Назад | Перейти на главную страницу

Мониторинг сетевого трафика / использования по ПОРТУ

Заранее прошу прощения, если это не по теме.

В настоящее время я использую Icinga и Cacti для мониторинга машин и сети соответственно. Хотя у меня нет больших проблем с этой настройкой, я бы действительно хотел иметь возможность отслеживать сетевой трафик ПО ПОРТУ в реальном времени.

Есть утилита, которая это делает? Я знаю только Paesler и Solar Winds, но пока не может быть и речи о чем-либо, кроме открытого исходного кода.

Любые идеи?

Вы просили идеи и ... вот моя.

Чтобы решить вашу проблему, у вас есть два очень ограничивающих условия:

  1. Вы не можете взять в руки свою Cisco (потому что она не ваша, и ее конфигурацию нельзя изменить в соответствии с вашими потребностями);

  2. Вы не можете изменить (по крайней мере, нелегко) способ работы Zeroshell (из-за самой природы Zeroshell [довольно сложно перестроить Zeroshell в соответствии с вашими потребностями [см. Ниже]).

С другой стороны, поскольку вы хотите REAL_TIME_MONITORING и PER-PORT-TRAFFIC-ACCOUNTING, вы в основном вынуждены иметь хотя бы одну точку (один сетевой интерфейс), где:

  1. Весь трафик будет перетекать, так что вам нужно «учесть» его;
  2. интерфейс "принадлежит" некоторому оборудованию, которым вы можете управлять.

Что я сделал в таких ситуациях, так это ЗАМЕНИТЬ существующее устройство (в вашем случае: Zeroshell; в моем случае - различные аппаратные устройства от разных поставщиков) с чем-то, с чем я могу полностью справиться без ограничений: обычным Linux-ящиком с как минимум двумя интерфейсами, правильно настроенными для маршрутизации / трафика межсетевого экрана.

Предположим, это может быть для вас нормально (... даже если я понимаю, что это может быть проблемой для вас из-за первоначальных усилий по настройке).

ЕСЛИ такая машина имеется, ЗАТЕМ Я бы добавил в набор ПО для установки на него:

  • IPTRAF: несмотря на свой возраст, он по-прежнему может передавать данные в РЕАЛЬНОМ ВРЕМЕНИ из ваших сетевых интерфейсов. Он предоставляет символьный пользовательский интерфейс, поэтому его можно запускать удаленно, с помощью простого SSH-соединения (без Интернета, без больших библиотек графического интерфейса и т. Д.);

  • NTOP: с официального сайта: "... зонд сетевого трафика, который показывает использование сети, аналогично тому, что делает популярная верхняя команда Unix ...". NTOP намного многофункциональнее, чем IPTRAF. Определенно более мощный (но более сложный в настройке / установке, чем один"apt-get install" или "ням установить")

Как ясно сказано, оба вышеупомянутых инструмента обеспечивают хорошее В РЕАЛЬНОМ ВРЕМЕНИ данные (как вы задали в своем вопросе). Во всяком случае, я совершенно уверен, что вам нужно ТАКЖЕ асинхронные данные: я уверен, что вы также хотите проверить что-то вроде: "Какие хосты / MAC-адреса генерировали / потребляли большую часть трафика вчера? И для каких протоколов?", возможно, детализация таких данных до одного IP / MAC / PORT с детализацией до .... 1 минуты. Не так ли? В таком случае я настоятельно рекомендую:

  • PMACCT: с официального сайта: "... pmacct - это небольшой набор инструментов пассивного мониторинга сети для измерения, учета, классификации, агрегирования и экспорта трафика IPv4 и IPv6 ..". Обратите внимание, что PMACCT может решить широкий спектр проблем, большинство из которых подходят для крупных / крупных интернет-провайдеров / операторов. Тем не менее, он может отлично работать с вашим Linux-боксом и учитывать трафик, проходящий через его интерфейсы. С такой конфигурацией, как этот:

-

host:~# cat /etc/pmacct/pmacctd.conf

interface: eth0
daemonize: true
aggregate: src_mac,dst_mac,src_host,dst_host,proto,src_port,dst_port

ports_file: /etc/pmacct/ports.list 

plugins: mysql

sql_user: pmacct
sql_passwd: sqlpassword
sql_db: pmacct
sql_table: acct_v4_%Y_%m_%d
[...]

он может легко отслеживать трафик, проходящий по eth0, в таблице mysql, чтобы вы могли легко проверить, что произошло в вашей сети, с помощью обычного / простого SQL-запроса.

Просто чтобы дать вам некоторые реальные цифры, я успешно использовал PMACCT на сервере с XEON X3350; 4 ГБ оперативной памяти; 4 интерфейса Broadcom GigaEth; почти 70 VLAN настроены на eth0 и pmacct прослушивают все из них; +/- 300 ГБ различного IP-трафика, маршрутизируемого ежедневно; PMACCT генерирует учет EVERY_MINUTE, для EVERY_VLAN, для КАЖДОГО кортежа (src_mac, dst_mac, src_ip, dst_ip, src_port, dst_port); +/- 60.000.000 бухгалтерских записей в день. Все это без каких-либо проблем (но запись в текстовые файлы, а не в MySQL). В любом случае, в небольших средах нет проблем с записью непосредственно в MySQL.

Также обратите внимание, что благодаря PMACCT я ​​отслеживаю КАЖДЫЙ IP-адреса, видимые в моих сетях на ежедневной основе (другими словами: я знаю, что 10.29.19.89 не были видны с 16 июля 2014 года; 172.17.1.45 никогда не видели [с начала учета PMACCT] и т. Д.) .

Также на PMACCT: я настроил коммутатор Ethernet, соединяющий мой основной интернет-шлюз, для «зеркалирования» его трафика на свободный порт, где я подключил специальный linux-бокс, учитывающий весь интернет-трафик (ссылка 1GEth) . Никаких проблем.

Последнее замечание о PMACCT: если вы (или некоторые другие читатели) задаетесь вопросом, почему я НЕ выбрал более распространенный зонд / коллектор NETFLOW / IPFIX, причина очень проста: я обнаружил, что только PMACCT может учитывать и MAC-адреса.

эта программа может отслеживать трафик через порт 10-Strike Bandwidth Monitor (http://www.10-strike.com/bandwidth-monitor/) Еще одним преимуществом является то, что он отображает все результаты мониторинга в виде диаграмм и графиков в реальном времени. Посетите веб-страницу программы, там много ее скриншотов.