В настоящее время в нашем центре обработки данных есть сервер Ubuntu с двумя сетевыми адаптерами, который выполняет роль шлюза-маршрутизатора между нашими общедоступными сетями и нашим интернет-провайдером. У нас есть кросс-коммутируемая сеть / 30 на сетевой карте, обращенной к интернет-провайдеру, и по одному IP-адресу от каждой из трех сетей, подключенных к нашей внутренней сетевой карте.
Я хотел бы настроить создание и сбор статистики сетевого трафика на этом сервере, используя протоколы Cisco Netflow. Это позволит мне подтвердить выставление счетов нашим интернет-провайдером, а также поток данных в нашей сети.
Какие инструменты или пакеты вы бы порекомендовали для пассивного сбора статистики трафика и записи ее для последующей обработки? Дополнительные баллы, если у сборщика Netflow есть соединитель хранилища данных MySQL.
Для создания такого инструмента, как nprobe или fprobe, будет нормально работать, как упоминали другие.
Для сбора люблю nfdump / nfsen. Он не использует mysql, но с ним действительно легко работать и получать данные в машиночитаемой форме.
Вероятно, вам не нужны полные данные netflow в mysql, вместо этого обычно имеет смысл выполнить запрос агрегирования и загрузить сводку в mysql. Имея 10 000 000 записей в mysql, будет неинтересно работать, но вставка ежедневной или ежечасной сводки (ip, общие потоки, общее количество байтов, общее количество пакетов) работает намного лучше.
Я предлагаю вам посмотреть на аргус, как говорит Крис. По моему опыту, это лучший коллектор потока. Но есть хорошие альтернативы вроде течет и пахать это может сработать и для вас. Если у вас есть приличная нагрузка (террабайты в день), забудьте о хранении ваших потоков в любой базе данных SQL :) о, и да, инструменты потока великолепны, когда вы изучите всю магию фильтрации и тому подобное.
зонд генератор netflow
И я лично использую инструменты потока хранить потоки на диске, формировать отчеты.
С уважением, K
Редактировать: Вот есть еще много инструментов для входа в mysql, построения диаграмм и т. д.
Я знаю Аргус может читать и обрабатывать данные сетевого потока, и он достаточно хорош для сбора и обработки данных сетевого потока сам по себе.
Я никогда не использовал его для создания данных netflow, так как обычно использую его для сбора и обработки данных изначально или использую его для получения различных типов потоков (захваты tcpdump, netflows и т. Д.) И использования argus для агрегации и суммирования и анализ.
Рекомендую проверить Дэмиен Миллеринструменты Softflowd и течет которые являются программным экспортером и сборщиком NetFlow соответственно.
Источник доступен и даже включает некоторые примеры для хранения данных в базе данных SQL (см. Flowinsert.pl в каталоге инструментов).
Это отличные инструменты, которые созданы для решения конкретных задач и могут быть настроены по мере необходимости. Я рекомендую их как хорошее место для начала анализа NetFlow.
Если у вас есть большой объем трафика (приближается или больше 1Гбит) рекомендовал бы посмотреть ipt-netflow (настраивается и поддерживает NetFlow v6 / v9 / ipfix). Nprobe, рекомендованный ранее, даже если указано как «GPL» и «Открытый исходный код» коммерческий (как «покупаемый»). Другие решения могут не поддерживать высокую скорость передачи пакетов.