5 najlepších kolektorov NetFlow pre Linux v roku 2020

Správa sietí si vyžaduje použitie špecializovaných nástrojov, ktoré vám poskytnú potrebný prehľad, aby sa zaistilo, že všetko bude za každých okolností fungovať hladko. Na rozdiel od cestnej premávky, kde sa dajú ľahko určiť spomalenia a prekážky, nie je sieťová premávka ľahko viditeľná. To je dôvod, prečo môžu pomôcť nástroje ako NetFlow. Technológia NetFlow vám môže poskytnúť určitý prehľad o tom, aká prevádzka prechádza vašou sieťou, namiesto toho, aká veľká je. Čítajte ďalej, keď preskúmame niektoré z najlepších zberačov a analyzátorov NetFlow pre Linux.

Našu cestu začneme diskusiou o rôznych metódach, ktoré môžu správcovia siete použiť na monitorovanie svojej siete a lokalizáciu – a opravu – problémov skôr, ako sa stanú skutočnými problémami. Potom vysvetlíme, čo je NetFlow Ako funguje a čo je potrebné na jeho využitie. A keď sme tam, budeme diskutovať aj o niektorých alternatívach NetFlow, ktoré by mohli byť zaujímavé. Potom sa ponoríme do jadra veci a preskúmame niektoré z najlepších zberačov a analyzátorov NetFlow dostupných pre platformu Linux. V súlade s filozofiou Linuxu s otvoreným zdrojom sú niektoré z nich dostupné zadarmo, zatiaľ čo iné vyžadujú nákup alebo predplatné.

Monitorovacie siete

Jednou z vašich povinností ako správcu siete je zabezpečiť, aby všetko fungovalo hladko, že nedochádza k žiadnym spomaleniam a že všetka sieťová prevádzka sa dostane do cieľa v rámci jedného prijateľný čas. Bohužiaľ, to, čo sa deje v sieti, sa deje vo vnútri káblov, smerovačov, prepínačov a iných zariadení, kde je zvyčajne veľmi ťažké vidieť, čo sa deje. Odtiaľ pochádza koncept monitorovania siete. pomocou rôznych nástrojov môžu správcovia získať určitý prehľad o tom, čo sa deje v sieti.

Pomôcky príkazového riadku

Existuje niekoľko nástrojov, ktoré môžu správcovia použiť na monitorovanie svojej siete. Najzákladnejšími nástrojmi sú diagnostické nástroje príkazového riadka. Pravdepodobne ich poznáte a neustále ich používate. Ping vám napríklad umožňuje overiť, či je možné dosiahnuť danú IP adresu, a poskytnúť nejaké štatistiky o oneskoreniach a strate paketov. Tracert – alebo traceroute, v závislosti od vášho OS – bude sledovať celú sieťovú cestu medzi dvoma zariadeniami. Nmap zobrazí zoznam všetkých zariadení, ktoré sa nachádzajú v konkrétnej podsieti.

Nástroje na zachytávanie a analýzu paketov

Ďalej sú to nástroje na monitorovanie siete, ktoré vám umožnia zachytiť prevádzku prechádzajúcu cez konkrétne miesto a ktoré vám umožnia dekódovať pakety a analyzovať ich. Môžu byť veľmi užitočné pri riešení problémov s aplikačnou vrstvou, ale často vám neposkytnú veľa informácií o skutočnom výkone vašej siete. Jeden taký nástroj, ktorý sa stal veľmi bežným, sa nazýva Wireshark. Tcpdump je ďalší podobný nástroj, ktorý namiesto GUI používa rozhranie príkazového riadku.

Softvér na analýzu toku

Pre čo najpresnejší prehľad o tom, čo sa deje, analyzujte tok, čo potrebujete. Spolieha sa na sieťové zariadenia na odosielanie dopravných informácií, teda systémy nazývané zberače a/alebo analyzátory, ktoré zase dokážu interpretovať tokové údaje a prezentovať ich zmysluplným spôsobom. Protokol, ktorý to umožňuje, sa nazýva NetFlow. Bol vytvorený spoločnosťou Cisco Systems pred niekoľkými rokmi, ale teraz sa bežne používa v tej či onej forme na sieťových zariadeniach od väčšiny veľkých výrobcov.

Čo je NetFlow?

NetFlow bol vyvinutý spoločnosťou Cisco Systems a bol predstavený na ich smerovačoch, aby poskytoval možnosť zhromažďovať sieťovú prevádzku IP pri vstupe alebo výstupe z rozhrania. Zhromaždené údaje potom analyzujú správcovia siete, aby pomohli určiť zdroj a cieľ prevádzky, triedu služby a príčiny preťaženia.

The exportér toku agreguje pakety do tokov a exportuje záznamy o tokoch smerom k jednému alebo viacerým zberačom toku. Toto je komponent, ktorý beží na monitorovaných zariadeniach.

The prietokový kolektor je zodpovedný za príjem, uchovávanie a predbežné spracovanie údajov o tokoch prijatých od vývozcu toku.

Nakoniec, prúdiť analýzazer je aplikácia, ktorá sa používa na analýzu prijatých údajov o toku. Analýza sa môže použiť na profilovanie návštevnosti alebo na riešenie problémov so sieťou.

Ako funguje NetFlow

Smerovače, prepínače a akékoľvek iné zariadenia, ktoré podporujú NetFlow, možno nakonfigurovať tak, aby vydávali údaje o toku vo forme záznamov toku a odosielali ich do kolektora NetFlow. Tok je úplná konverzácia v zmysle IP. Zariadenie pripravujúce záznamy o prietoku ich zvyčajne odošle do kolektora, keď zistí, že prietok je ukončený buď v dôsledku starnutia – počas určitého časového limitu nedošlo k žiadnej prevádzke – alebo keď vidí reláciu TCP ukončenie.

Záznam toku obsahuje množstvo informácií o toku. Zahŕňa vstupné a výstupné rozhrania, časové značky začiatku a konca toku, počet bajtov a paketov obsahuje hlavičky vrstvy 3, zdrojovú a cieľovú IP adresu a číslo portu, IP protokol a TOS hodnotu. Záznamy toku neobsahujú skutočné údaje, ktoré tvoria tok. Obsahuje iba informácie o toku. Je to dôležité z hľadiska bezpečnosti.

S výnimkou veľkých prostredí s viacerými lokalitami sú prietokové kolektory, kam sa odosielajú záznamy, často tiež prietokové analyzátory. Používajú informácie obsiahnuté v záznamoch toku na prezentáciu údajov o sieťovej prevádzke spôsobom, ktorý je užitočný pre správcov siete. Rôzne zberače a analyzátory NetFlow budú mať rôzne spôsoby prezentácie údajov. Tu sa bude hodiť náš zoznam najlepších zberačov a analyzátorov NetFlow.

Niektoré alternatívy k NetFlow

Ako sme už naznačili, NetFlow existuje pod niekoľkými rôznymi názvami. Existujú však aj alternatívy k NetFlow, dve najznámejšie sú sFlow a IPFIX. Ten je vo veľkej miere založený na najnovšej verzii NetFlow okrem toho, že ide o štandard IETF. Môžeme si myslieť, že Cisco by dokonca mohlo nakoniec nahradiť NetFlow za IPFIX.

Čo sa týka sFlow, ide o iný, konkurenčný systém. Jeho cieľ a všeobecné princípy fungovania sú podobné, ale odlišné. Niektoré analyzátory NetFlow budú tiež pracovať s sFlow, ale vo všeobecnosti používatelia jedného nepoužívajú druhý.

Najlepšie NetFlow kolektory pre Linux

Hľadali sme na trhu najlepšie kolektory a analyzátory NetFlow pre Linux. Máme pre vás päť najlepších produktov, ktoré sme našli, v poradí podľa preferencií s našimi obľúbenými na začiatku zoznamu. Pozrime sa na každý z nich a preskúmajme ich hlavné funkcie s cieľom pomôcť vám vybrať balík, ktorý najlepšie zodpovedá vašim potrebám.

1. ManageEngine NetFlow Analyzer

ManageEngine NetFlow Analyzer poskytuje správcovi siete podrobný prehľad o využití šírky pásma siete, ako aj o vzorcoch prevádzky. Produkt je ovládaný webovým rozhraním a ponúka pôsobivý počet rôznych zobrazení vo vašej sieti.

Môžete napríklad zobraziť návštevnosť podľa aplikácie, konverzácie, protokolu a niekoľko ďalších možností. Môžete tiež nastaviť upozornenia, ktoré vás upozornia na možné problémy. Môžete napríklad nastaviť prah návštevnosti na konkrétnom rozhraní a byť upozornený vždy, keď ho návštevnosť prekročí.

Väčšina sily produktu však pochádza z jeho správ a palubnej dosky. Nástroj je dodávaný s niekoľkými veľmi užitočnými vopred vytvorenými správami, ktoré sú špeciálne prispôsobené na konkrétne účely, ako je riešenie problémov, plánovanie kapacity alebo fakturácia. Nezostanete však pri vstavaných prehľadoch, pretože tento nástroj tiež umožňuje správcom vytvárať vlastné prehľady podľa svojich predstáv.

Pokiaľ ide o ovládací panel nástroja, ktorý sme spomenuli, je rovnako pôsobivý ako jeho správy. Zahŕňa niekoľko koláčových grafov s vecami, ako sú top aplikácie, top protokoly alebo top konverzácie. Dokáže zobraziť aj tepelnú mapu so stavom monitorovaných rozhraní. A ako ste možno uhádli, ovládacie panely možno prispôsobiť tak, aby obsahovali iba informácie, ktoré považujete za užitočné. Na palubnej doske sa tiež zobrazujú upozornenia vo forme kontextových okien. A pre správcu siete na cestách je tu aplikácia pre smartfóny, ktorá vám umožní prístup k palubnej doske a správam.

ManageEngine NetFlow Analyzer podporuje väčšinu technológií toku vrátane NetFlow (samozrejme), IPFIX, J-flow, NetStream a niekoľkých ďalších. Ako bonus má tiež vynikajúcu integráciu so zariadeniami Cisco, s podporou úpravy tvarovania prevádzky a/alebo politík QoS priamo z nástroja.

Ako mnoho konkurenčných produktov, aj ManageEngine NetFlow Analyzer prichádza v dvoch verziách. Bezplatná verzia bude prvých 30 dní identická s platenou verziou, potom sa však vráti k monitorovaniu iba dvoch rozhraní tokov. Aj keď to nie je veľa, môže to byť všetko, čo potrebujete.

Ak chcete platenú verziu, licencie sú dostupné v niekoľkých veľkostiach od 100 do 2 500 rozhraní alebo tokov s cenami v rozmedzí od približne 600 do viac ako 50 000 USD plus ročné poplatky za údržbu.

2. Skrutátor

Scrutinizer od Plixer je ďalší skvelý NetFlow Analyzer. V skutočnosti je to ešte viac a mnohí to považujú za úplný systém reakcie na incidenty. Vďaka schopnosti monitorovať rôzne typy tokov, ako sú NetFlow, J-flow, NetStream a IPFIX, sa neobmedzujete len na monitorovanie zariadení Cisco.

Vďaka svojmu hierarchickému dizajnu ponúka Scrutinizer efektívny a efektívny zber údajov a umožňuje vám začať v malom a ľahko sa škálovať až do mnohých miliónov tokov za sekundu. Sieť je často najprv obviňovaná vždy, keď sa niečo pokazí. Pomocou nástroja Scrutinizer môžete rýchlo nájsť skutočnú príčinu väčšiny problémov so sieťou. Scrutinizer funguje vo fyzickom aj virtuálnom prostredí a prichádza s pokročilými funkciami vytvárania správ.

Scrutinizer prichádza v štyroch licenčných úrovniach, ktoré prechádzajú od základnej bezplatnej verzie až po plnohodnotnú úroveň SCR, ktorá môže dosiahnuť viac ako 10 miliónov tokov za sekundu. Bezplatná verzia je obmedzená na 10 000 tokov za sekundu a bude uchovávať nespracované údaje o toku iba 5 hodín, ale na riešenie problémov so sieťou by to malo byť viac než dosť. Môžete tiež vyskúšať akúkoľvek úroveň licencie na 30 dní, po ktorých sa vráti späť na bezplatnú verziu. Nástroj je dostupný ako hardvérové ​​zariadenie alebo ako virtuálne zariadenie, ktoré môže bežať na hostiteľovi Linuxu prostredníctvom KVM

3. nProbe a ntopng

nProbe a ntopng sú o niečo pokročilejšie – a komplikovanejšie – open source nástroje. Ntopng je webový nástroj na analýzu návštevnosti na monitorovanie sietí na základe údajov o toku, zatiaľ čo nProbe je exportér a zberateľ NetFlow a IPFIX. Spoločne tvoria veľmi flexibilný analytický balík. Ak ste už spravovali siete Linux, možno ste oboznámení s ntop. ntopng je GUI novej generácie tohto nestarnúceho nástroja.

K dispozícii je bezplatná komunitná verzia ntopng a môžete si kúpiť aj podnikové verzie. Môžu byť drahé, ale pre vzdelávacie a neziskové organizácie sú bezplatné. Pokiaľ ide o nProbe, môžete si ho vyskúšať zadarmo, ale je obmedzený na celkovo 25 000 exportovaných tokov. Ak chcete ísť nad rámec toho, budete si musieť zakúpiť licenciu.

Rovnako ako väčšina moderných nástrojov na analýzu siete, ntopng obsahuje webové používateľské rozhranie, ktoré môže prezentovať údaje podľa návštevnosti – ako sú top hovorcovia, toky, hostitelia, zariadenia a rozhrania. Obsahuje kombináciu tabuliek, tabuliek a grafov. väčšina obsahuje možnosti rozbalenia, ktoré vám umožnia preskúmať do väčšej hĺbky. Rozhranie je pomerne flexibilné a umožňuje veľa prispôsobení.

4. FlowScan

FlowScan je akýmsi vizualizačným nástrojom, ktorý môžete použiť na analýzu údajov Netflow a vytváranie prehľadov o nich. Dokáže vytvárať vizuálne grafy takmer v reálnom čase, ktoré vám ukážu, čo sa deje vo vašej sieti. FlowScan môže byť nasadený na systéme GNU/Linux alebo BSD. Na správne zhromažďovanie a spracovanie tokov používa niekoľko ďalších balíkov. Napríklad Cflowd sa používa ako prietokový kolektor. FlowScan je vlastne skript v jazyku Perl, ktorý tvorí väčšinu softvérového balíka. Tento komponent je zodpovedný za načítanie a vykonávanie správ. Posledným hlavným komponentom je RRDtool, populárny nástroj na ukladanie údajov v databázach typu round-robin a vykresľovanie týchto údajov do grafov, ktorý sa používa na ukladanie informácií o toku a vytváranie užitočných grafov.

Správcovia siete často zistia, že zhromaždili príliš málo alebo príliš veľa údajov. Profilovanie toku, ako ho poskytuje FlowScan, ponúka pragmatický kompromis medzi takýmito extrémami pri zbere údajov. Pretože toky súhrnné údaje zhromaždené pri prechode paketov cez daný port alebo rozhranie, možno ich použiť ako akúsi skratku pre sériu paketov putujúcich medzi koncovými bodmi záujmu. Ale táto funkcia samotná nestačí na spoľahlivé nepretržité používanie: na definovanie, analýzu a analýzu týchto tokov sú potrebné ďalšie softvérové ​​nástroje. Tieto dodatočné nástroje sú súčasťou FlowScan.

5. inMon sFlowTrend (osobitná zmienka)

Hoci nejde o zberač a analyzátor NetFlow, ale skôr o ten, ktorý spracováva sFlow, cítili sme, že sFlowTrend si zaslúži byť na tomto zozname. Môže bežať na Linuxe a ak komponenty vašej siete používajú skôr sFlow ako NetFlow, je to jeden z najlepších dostupných nástrojov. Tento nástroj pochádza od spoločnosti inMon, ktorá stojí za sFlow. Je to základný a trochu obmedzený, ale veľmi schopný nástroj. Bezplatná verzia softvéru vám umožňuje zhromažďovať údaje až z piatich prepínačov, smerovačov alebo hostiteľov s povoleným sFlow a uchováva historické údaje v pamäti RAM iba hodinu. Na vyriešenie väčšiny problémov so sieťou by to malo stačiť. A ak chcete niečo vylepšiť, môžete upgradovať na profesionálnu verziu – samozrejme za poplatok – čím sa odstráni limit počtu zariadení a údaje o histórii sa uložia na disk.

Záložka sFlowTrend Dashboard poskytuje rýchly prehľad o aktuálnom stave monitorovaných zariadení a sietí, obsahuje prahy najvyššej úrovne a rozhrania s potenciálnymi chybami. Keď kliknete na kartu Sieť, sflowTrend odhalí súhrnné štatistiky výkonu a podrobnú návštevnosť na úrovni siete alebo zariadenia. Je možné definovať prahy varovania. Umožňuje vám dostávať upozornenia, keď dôjde k väčšej než obvyklej šírke pásma alebo k chybe siete. K dispozícii je dokonca aj karta základnej príčiny, kde môžete hĺbkovo zistiť príčinu problému, ako je napríklad porušenie prahovej hodnoty.

Na karte Hostitelia nájdete podrobnejšie informácie o každom zariadení. Poskytuje údaje o výkone siete, CPU, disku atď. pre servery s podporou sFlow – vrátane virtuálnych. Na karte Služby nájdete údaje o výkone aplikácií (vrátane rôznych webových serverov), ktoré exportujú údaje sFlow. Na karte Udalosti nájdete protokol udalostí, ako sú prekročené prahové hodnoty alebo zistené chyby. A nakoniec, karta Prehľady ponúka niekoľko preddefinovaných prehľadov, ale podporuje aj vytváranie vlastných prehľadov. Toto je miesto, kde spustíte prehľady a potom zobrazíte ich výsledky.

sFlowTrend je napísaný v jazyku Java a prichádza s používateľským rozhraním založeným na jazyku Java alebo webovým rozhraním. Je k dispozícii pre Linux, Windows a Mac. K dispozícii je aj online pomoc, ktorá vám pomôže pri konfigurácii a používaní nástroja. Je to skvelý nástroj najmä pre menšie organizácie so zariadením s podporou sFlow. A cesta upgradu na profesionálnu verziu z neho robí rovnako platnú voľbu pre väčšie siete.

Zabaliť sa

Hoci niektoré z najlepších kolektorov a analyzátorov NetFlow, ako je SolarWinds NetFlow Traffic Analyzer, budú bežať iba na počítačoch so systémom Windows, stále je k dispozícii veľa možností, ak si vyberiete platformu monitorovacieho nástroja Linux. Medzi komerčnými produktmi, ako sú ManageEngine NetFlow Analyzer alebo Plixer's Scrutinizer a open source nástrojmi, musí existovať taký, ktorý bude dokonale vyhovovať vašim potrebám.

Všetky produkty, ktoré sme práve skontrolovali, sú skvelé možnosti. Niektoré nemusia byť tak plnohodnotné alebo môžu vyžadovať trochu viac práce na ich nastavenie, ale každý z nich bude robiť svoju prácu a robiť to dobre. A keďže všetky ponúkajú určitú formu bezplatnej skúšobnej verzie – alebo sú úplne zadarmo, nie je dôvod nevyskúšať niekoľko z nich a sami sa presvedčiť, ktorá z nich je pre vás.