As melhores ferramentas de monitoramento de rede de código aberto

À medida que as redes estão ficando maiores e as empresas confiando cada vez mais nelas para suas operações diárias, o monitoramento da rede é consequentemente mais importante do que nunca. Quedas de rede e lentidão podem ter grandes impactos nas organizações. Os administradores de rede devem, portanto, usar as ferramentas adequadas para monitorar redes e solucionar problemas encontrados. Entre todas as ferramentas disponíveis, várias são lançadas no modelo de código aberto e geralmente podem ser obtidas gratuitamente. Hoje, estamos analisando algumas das melhores ferramentas de monitoramento de rede de código aberto.

Começaremos nossa discussão falando sobre a necessidade de ferramentas de monitoramento de rede e os diferentes tipos de ferramentas disponíveis. Veremos como funcionam os monitores de utilização da largura de banda, os sistemas de análise de rede e os farejadores de pacotes e como eles podem ser usados ​​em nosso benefício. Em seguida, revisaremos as melhores ferramentas de código aberto em cada uma das três categorias.

Sobre as ferramentas de monitoramento de rede

O tráfego de rede é muito semelhante ao tráfego rodoviário. Assim como os circuitos de rede podem ser vistos como rodovias, os dados transportados nas redes são como veículos viajando naquela rodovia. Mas, em oposição ao tráfego de veículos, onde você só precisa ver se e o que está errado, é complicado ver o que está acontecendo em uma rede. Para iniciantes, tudo está acontecendo muito rápido e os dados transportados em uma rede são invisíveis a olho nu.

As ferramentas de monitoramento de rede permitem "ver" exatamente o que está acontecendo na sua rede. Com eles, você poderá medir a utilização de cada circuito, analisar quem e o que está consumindo largura de banda e se aprofundar nas "conversas" da rede para verificar se tudo está funcionando normalmente.

Diferentes tipos de ferramentas de monitoramento

Existem basicamente três tipos principais de ferramentas de monitoramento de rede. Cada um vai um pouco mais fundo que o anterior e fornece mais detalhes sobre o tráfego. Primeiro, existem monitores de utilização de largura de banda. Essas ferramentas indicam a quantidade de dados transportados na sua rede, mas é isso.

Para mais informações, você precisa de outro tipo de ferramenta, os analisadores de rede. Essas são ferramentas que podem fornecer algumas informações sobre o que exatamente está acontecendo. Eles não informam apenas quanto tráfego está passando. Eles também podem dizer qual tipo de tráfego e entre quais hosts ele está se movendo.

E para mais detalhes, você tem farejadores de pacotes. Eles fazem uma análise aprofundada capturando e decodificando o tráfego. As informações que eles fornecem permitem que você veja exatamente o que está acontecendo e identifique os problemas com a maior precisão.

Ferramentas de monitoramento de uso de largura de banda

A maioria dos monitores de utilização de largura de banda depende do SNMP (Simple Network Management Protocol) para pesquisar dispositivos e obter a quantidade de tráfego em todas ou algumas interfaces. Usando esses dados, eles costumam criar gráficos que descrevem a utilização da largura de banda ao longo do tempo. Normalmente, eles permitem aumentar o zoom em um período mais curto, em que a resolução do gráfico é alta e mostra, por exemplo, Tráfego médio de 1 minuto ou reduza o zoom para um período mais longo, geralmente até um mês ou até um ano, onde é exibido diariamente ou semanalmente médias.

SNMP em poucas palavras

O Simple Network Management Protocol - ou SNMP - pode ser usado para monitorar e configurar remotamente equipamentos de rede. Apesar do nome, não é exatamente simples, e sua implementação pode ser uma tarefa assustadora. Os dispositivos habilitados para SNMP disponibilizam um certo número de parâmetros - chamados OIDs -. Alguns são parâmetros de configuração modificáveis, permitindo alterá-los enquanto outros são contadores somente leitura.

Quando se trata de monitoramento de largura de banda, estamos especificamente interessados ​​em dois OIDs. Eles são chamados bytes in e bytes out. Ao ler esses valores em intervalos precisos, o número de bytes por unidade de tempo - que é exatamente o que é a largura de banda - pode ser calculado. A maioria dos dispositivos de rede, como comutadores e roteadores, possui um desses conjuntos de OIDs para cada uma de suas interfaces.

Normalmente, um sistema de monitoramento de utilização da largura de banda da rede pesquisará cada dispositivo em intervalos de 5 minutos. Ele subtrairá o valor anterior do contador do atual para obter o número de bytes transferidos em cinco minutos. Ele multiplicará esse número por 8 para obter o número de bits. E, finalmente, dividirá por 300 para obter a largura de banda em bits por segundo.

Além dos contadores de bits dentro e fora dos bits, algum sistema de monitoramento de largura de banda permitirá monitorar outros parâmetros. Por exemplo, existem erros de entrada na interface e OIDs de erros na saída da interface que podem ser pesquisados ​​para calcular a taxa de erro.

Ferramentas de análise de tráfego de rede

Se você precisar saber mais do que a quantidade de tráfego que passa, precisará de um sistema de monitoramento mais avançado. O que você precisa é o que chamamos de sistema de análise de rede. Esses sistemas contam com software embutido em equipamentos de rede para enviar dados detalhados de uso. Esses sistemas geralmente podem exibir os principais oradores e ouvintes, uso por endereço de origem ou destino, uso por protocolo ou aplicativo e várias outras informações úteis sobre o que está acontecendo.

Embora alguns sistemas usem agentes de software que você deve instalar nos sistemas de destino, a maioria deles se baseia em protocolos padrão como NetFlow, IPFIX ou sFlow. Eles geralmente são incorporados ao equipamento e prontos para uso assim que são configurados.

Sobre a análise de fluxo

Originalmente criado como uma maneira de simplificar a criação de listas de controle de acesso, o NetFlow foi desenvolvido pela Cisco Systems. Os engenheiros perceberam rapidamente que os dados coletados poderiam ser utilizados de maneira diferente exportando-os para um dispositivo que pudesse analisar essas informações.

O NetFlow usa uma arquitetura de três componentes. O exportador que é executado no dispositivo monitorado agrega pacotes em fluxos e exporta registros de fluxo para um coletor de fluxo. O coletor de fluxo lida com a recepção, armazenamento e pré-processamento dos dados de fluxo. Finalmente, o analisador de fluxo é usado para analisar os dados de fluxo recebidos. Muitos sistemas combinam o coletor e o analisador em um dispositivo.

Uma vez exclusivo para dispositivos Cisco, o NetFlow agora é comumente encontrado em equipamentos de outros fabricantes. Pode usar outros nomes, como Jflow, no equipamento Juniper. A versão mais recente foi criada como um padrão IETF chamado IPFIX. Há também um sistema concorrente chamado sFlow da inMon, que também está presente em várias marcas de equipamentos de rede. E embora o NetFlow e o sFlow sejam consideravelmente diferentes na maneira como operam, muitos sistemas de monitoramento podem lidar com ambos os protocolos.

Para obter mais informações sobre sistemas de análise de rede, leia nosso artigo recente: Melhores coletores e analisadores NetFlow para Windows: revisados ​​em 2018.

Que tal cheirar pacotes?

Se você precisar de mais informações sobre o tráfego na sua rede, os detectores de pacotes oferecem o máximo de detalhes possível. Eles trabalham capturando cada pacote e decodificando-o. Eles permitem que você veja todos os detalhes de uma conversa específica. Eles podem ser muito úteis para identificar a fonte exata de um problema de rede.

Por exemplo, digamos que os usuários estejam reclamando que esse aplicativo está muito mais lento que o normal. Como as redes geralmente são afetadas pelo congestionamento, o primeiro reflexo do usuário será culpar a rede. Você usa monitores de largura de banda ou analisadores de rede e não encontra vestígios de congestionamento em qualquer lugar. É quando você obtém o farejador de pacotes e, ao examinar o tráfego, vê que, para cada solicitação que o cliente envia ao servidor, a resposta é retornada apenas 10 segundos depois. Agora, para descartar qualquer problema de rede, repita o teste capturando o tráfego na interface de rede do servidor e veja o mesmo comportamento. Isso confirma que é o servidor que demora a responder e que não há nada de errado com a rede.

As melhores ferramentas de monitoramento de largura de banda de código aberto

Como são as ferramentas mais básicas de monitoramento de rede e devem ser as primeiras implantadas, vamos começar com uma rápida revisão das principais ferramentas de monitoramento de largura de banda de código aberto. Todos eles usam o SNMP para pesquisar periodicamente seus dispositivos de rede e criar gráficos de utilização de largura de banda, dando a você alguma visibilidade sobre o uso da rede.

1. MRTG

o Roteador de tráfego multi-roteadorou MRTG, é o avô de todos os sistemas de monitoramento de largura de banda da rede. É um projeto de código aberto que existe desde 1995. ele ainda é amplamente utilizado, apesar de a versão mais recente já ter cerca de cinco anos. Está disponível para Linux e Windows. A instalação e a configuração inicial são um pouco mais complicadas do que você experimentaria com outros sistemas de monitoramento, mas uma documentação excelente está prontamente disponível.

Instalando MRTG é um processo de várias etapas e você precisa seguir cuidadosamente as instruções de configuração. Depois de instalado, você configura o software editando seu arquivo de configuração. O MRTG pode ser baixado diretamente do site do desenvolvedor. Está disponível como um arquivo .zip para Windows ou um tarball para Linux. Até o momento em que este artigo foi escrito, a versão estável mais recente é a 2.17.4.

o que MRTG falta de facilidade de uso, ganha flexibilidade. Principalmente escrito em Perl, ele pode ser facilmente modificado e adaptado às necessidades exatas. E o fato de ser o primeiro sistema de monitoramento e ainda estar presente é uma prova de seu valor.

2. Cactos

Você pode pensar em Cactos como MRTG em esteróides. Flexível e versátil como seu primo distante, é um produto mais sofisticado e possui uma interface de usuário baseada na Web que torna a configuração muito simples e intuitiva. O Cacti possui um poller rápido, modelos avançados de gráficos, vários métodos de aquisição e gerenciamento de usuários. Pode ser expandido para redes de praticamente qualquer tamanho, incluindo vários sites.

Cactos é na verdade uma interface para o RRDTool, um sistema de registro e gráfico de dados de código aberto e alto desempenho para dados de séries temporais. O RRDTool é um descendente direto do MRTG. A ferramenta armazena os dados para criar e preencher gráficos em um banco de dados MySQL e é totalmente escrito em PHP.

Configurando Cati é fácil. Por exemplo, adicionar um dispositivo requer que você digite seu endereço IP ou nome do host e comunidade SNMP. O software descobrirá a interface do dispositivo e permitirá selecionar para qual deles você deseja classificar os gráficos de uso.

Visite a Cactos site para obter mais informações sobre este produto ou para baixá-lo. É totalmente gratuito para qualquer uso.

3. Zabbix

Zabbix é um produto gratuito e de código aberto que pode ser usado para monitorar qualquer coisa. As ferramentas podem ser executadas em várias distribuições do Linux - incluindo o Rapsbian, a versão do Raspberry Pi no Linux - e monitorará redes, servidores, aplicativos e serviços e aplicativos baseados em nuvem ambientes. Apresenta uma aparência altamente profissional, como você esperaria de um produto comercial. Boa aparência não é suficiente para estar na nossa lista, no entanto. Felizmente, este produto também possui um amplo conjunto de recursos, escalabilidade ilimitada, monitoramento distribuído, segurança forte e alta disponibilidade. É um verdadeiro produto de nível empresarial.

Zabbix usa uma combinação de tecnologias de monitoramento. Ele suporta o monitoramento SNMP, bem como a IMPI (Intelligent Platform Monitoring Interface). Também pode fazer monitoramento baseado em agente com agentes disponíveis para a maioria das plataformas. Para facilitar a configuração, há modelos de descoberta automática e pronta para uso em muitos dispositivos. A interface do usuário baseada na Web da ferramenta possui vários recursos avançados, como painéis baseados em widget, gráficos, mapas de rede, apresentações de slides e relatórios de pesquisa.

O produto também possui um sistema de alerta altamente personalizável, que não apenas envia notificações mensagens que contêm informações de tempo de execução e inventário, mas também podem ser personalizadas com base nas informações do destinatário Função. Também pode escalar problemas de acordo com os níveis de serviço flexíveis definidos pelo usuário. Você pode até deixar Zabbix corrija alguns problemas automaticamente.

4. Zenoss Core

Zenoss Core provavelmente não é tão popular quanto algumas das outras ferramentas de monitoramento nesta lista, mas realmente merece seu lugar, principalmente por causa de seu conjunto de recursos e aparência profissional. A ferramenta pode monitorar muitas coisas, como utilização de largura de banda, fluxos de tráfego ou serviços como HTTP e FTP. Possui uma interface de usuário limpa e simples e seu sistema de alerta é excelente. Uma coisa que nós particularmente gostamos: seu sistema de alerta múltiplo único. Permite que uma segunda pessoa seja alertada se a primeira não responder dentro de um atraso predefinido.

Nem tudo é perfeito. Zenoss Core é um dos sistemas de monitoramento mais complicados de instalar e configurar. A instalação é um processo totalmente orientado por linha de comando. Os administradores de rede de hoje estão acostumados a instaladores de GUI, assistentes de configuração e mecanismos de detecção automática. Isso pode tornar a instalação do produto um pouco arcaica. No entanto, há ampla documentação disponível e o resultado final faz valer os esforços de instalação.

A melhor ferramenta de análise de fluxo de código aberto

Embora os sistemas de monitoramento de largura de banda mostrem o quanto sua rede é usada, ela ainda deixa você no escuro sobre como é usada. Para esse tipo de visibilidade, você precisa implantar o próximo nível de sistemas de monitoramento, ferramentas de análise de fluxo. Essas ferramentas usam o NetFlow e suas variantes ou sFlow para coletar informações detalhadas sobre o tráfego que está sendo transportado na sua rede. Vamos dar uma olhada em uma das melhores ferramentas de análise de fluxo de código aberto que podemos encontrar.

nProbe e ntopng

nProbe e ntopng são duas ferramentas de código aberto. Ntopng é uma ferramenta de análise de tráfego baseada na Web para monitorar redes com base em dados de fluxo enquanto nProbe é um exportador e coletor do NetFlow e IPFIX. Juntos, eles criam um pacote de análise muito flexível. Se você conhece o comando nix do Unix, ntopng é a versão GUI da próxima geração dessa ferramenta sem idade.

Existe uma versão gratuita da comunidade do ntopng, mas você também pode comprar a versão corporativa. E, embora possa ser caro, é gratuito para organizações educacionais e sem fins lucrativos. Quanto a nProbe, você pode experimentá-lo gratuitamente, mas está limitado a um total de 25.000 fluxos exportados. Quando você alcançar isso, o que pode ser mais rápido do que você pensa, precisará comprar uma licença.

O ntopng possui uma interface de usuário baseada na Web que pode apresentar dados de diferentes maneiras, como os principais oradores, fluxos, hosts, dispositivos e interfaces. Existem tabelas, tabelas e gráficos. muitos com opções de drill down. A interface é muito flexível e permite muita personalização.

Os melhores farejadores de pacotes de código aberto

Para obter mais detalhes sobre o que está acontecendo na sua rede, é necessário o uso de farejadores de pacotes. Eles funcionam capturando todos os dados em um ponto específico da sua rede e permitem decodificar cada pacote e seguir os detalhes de cada "conversa". A colocação de um farejador de pacotes é em si uma questão complicada, pois terá uma incidência direta no que você pode ver. Livros inteiros foram escritos sobre isso. Normalmente, um sniffer de pacotes será configurado para capturar o tráfego de um servidor espelhando a porta do switch desse servidor para uma porta livre no mesmo dispositivo em que o sniffer será conectado. Também existem torneiras que podem ser inseridas entre dois dispositivos e capturar todo o tráfego que passa. Vamos discutir brevemente quais são os cinco melhores farejadores de pacotes.

1. Wireshark

Wireshark existe há séculos. Tudo começou no século passado. E hoje ainda é "o analisador de protocolo de rede mais utilizado e amplamente utilizado no mundo". É o padrão de fato para muitas empresas, agências governamentais e instituições de ensino.

Entre os principais recursos do produto, você encontrará a possibilidade de captura ao vivo e análise offline. Wireshark também suporta a inspeção profunda de centenas de protocolos, com mais sendo adicionados o tempo todo. Ele também possui os filtros de exibição mais poderosos do setor. O produto será executado no Windows, Linux, macOS, Solaris, FreeBSD, NetBSD e muitos outros.

2. EtherApe

EtherApe é outro projeto de código aberto, como o Wireshark e o tcpdump. No entanto, ele usa uma representação mais gráfica do tráfego e pode ser usado com mais eficiência para identificar a origem do tráfego pesado, causando congestionamento na rede. Na realidade, EtherApe não é realmente um farejador de pacotes, pois não decodifica pacotes nem permite que você os capture em uma tabela.

Em vez de, EtherApe tem uma abordagem mais gráfica. Representará sua rede como um círculo com cada host em sua borda. Dentro do círculo, há uma linha entre dois hosts se comunicando. As linhas são codificadas por tipo de tráfego e sua espessura mostra a quantidade de tráfego. É uma ferramenta muito diferente de aprender e usar, mas, ainda assim, fornece uma maneira diferente de visualizar o tráfego que provou ser útil mais de uma vez.