministratoren en detaljert oversikt over bruk av nettverksbåndbredde samt trafikkmønstre. Produktet styres av et nettbasert grensesnitt og tilbyr et imponerende antall forskjellige visninger på nettverket ditt.

Du kan for eksempel se trafikk etter applikasjon, etter samtale, etter protokoll og flere alternativer. Du kan også angi varsler for å advare deg om potensielle problemer. Du kan for eksempel angi en trafikkterskel på et spesifikt grensesnitt og bli varslet når trafikken overskrider den.

Men mesteparten av styrken til produktet kommer fra rapportene og dashbordet. Verktøyet kommer med flere svært nyttige forhåndsbygde rapporter som er spesielt skreddersydd for spesifikke formål som feilsøking, kapasitetsplanlegging eller fakturering. Men du sitter ikke fast med innebygde rapporter, da verktøyet også lar administratorer lage tilpassede rapporter etter eget ønske.

Når det gjelder verktøyets dashbord vi nevnte, er det like imponerende som rapportene. Den inkluderer flere kakediagrammer med ting som toppapplikasjoner, toppprotokoller eller toppsamtaler. Den kan også vise et varmekart med status for de overvåkede grensesnittene. Og som du kanskje har gjettet, kan dashboards tilpasses til kun å inkludere informasjonen du finner nyttig. Dashbordet er også der varsler vises i form av popup-vinduer. Og for nettverksadministratoren som er på farten, er det en smarttelefonapp som lar deg få tilgang til dashbordet og rapportene.

ManageEngine NetFlow Analyzer støtter de fleste flytteknologier, inkludert NetFlow (selvfølgelig), IPFIX, J-flow, NetStream og noen få andre. Som en bonus har den også utmerket integrasjon med Cisco-enheter, med støtte for justering av trafikkforming og/eller QoS-policyer direkte fra verktøyet.

Som mange konkurrerende produkter kommer ManageEngine NetFlow Analyzer i to versjoner. Gratisversjonen vil være identisk med den betalte de første 30 dagene, men den vil deretter gå tilbake til å overvåke bare to grensesnitt med flyter. Selv om dette ikke er mye, kan det være alt du trenger.

Hvis du vil ha den betalte versjonen, er lisenser tilgjengelige i flere størrelser fra 100 til 2500 grensesnitt eller flyter med priser som varierer mellom rundt $600 til over $50K pluss årlige vedlikeholdsavgifter.

2. Gransker

Scrutinizer fra Plixer er en annen flott NetFlow Analyzer. Faktisk er det enda mer enn det, og mange ser på det som et komplett responssystem. Med sin evne til å overvåke forskjellige flyttyper som NetFlow, J-flow, NetStream og IPFIX, er du ikke begrenset til kun å overvåke Cisco-enheter.

Med sin hierarkiske design tilbyr Scrutinizer strømlinjeformet og effektiv datainnsamling og lar deg starte i det små og enkelt skalere opp til mange millioner flyter per sekund. Nettverket får ofte først skylden når noe går galt. Med Scrutinizer kan du raskt finne den virkelige årsaken til de fleste nettverksproblemer. Scrutinizer fungerer i både fysiske og virtuelle miljøer og kommer med avanserte rapporteringsfunksjoner.

Scrutinizer kommer i fire lisensnivåer som går fra den grunnleggende gratisversjonen til det fullverdige SCR-nivået som kan skalere opp til over 10 millioner flyter per sekund. Gratisversjonen er begrenset til 10 tusen flyter per sekund, og den vil bare beholde råflytdata i 5 timer, men det bør være mer enn nok til å feilsøke nettverksproblemer. Du kan også prøve et hvilket som helst lisensnivå i 30 dager, deretter går det tilbake til gratisversjonen. Verktøyet er tilgjengelig som en maskinvareenhet eller som en virtuell enhet som kan kjøres på en Linux-vert gjennom KVM

3. nProbe og ntopng

nProbe og ntopng er noe mer avanserte – og mer kompliserte – åpen kildekodeverktøy. Ntopng er et nettbasert trafikkanalyseverktøy for overvåking av nettverk basert på flytdata mens nProbe er en NetFlow og IPFIX eksportør og samler. Sammen utgjør de en svært fleksibel analysepakke. Hvis du har administrert Linux-nettverk før, er du kanskje kjent med ntop. ntopng er neste generasjons GUI-versjon av dette tidløse verktøyet.

Det er en gratis fellesskapsversjon av ntopng, og du kan også kjøpe bedriftsversjoner. De kan være dyre, men de er gratis for utdannings- og ideelle organisasjoner. Når det gjelder nProbe, kan du prøve det gratis, men det er begrenset til totalt 25 000 eksporterte flyter. For å gå utover det, må du kjøpe en lisens.

Som de fleste moderne nettverksanalyseverktøy har ntopng et nettbasert brukergrensesnitt som kan presentere data etter trafikk - som topptalere, flyter, verter, enheter og grensesnitt. Den har en blanding av diagrammer, tabeller og grafer. de fleste med drill-down alternativer som lar deg utforske i større dybde. Grensesnittet er ganske fleksibelt og gir mulighet for mye tilpasning.

4. FlowScan

FlowScan er et slags visualiseringsverktøy som du kan bruke til å analysere Netflow-data og rapportere om det. Den kan produsere visuelle grafer som er i nesten sanntid som viser deg hva som skjer på nettverket ditt. FlowScan kan distribueres på et GNU/Linux- eller et BSD-system. Den bruker flere andre pakker for å kunne samle og behandle flyter på riktig måte. For eksempel brukes Cflowd som strømningssamler. FlowScan er faktisk et Perl-skript som utgjør hoveddelen av programvarepakken. Denne komponenten er ansvarlig for å laste og utføre rapporter. En siste hovedkomponent er RRDtool, et populært verktøy for å lagre data i round-robin-databaser og plotte disse dataene på grafer, som brukes til å lagre flytinformasjon og produsere nyttige grafer.

Nettverksadministratorer opplever ofte at de enten har samlet inn for lite eller for mye data. Flytprofilering som levert av FlowScan tilbyr et pragmatisk kompromiss mellom slike ytterpunkter i datainnsamling. Fordi strømmer aggregerte data samlet inn som pakker reiser over en gitt port eller grensesnitt, kan de brukes som en slags forkortelse for serier av pakker som reiser mellom endepunkter av interesse. Men denne funksjonen alene er utilstrekkelig for pålitelig kontinuerlig bruk: ytterligere programvareverktøy er nødvendig for å definere, analysere og analysere disse flytene. Disse tilleggsverktøyene er inkludert i FlowScan.

5. inMon sFlowTrend (Spesiell omtale)

Selv om det ikke er en NetFlow-samler og -analysator, men snarere en som håndterer sFlow, følte vi at sFlowTrend fortjente å være på denne listen. Det kan kjøres på Linux, og hvis nettverkets komponenter bruker sFlow i stedet for NetFlow, er det et av de beste verktøyene som er tilgjengelige. Verktøyet er fra inMon, selskapet bak sFlow. Det er et grunnleggende og noe begrenset, men veldig kapabelt verktøy. Den gratis versjonen av programvaren lar deg samle data fra opptil fem sFlow-aktiverte brytere, rutere eller verter, og vil bare holde historikkdata i RAM i opptil en time. Det burde være nok til å feilsøke de fleste nettverksproblemer. Og hvis du vil trappe opp, kan du oppgradere til pro-versjonen – til en kostnad, selvfølgelig – som fjerner antall enheter og lagrer historikkdata på disken.

sFlowTrend Dashboard-fanen gir en rask oversikt over gjeldende tilstand til de overvåkede enhetene og nettverkene, den inkluderer terskler på toppnivå og grensesnitt med potensielle feil. Når man klikker på Network-fanen, avslører sflowTrend oppsummert ytelsesstatistikk og detaljert trafikk på nettverks- eller enhetsnivå. Varslingsterskler kan defineres. Den lar deg motta varsler når høyere båndbreddebruk enn vanlig eller nettverksfeil oppstår. Det er til og med en hovedårsaksfane der du kan se nærmere på årsaken til et problem, for eksempel et terskelbrudd.

Verter-fanen er der du finner mer detaljert informasjon om hver enhet. Den gir ytelsesdata på nettverk, CPU, disk osv. for sFlow-aktiverte servere – inkludert virtuelle. Under kategorien Tjenester finner du ytelsesdata for applikasjoner (inkludert ulike webservere) som eksporterer sFlow-data. På Hendelser-fanen finner du en logg over hendelser som overskredne terskler eller oppdagede feil. Og til slutt gir fanen Rapporter flere forhåndsdefinerte rapporter, men den støtter også opprettelse av egendefinerte rapporter. Det er her du går for å kjøre rapporter og deretter se resultatene deres.

sFlowTrend er skrevet i Java og kommer med både et Java-basert eller nettbasert brukergrensesnitt. Den er tilgjengelig for Linux, Windows og Mac. Det er også online hjelp som er tilgjengelig for å hjelpe deg med å konfigurere og bruke verktøyet. Det er et flott verktøy, spesielt for mindre organisasjoner med sFlow-aktivert utstyr. Og oppgraderingsveien til pro-versjonen gjør den til et like gyldig valg for større nettverk.

Innpakning

Selv om noen av de aller beste NetFlow-samlerne og analysatorene som SolarWinds NetFlow Traffic Analyzer vil bare kjøres på Windows-maskiner, er det fortsatt mange alternativer tilgjengelig hvis overvåkingsverktøyplattformen du velger Linux. Mellom kommersielle produkter som ManageEngine NetFlow Analyzer eller Plixers Scrutinizer og åpen kildekode-verktøy, må det være en som passer perfekt til dine behov.

Alle produktene vi nettopp har anmeldt er gode alternativer. Noen er kanskje ikke like fullverdige, eller de kan kreve litt mer arbeid for å sette dem opp, men noen av dem vil gjøre jobben sin og gjøre det bra. Og siden de alle tilbyr en form for gratis prøveversjon – eller er helt gratis, er det ingen grunn til å ikke prøve noen av dem og se selv hvilken som er for deg.