Як генерувати дані netflow в Linux

17

У нас є ряд серверів Linux, для яких я хотів би захопити дані netflow, які обробляються аналізатором netflow. Я був зіпсований невимушеністю , в якій MikroTik маршрутизатори дозволяють NetFlow покоління даних, але мені не вдалося знайти з відкритим вихідним кодом інструменту , який здатний генерувати NetFlow даних для декількох інтерфейсів системи Linux.

Я натрапив на fprobe, але це здається досить баггі. Дійсно, я ще не багато часу з нею проводив, тому що я також хотів би оцінити деякі інші можливості. Інший інструмент, який я бачив, - це nprobe , який, як видається, є GPL, але не доступний як безкоштовне завантаження, оскільки пропонується лише за певну плату.

Сервери, на яких я планую генерувати дані netflow, - це всі системи Gentoo, але це насправді не має значення. Щонайбільше це означає, що мені доведеться вручну збирати інструмент із джерела.

Короткий зміст: Я шукаю генератор мережевого потоку з відкритим кодом, який буде працювати в Linux і дозволяє фіксувати потоки для декількох інтерфейсів.

linux  networking  monitoring  linux-networking  netflow 
Річард Келлер
джерело

Відповіді:

16

Ви повинні перевірити IPT-NETFLOW , здається, саме те, що вам потрібно реалізувати як модуль ядра для IPTABLES. Він активно підтримується і успішно використовується в якомусь провайдері, тому має бути досить хорошим. Документація може бути кращою (дивіться у файл README).

Охото
джерело
Мені не подобається ідея компілювати спеціальні модулі ядра - це може вплинути на стабільність, якщо справді це не дуже добре перевірений і стабільний модуль ...
Wim Kerkhoff
Це не freebsd, коли таке програмне забезпечення може бути розроблене для вже наявних функцій ядра, таких як netgraph. Навряд чи будь-який спосіб зробити це без спеціального модуля. Хороша річ (і саме тому я коментую) полягає в тому, що джерела зараз перебувають на Github, і тепер він також підтримує dkms. Виглядає досить добре. github.com/aabc/ipt-netflow
Флоріан Хейгл
8

ntop зробить це, але, мабуть, не найкращий вибір. Однозначно перевірити pmacct ; він створений саме для цього. Зі списку функцій:

  • Збирає дані через libpcap, Netlink / ULOG, NetFlow v1 / v5 / v7 / v8 / - v9, sFlow v2 / v4 / v5 та IPFIX
  • Зберігає дані до ряду додаткових таблиць пам'яті, включаючи MySQL, PostgreSQL, SQLite та BerkeleyDB
  • Експортує дані у віддалені колектори через IPFIX, NetFlow v5 / v9 таsFlow v5
  • Реплікує вхідні пакети IPFIX, NetFlow та sFlow до віддалених колекторів

Серед багатьох інших речей.

Вім Керхофф
джерело
0

Перевага fprobe полягає в тому, що він може генерувати потоки Netflow, використовуючи звичайні libpcap або ulogd .

він трохи більше датований, і здається, насправді баггірший, але може бути корисним завантажувати налаштування, оскільки він не вимагає компіляції модуля ядра (наприклад, ipt-netflow ) і не постачає додаткових функцій (наприклад, ntop або pmacct ).

анаркат
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.