Come generare dati netflow in linux

17

Disponiamo di numerosi server Linux per i quali vorrei acquisire i dati di netflow che devono essere elaborati da un analizzatore di netflow. Sono stato viziato dalla facilità con cui i router Mikrotik consentono la generazione di dati netflow, ma non sono riuscito a trovare uno strumento open source in grado di generare dati netflow per più interfacce su un sistema Linux.

Mi sono imbattuto in fprobe ma sembra abbastanza difettoso. Devo ammettere che non ci ho ancora passato molto tempo poiché vorrei anche valutare alcune altre possibilità. L'altro strumento che ho visto menzionato è nprobe , che sembra essere GPL, ma non è disponibile come download gratuito poiché è offerto solo a pagamento.

I server su cui ho intenzione di generare dati netflow sono tutti sistemi Gentoo, ma questo non dovrebbe fare davvero alcuna differenza. Al massimo significa che dovrei compilare manualmente uno strumento dalla fonte.

Riepilogo: sto cercando un generatore di netflow opensource che funzionerà su Linux e che consenta l'acquisizione di flussi per più interfacce.

linux  networking  monitoring  linux-networking  netflow 
Richard Keller
fonte

Risposte:

16

Dovresti controllare IPT-NETFLOW , sembra esattamente quello che devi implementare come modulo kernel per IPTABLES. È attivamente mantenuto e utilizzato con successo in alcuni ISP, quindi dovrebbe essere abbastanza buono. La documentazione potrebbe essere migliore (guarda nel file README).

Ochoto
fonte
Non mi piace l'idea di dover compilare moduli del kernel personalizzati - ciò può influire sulla stabilità, a meno che non sia davvero un modulo molto ben collaudato e stabile ...
Wim Kerkhoff
Questo non è freebsd dove tale software può essere sviluppato contro funzionalità del kernel già in atto come netgraph. Quasi nessun modo per farlo senza un modulo personalizzato. La cosa buona (ed è per questo che sto commentando) è che le fonti sono ora su github e ora ha anche il supporto per dkms. Sembra abbastanza buono github.com/aabc/ipt-netflow
Florian Heigl,
8

ntop lo farà, ma probabilmente non è la scelta migliore. Sicuramente dai un'occhiata a pmacct ; è progettato esattamente per questo. Dall'elenco delle funzionalità:

  • Raccoglie dati tramite libpcap, Netlink / ULOG, NetFlow v1 / v5 / v7 / v8 / - v9, sFlow v2 / v4 / v5 e IPFIX
  • Salva i dati in una serie di backend tra cui tabelle di memoria, MySQL, PostgreSQL, SQLite e BerkeleyDB
  • Esporta i dati verso i raccoglitori remoti tramite IPFIX, NetFlow v5 / v9 esFlow v5
  • Replica i pacchetti IPFIX, NetFlow e sFlow in arrivo ai collettori remoti

Tra le tante altre cose.

Wim Kerkhoff
fonte
0

il vantaggio di fprobe è che può generare flussi Netflow usando libpcap o ulogd regolari .

è un po 'più datato e sembra davvero più pesante, ma può essere utile avviare una configurazione, poiché non richiede la compilazione di un modulo del kernel (come ipt-netflow ) e non fornisce alcuna funzionalità aggiuntiva (come ntop o pmacct ).

anarcat
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.