Остаточний посібник для NetFlow та 10 найкращих аналізаторів NetFlow

  1. Типи та розширення NetFlow
  2. Відмінності між NetFlow і sFlow
  3. Точність і масштабованість
  4. Продуктивність пристрою при великих обсягах
  5. Протокол покриття
  6. Латентність
  7. Кращі безкоштовні та платні інструменти NetFlow для Windows
  8. 1. SolarWinds Аналізатор NetFlow в реальному часі (FREE DOWNLOAD)
  9. 2. Аналізатор трафіку SolarWinds NetFlow (безкоштовна пробна версія)
  10. 3. Мережевий монітор PRPG Paessler (безкоштовна версія)
  11. 4. ManageEngine Аналізатор NetFlow
  12. 5. Nprobe і ntopng
  13. 6. Plixer Scrutinizer
  14. 7. Nagios XI і Nagios Core
  15. 8. Kentik Detect
  16. 9. WhatsUp Gold
  17. 10. Рол
  18. Splunk
  19. ELK / Еластичний стек
  20. Telegraf, Influxdb, Chronograf, Kapacitor
  21. Вибір аналізатора NetFlow

NetFlow - це мережевий протокол, розроблений Cisco, який зазначає і повідомляє про всі IP-розмови, що проходять через інтерфейс

NetFlow - це мережевий протокол, розроблений Cisco, який зазначає і повідомляє про всі IP-розмови, що проходять через інтерфейс. NetFlow є державною і працює з точки зору абстракції, що називається потоком : тобто послідовність пакетів, що становить розмову між джерелом і призначенням, аналогічно виклику або з'єднанню. Якщо у вас є інтелектуальні комутатори та / або маршрутизатори, вони можуть підтримувати NetFlow, і ви можете додавати програмне забезпечення або прилади на основі зондів, які експортують NetFlow.

>>> Перейти безпосередньо до аналізаторів NetFlow нижче <<<

Пристрій експортера NetFlow збирає дані про IP-трафік, що входить / виходить з пристрою; він перевіряє пакети і групує їх у потоки, перевіряючи окремі поля: адреси джерела і призначення, протоколи, порти тощо. Дані про спостережувані потоки згортаються з пакетів і кешуються локально (в кеші потоків ), потім періодично експортуються до колектор на основі активних та неактивних тайм-аутів. Таким чином, NetFlow обробляє IP-адреси, зосереджуючись на них Шари OSI 3 і 4 . Його знання протоколів IP дозволяє інтерпретувати пакети і працювати з точки зору потоків.

Типи та розширення NetFlow

Гнучка NetFlow і IPFIX надають можливість мати розширювані шаблони для налаштування набору зацікавлених полів пакетів. NetFlow v9 і IPFIX також додають можливість монітор Layer 2 поля. Вибірка NetFlow додає опцію вибірки до NetFlow (вибірка є обов'язковою у sFlow).

Відмінності між NetFlow і sFlow

Аві Фрідман робить анап для моніторингу руху транспортних засобів: «… поки NetFlow може бути описана як спостереження за трафіком (« Скільки автобусів їхали звідси туди? »), з sFlow ви просто знімаєте знімки автомобілів і автобусів момент ».

Ось основні відмінності між двома технологіями.

Точність і масштабованість

Партизани NetFlow вже давно стверджують, що NetFlow може бути більш точним, ніж sFlow. NetFlow об'єднує дані про всі пакети в потоки локально на пристрої; таким чином, він не може випадково пропустити розмову, не зупинивши відповідні пакети. Ця деталізація NetFlow є привабливою для вивчення трафіку з окремим вузлом. Легко бачити деталі кожного хоста, помічати локалізовані аномалії та досліджувати окремі потоки. Але в міру збільшення обсягу перевезень гриби стає все менш і менш доцільним збирати кожний потік. Якщо ви не робите вибірки, масштабованість стає проблемою.

Таким чином, sFlow є більш масштабованою, ніж традиційна NetFlow. Тим не менш, вибірка має недолік, що можуть бути прогалини у видимості. Зразки пакетів можуть не відображати кожний потік (наприклад, короткі пачки). Для виявлення та висвітлення питань безпеки, це може бути значним.

Продуктивність пристрою при великих обсягах

Як зазначалося вище, sFlow робить мінімальну роботу на мережевому пристрої, у порівнянні з NetFlow, який використовує процесор і оперативну пам'ять пристрою для реалізації потокового кешу. Це може стати проблемою з високошвидкісними пристроями, де багато розмов зосереджені на посиланні. Додаткове навантаження процесора на «реальну роботу» пристрою зростає залежно від кількості потоків в секунду і може споживати значну частку CPU на Офіційний документ Cisco (PDF). На відміну від цього, sFlow в основному робить вибірку пакетів в комутації / маршрутизації ASIC, дозволяючи процесору мережевого пристрою зосередитися на своїй основній роботі.

В обсягах сотень гігабіт в секунду, таких як у крайовій маршрутизації та великих центрах обробки даних, інженерний трафік стає центральним питанням; основна увага приділяється широкомасштабним моделям і різким змінам обсягів. Дрібнозерниста видимість в окремих господарях стає менш значущою. Тепер вибірка починає ставати чітким переможцем. Через це NetFlow додав опцію Sampled NetFlow, що робить NetFlow масштабованою, але втрачає точну високу деталізацію традиційного NetFlow.

Протокол покриття

NetFlow тільки IP (з деякою підтримкою Layer 2 додано нещодавно). Таким чином, застарілі протоколи (наприклад, Appletalk, IPX) та інші не-Інтернет-протоколи не з'являються. Навпаки, sFlow може охоплювати шари з 2 по 7.

Латентність

sFlow може мати меншу затримку, ніж NetFlow. Пристрій, який збирає метрики NetFlow у потоковому кеші, експортує їх періодично на основі активних та неактивних тайм-аутів. Таким чином, звіти про нещодавні та поточні розмови можуть затримуватися, залежно від тайм-ауту. На відміну від цього, sFlow надсилає зібрані префікси та лічильники пакетів у реальному часі. Якщо затримка під-хвилини викликає занепокоєння - і ваш інструмент моніторингу / аналізу підтримує це - sFlow може бути кращим вибором.

Дивіться також: sFlow - Остаточний посібник для sFlow і sFlow аналізаторів

Кращі безкоштовні та платні інструменти NetFlow для Windows

Коли мережа зростає до того, що побачити, що відбувається, стає складним, засоби, що використовують NetFlow, можуть стати рішенням. Нижче ми розглянемо кілька популярних інструментів моніторингу та аналізу мереж NetFlow для Windows. Всі вони складні, мають значну криву навчання; тому важливі онлайн-навчання та хороша підтримка.

Ось наш список кращих колекторів і аналізаторів netFlow:

Масштабованість платформ типу платформ 1. Аналізатор NetFlow в реальному часі SolarWinds
Безкоштовне завантаження Windows SOHO 2. Аналізатор трафіку SolarWinds NetFlow
Безкоштовне випробування Windows SMB для великих підприємств 3. Paessler PRTG Безкоштовне випробування
Інструмент для закупівлі з безкоштовним стартером для невеликих магазинів Windows SMB для великих підприємств 4. ManageEngine NetFlow Analyzer Інструмент для витрат з безкоштовним випуском стартера для малих магазинів Windows, Linux SMB для великих підприємств 5. Nprobe і ntopng -Profit) Windows, Linux SMB для великих підприємств 6. Plixer Scrutinizer Інструмент для безкоштовного запуску для малих магазинів Обладнання для Windows, Linux або VM, SaaS SMB для великих підприємств 7. Nagios XI і Core Free open-source інструмент, або for-cost tool з підтримкою / удосконаленням Linux, або на Windows у приладі VM SMB для великих підприємств 8. Kentik Detect For-cost tool SaaS SMB для великих підприємств 9. WhatsUp Gold
За дорогоцінний інструмент з безкоштовним випуском стартера для невеликих магазинів
Windows SMB для великих підприємств 10. Розкажіть свої власні компоненти, платні або безкоштовні з відкритим вихідним кодом Varies SMB для великих підприємств

1. SolarWinds Аналізатор NetFlow в реальному часі (FREE DOWNLOAD)

SolarWinds виробляє набір продуктів, що надають комплексну підтримку для моніторингу та управління мережею. The Аналізатор NetFlow в реальному часі є безкоштовним інструментом, який надає інформацію про поточні потоки в реальному часі. Безкоштовна версія зосереджена на відображенні поточного і недавнього стану використання смуги пропускання. Він обмежений одним інтерфейсом NetFlow і 60 хвилинами даних. Підтримувані технології потоків включають NetFlow, J-Flow Juniper, IPFIX і Huawei's netstream .

Підтримувані технології потоків включають NetFlow, J-Flow Juniper,   IPFIX   і Huawei's   netstream

Аналізатор мережевого трафіку в реальному часі SolarWinds

Аналізатор визначає, які пристрої / IP-адреси, програми та користувачі споживають найбільшу пропускну здатність. Інтерфейс користувача відображає вхідний і вихідний трафік для вибраного експортера NetFlow; трафік можна сортувати та відображати різними способами. Деревопровідник інтерфейсу користувача підсумовує трафік NetFlow, розбираючи його в додатки, розмови, домени, кінцеві точки і протоколи. Кожен з них може бути розширений на інклюзивний графік для висвітлення окремих аспектів. Деревоподібні перегляди та графіки оновлюються в реальному часі.

Встановлення здійснюється за допомогою звичайного майстра налаштування Windows, а конфігуратор NetFlow включений для надання допомоги в налаштуванні колектора NetFlow і пристроїв, які підтримують різні варіанти NetFlow.

Якщо ваші ключові пристрої підтримують NetFlow, і ви шукаєте тонкі та чіткі вікна перегляду поточного та недавнього використання смуги пропускання, Аналізатор NetFlow в реальному часі SolarWinds відповідає законопроекту.

Для більш потужної та багатофункціональної версії, SolarWinds для вартості варіант, мережевий трафік Analyzer, розглядається нижче.

SolarWinds в реальному часі NetFlow Analyzer Завантажити БЕЗКОШТОВНО видання на SolarWinds.com

Інший безкоштовний інструмент аналізу трафіку, який можна спробувати Пакет інструментів потоку SolarWinds . Це корисний колектор зразків трафіку, який використовує Cisco NetFlow v5. Окрім збору зразків трафіку, інструмент включає в себе симулятор потоку трафіку, який дозволить вам переглядати ефекти додаткового обсягу трафіку в мережі або зміни в макеті апаратних засобів.

SolarWinds Flow Tool Bundle Завантажити 100% безкоштовний пакет інструментів

2. Аналізатор трафіку SolarWinds NetFlow (безкоштовна пробна версія)

Сонячні вітри Аналізатор трафіку NetFlow ( NTA ) - це дорогоцінний приріст від свого безкоштовного інструменту - аналізатора руху в реальному часі NetFlow . NTA є модулем в Монітор продуктивності мережі ( NPM ), тому ви повинні враховувати витрати та вимоги до платформи обох. NTA і NPM доступні в 30-денному повнофункціональному дослідженні.

NTA цілком можна назвати аналізатором мережевого трафіку, оскільки він обробляє не тільки оригінальний Cisco Netflow, але й багато його варіантів від інших виробників, а також основну альтернативу NetFlow - sFlow.

Після встановлення NPM і NTA пропонують широкий спектр складних засобів для управління мережами з кількома постачальниками. Він забезпечує моніторинг пропускної здатності , аналіз трафіку, аналіз продуктивності , оповіщення , настроювані звіти , оптимізацію політики та багато іншого.

Він забезпечує моніторинг пропускної здатності , аналіз трафіку, аналіз продуктивності , оповіщення , настроювані звіти , оптимізацію політики та багато іншого

Дисплеї NetFlow Traffic Analyzer відображаються в розділі Dashboards (Інформаційні панелі)

Аналізатор трафіку NetFlow збирає дані про потоки, експортовані пристроями з підтримкою потоку, що відстежується програмним забезпеченням моніторингу мережі SolarWinds.

НТА підсумків за замовчуванням

За замовчуванням Резюме Аналізатора Трафіку NetFlow має кілька розділів, як Top 5 додатків , Топ 5 кінцевих точок , Топ 5 розмов , Топ 10 джерел за% використання і т.д.

Дивлячись на моделі трафіку з плином часу

Як аналізатор потоку, NTA ідентифікує користувачів, додатки та протоколи, які споживають найбільшу пропускну здатність. Можна сортувати за портами, джерелом, призначенням та протоколами, а також переглядати шаблони трафіку протягом хвилин, днів або місяців.

NTA і NPM є корпоративними пакетами, тому навіть безкоштовна пробна версія споживає значні ресурси у вашій системі. Якщо ви маєте складну мережу з пристроями з підтримкою NetFlow, можливості NTA варто вивчити. Детальніше про NTA див SolarWinds Аналізатор руху трафіку NetFlow .

Analyzer руху SolarWinds NetFlow Завантажити безкоштовну пробну версію на SolarWinds.com

3. Мережевий монітор PRPG Paessler (безкоштовна версія)

The Монітор мереж PRPG компанії Paessler це "батареї включені" рішення, яке контролює використання пропускної здатності , доступність і здоров'я пристроїв у вашій мережі, і багато іншого. PRTG може контролювати декілька сайтів , WAN , VPN і хмарних сервісів . Безкоштовна версія дає необмежені датчики протягом місяця, а потім обмежена до 100 датчиків; датчик є індивідуальним потоком даних, тому кожен пристрій зазвичай вимагає декількох датчиків.

Безкоштовна версія дає необмежені датчики протягом місяця, а потім обмежена до 100 датчиків;  датчик є індивідуальним потоком даних, тому кожен пристрій зазвичай вимагає декількох датчиків

Дерево пристроїв PRTG

У користувальницькому інтерфейсі PRTG первинним виглядом є дерево пристроїв, що показує всі пристрої у вашій мережі та монітори кожного з них . Пристрої включають брандмауери, маршрутизатори, точки доступу, сервери, робочі станції, віртуальні сервери, сховища тощо. Дерево пристроїв доповнюється переглядом таблиць сенсорів, журналів і сигналів, а також різних діаграм і графіків для пропускної здатності тощо. відсортувати і відфільтрувати.

Буріння у вигляді дерева показує показники та показники на кожному рівні. Параметри, такі як інтервал сканування , успадковуються і можуть бути перевизначені на нижчих рівнях у дереві пристроїв. Сповіщення можна також встановити на кожному рівні , тому ви можете організувати сповіщення про події та порогові переходи певного критичного пристрою або згортати з загального аспекту вашої мережі. Повідомлення можуть передаватися різними способами, включаючи електронну пошту SMTP та текстові повідомлення SMS.

Абстракція пристроїв і датчиків теж формує панелі та звіти. Можна створювати спеціальні панелі, включаючи інтерактивні карти. Існує цілий ряд попередньо визначених звітів, а також засоби для створення спеціальних звітів; Звіти також можуть бути заплановані.

Датчик PRTG NetFlow

Засоби аналізу трафіку включають вбудовану підтримку NetFlow. Для протоколів потоку PRTG підтримує NetFlow, sFlow і J-Flow. Інші використовувані протоколи / механізми включають SNMP, WMI і нюхання пакетів. Paessler називає ці системи виявлення, такі як колектор NetFlow, «датчиками».

Установка проста. Існує майстер налаштування, а також відео, що надає покрокові вказівки. При установці локальний зонд основного сервера робить автоматичне виявлення для ідентифікації пристроїв і налаштування датчиків. Додаткові датчики (включаючи колектори NetFlow) можна додавати вручну; відео надає інструкції.

Основним сервером є лише Windows. Моніторинг одного сайту може здійснюватися через веб-додаток, але для одночасного перегляду декількох основних серверів потрібно використовувати корпоративну програму на Windows. Також надається мобільний додаток. Один розумний додаток полягає в тому, що PRTG надає QR-коди, які можна вставити на окремі пристрої для швидкого пошуку та визначення статусу в мобільному додатку. PRTG підтримує кластеризацію для відмовостійкості: ви можете налаштувати відмовостійкі монітора.

Незважаючи на те, що PRTG є все-в-одному, так що вам не потрібні кілька продуктів і ліцензій для отримання всебічного моніторингу, ключовим питанням для оцінки є те, скільки сенсорів потрібно вашій мережі, і які будуть довгострокові витрати на основі датчиків модель ліцензування під час зростання. Для оцінки можна завантажити a безкоштовна пробна версія програмного забезпечення тут .

Paessler PRTG Network Monitor Завантажити 30-денну безкоштовну пробну версію

4. ManageEngine Аналізатор NetFlow

The ManageEngine Аналізатор NetFlow забезпечує видимість в реальному часі в трафіку мережі та трафіку. Інструмент візуалізує трафік за допомогою додатків, розмов, протоколів тощо. Оповіщення можуть бути встановлені на основі порогів трафіку . Існує безліч корисних попередньо визначених звітів, починаючи від усунення несправностей, орієнтованих на планування та платіж. Можна створювати спеціальні звіти про пошук.

Можна створювати спеціальні звіти про пошук

ManageEngine Аналізатор NetFlow dashboard

Аналізатор NetFlow має набір NetFlow-орієнтованих інструментів для управління складними мережами. Веб-інтерфейс користувача має типову панель за замовчуванням з кількома круговими діаграмами в реальному часі, включаючи теплову карту, що показує стан моніторингових інтерфейсів, провідних додатків, провідних протоколів, провідних розмов, останніх тривог, верхнього QoS і багато іншого.

Наведення на графіку зазвичай надає пояснювальне спливаюче вікно, а також натискання будь-яких графічних навчань на більш детальну інформацію про вибраний елемент. Існують спеціальні дисплеї для виявлення проблем безпеки . Інформаційні панелі можна налаштувати.

Інформаційні панелі можна налаштувати

ManageEngine Оповіщення та стан безпеки

Сповіщення відображаються як спливаючі вікна в інтерфейсі користувача. Трафік на декількох сайтах може бути проаналізований; є смартфон для мобільного моніторингу та оповіщення.

Підтримувані технології потоків включають NetFlow , IPFIX , J-Flow , NetStream та ряд інших. Інструмент використовує вдосконалені функції пристроїв Cisco, включаючи підтримку для регулювання формування трафіку та політики QoS у вашій мережі.

ManageEngine NetFlow Analyzer надає широкий спектр можливостей для управління складними мережами, які використовують NetFlow. Безкоштовна версія дозволяє необмежений моніторинг протягом 30 днів, але потім повертається до моніторингу тільки двох інтерфейсів. ManageEngine має різноманітні суміжні продукти, які виходять за межі NetFlow, орієнтованого на трафік, на повний пакет управління мережею.

5. Nprobe і ntopng

ntopng є відкритим веб-інструментом аналізу трафіку, який здійснює моніторинг пасивної мережі на основі даних про потоки та статистики, отриманих із спостережуваного трафіку. ntopng робить сам пакет захоплення; отримувати дані потоку, від яких залежить nProbe , експортер / колектор NetFlow / IPFIX. Протоколи потоків включають NetFlow v9, IPFIX і NetFlow-lite .

Версія спільноти ntopng безкоштовна. Професійні (малі підприємства) та корпоративні версії вимагають a платної ліцензії , але вільні для освітніх і некомерційних організацій. nProbe може бути продемонстровано безкоштовно, але повністю функціонуюча версія вимагає платної ліцензії. Тому використання даних NetFlow обмежене (якщо ви не маєте права на безкоштовну ліцензію).

потоки ntopng

Веб-інтерфейс користувача ntopng згортає дані в трафік (наприклад, провідні), потоки, хости, пристрої та інтерфейси. Більшість категорій мають декілька переглядів, поєднання діаграм, таблиць і графіків; і в кожному ви можете деталізувати, щоб вивчити в глибину і перехресні посилання. Таблиці можуть бути відсортовані - так, наприклад, вибір стовпця пропускної здатності таблиці потоків показує поточних користувачів верхньої смуги пропускання.

Геолокація ntopng

Дисплей потоку показує протоколи додатків (наприклад, Facebook, YouTube). Відображаються затримки та статистика TCP (наприклад, втрата пакетів). Спостережувані хости / IP-адреси можуть відображатися на карті за допомогою геолокації. Оповіщення можуть бути встановлені на хостах на основі багатьох критеріїв і відображатимуться як значок у інтерфейсі користувача.

Професійна версія може зберігати і відображати статистику використання історичних додатків, здійснювати активний моніторинг за допомогою протоколу SNMP, створювати власні звіти про трафік і кілька інших додаткових функцій.

Інсталяційний пакет для ntopng і nProbe - це zip-файл, який містить стандартний майстер налаштування Windows. Інсталятор встановить winpcap (для перехоплення пакетів), якщо необхідно.

Оскільки ntopng є відкритим кодом, існує значний простір для його розширення. Дані можна експортувати до MySQL, ElasticSearch і LogStash, де їх можна об'єднати у звіти, що зберігаються на сервері Syslog.

6. Plixer Scrutinizer

Plixer Scrutinizer є складною потоковою орієнтованою системою аналізу трафіку з особливим акцентом на криміналістику безпеки (вона називається "Scrutinizer Incident Response System"). Він підтримує як NetFlow, так і sFlow.

Scrutinizer може бути встановлений як виділений фізичний пристрій , як віртуальна машина, що працює на сервері, або як рішення SaaS, запущене в хмарі (public або hybrid). Це складна система, тому навіть безкоштовна пробна версія на віртуальній машині вимагає значних ресурсів (наприклад, 16 Гб оперативної пам'яті).

Приладова панель Scrutinizer

Scrutinizer розроблений для високої продуктивності та масштабованості від малих до дуже великих середовищ. Він надає широкий спектр функцій аналізу та звітності.

Випробування включає повний доступ протягом 30 днів. Після цього безкоштовна версія має ліміт 10К потоків, зібраних за секунду, п'ять годин сировинних потоків, і один тиждень історичних резюме. Платна версія включає сповіщення, налаштування інформаційної панелі, спеціальні звіти, планові звіти електронної пошти та підтримку. Ціноутворення на ліцензію залежить від обраної платформи та кількості експортерів потоків, які будуть підтримуватися.

7. Nagios XI і Nagios Core

Nagios є постійним стандартом у моніторингу мережі. Nagios Core - це безкоштовна версія з відкритим вихідним кодом, а Nagios XI - комерційний варіант з додатковими функціями та автоматизованою підтримкою конфігурації. Nagios має репутацію потужного, надійного, масштабованого і надзвичайно настроюваного - і складного для налаштування.

У безкоштовній версії є крива навчання, а також активна спільнота. Він відстежує сервери, служби та програми, як і комерційна версія. Вона включає в себе звітність по електронній пошті та SMS, основний інтерфейс користувача (включаючи карту мережі) та основні звіти.

Nagios Core не вистачає автоматичного виявлення, і ви повинні навчитися налаштовувати і підтримувати складні конфігурації. З іншого боку, це дає вам велику гнучкість, щоб налаштувати та розширити інструмент. Розроблені спільнотою аддони можуть виконувати відкриття та допомагати вам розпочати роботу з конфігурацією.

Ви можете використовувати безкоштовну пробну 60-денну пробну версію для оцінки вартості. Якщо ви вирішите піти на безкоштовну версію, коли буде зроблено випробування, ви можете зберегти автоматично згенеровані конфігураційні файли з / usr / local / nagios / etc, перш ніж видалити копію eval. Потім ці файли можна використовувати як відправну точку для налаштування нової інсталяції.

Комерційна версія Nagios XI має більш широкий спектр функцій, включаючи автоматизовану підтримку для виявлення ваших пристроїв і вузлів, автоматичне налаштування інструменту та комерційно підтримувані аддони. Вона має набагато складніший інтерфейс користувача та більш просунуту звітність, яка охоплює тенденції, допомогу у плануванні потужності тощо

Nagios XI побудований для роботи на Red Hat Linux і CentOS. Для Windows використовуйте пристрій VM з Hyper-V або VMware. Вона включає в себе інструмент автоматичного виявлення та майстер налаштування для додавання нового пристрою, хоста або програми.

Панель керування Nagios

Після встановлення та моніторингу Nagios XI на екрані операцій відображається високий рівень поточного стану мережі, а операційний центр дозволяє деталізувати згадані пункти.

Статус господаря Nagios

На сторінці " Стан хоста " відображається підсумок показників для контрольованих хостів. Щоб переглянути деталі, включаючи графіки ефективності, інформацію про планування потужності, нагадування тощо, можна перейти до окремого хоста.

Статус послуги Nagios

На сторінці стану служби підсумовується стан контрольованих послуг.

Nagios є популярним рішенням для моніторингу мережі. Як і для інших інструментів, які пропонують повністю безкоштовний або комерційний варіант компромісу, ви повинні вирішити, чи маєте ви (або будете розвивати) досвід і час для використання безкоштовного інструменту, або ж було б більш рентабельним платити за автоматизацію та підтримка комерційної версії.

8. Kentik Detect

Kentik Detect , на відміну від вищезазначених інструментів аналізатора трафіку, це чиста система SaaS. Як такий, він пропонує масштабованість хмари.

Мережі зростають, і мережеві ресурси поза приміщеннями є більш важливими для успіху. Таким чином, дані про трафік стають великими даними, і хмарні рішення для великих даних починають мати сенс.

Kentik має на меті захопити деталі з декількох типів даних, забезпечити уніфікований перегляд усіх цих даних і забезпечити інтерфейси для доступу до даних і інтеграції з іншими системами. Kentick Detect складається зі спеціального сховища даних з високою доступністю (Kentik Data Engine) і UI (Kentik Portal). Протоколи включають Netflow, IPFIX, sFlow, SNMP і BGP.

Протоколи включають Netflow, IPFIX, sFlow, SNMP і BGP

Інформаційна панель Kentik Detect

Портал Kentik - це веб-інтерфейс (звичайно) і надає зростаючий діапазон налаштовуваних панелей.

Інформаційна панель огляду трафіку Kentik

Провідник даних дозволяє спеціальне дослідження зібраних мережевих даних. Можна швидко розгорнути і фільтрувати на потенційно мільярди записів, отримуючи види у вигляді таблиць і графіків.

Налаштування політики для налаштування сповіщень

Сповіщення про незвичні умови може бути налаштовано шляхом створення політики, яка визначає, коли сповіщення буде введено у стан тривоги. Повідомлення можуть надсилатися різними засобами масової інформації, зокрема електронною поштою, слайдами, пошуковими викликами тощо

9. WhatsUp Gold

WhatsUp Gold є відомим інструментом моніторингу мережі від IPSwitch, який є багатофункціональним, але є простим. Вона доступна як у безкоштовній версії стартової версії, так і в 30-денному випробуванні для оцінки платної.

WhatsUp Gold контролює мережевий трафік, сервери, віртуальні сервери, хмарні сервіси та програми. Безкоштовна версія - безкоштовна ліцензія на п'ять пунктів для моніторингу до п'яти ресурсів (наприклад, п'ять серверів).

WhatsUp Gold повинен бути встановлений у Windows. Налаштування просте та використовує автоматичне виявлення. Інтерфейс користувача надає декілька переглядів з картою інтерактивних мереж і можливістю деталізації для вивчення проблем.

Інтерфейс користувача надає декілька переглядів з картою інтерактивних мереж і можливістю деталізації для вивчення проблем

Перегляд списку WhatsUp Gold

Перелік списків WhatsUp Gold показує відкриті хости та пристрої, узагальнюючи їх характеристики та статус.

Перегляд карти WhatsUp Gold

Вікно карти - це інтерактивна карта для візуалізації компонентів вашої мережі та їх статусів. Можна проаналізувати доступність і продуктивність окремих вузлів.

Засоби аналізу трафіку працюють з широким спектром пристроїв з підтримкою потоку, включаючи NetFlow, sFlow, NetFlow-Lite, IPFIX та J-Flow.

Засоби аналізу трафіку працюють з широким спектром пристроїв з підтримкою потоку, включаючи NetFlow, sFlow, NetFlow-Lite, IPFIX та J-Flow

Панель аналізу трафіку WhatsUp Gold

Інформаційні панелі можна налаштувати. WhatsUp Gold надає багато консервованих звітів, включаючи звіти про пропускну спроможність та використання; Ви також можете створювати індивідуальні звіти.

Top 10 зору WhatsUp Gold

У верхньому 10 перегляді відображаються критичні статуси у вашій мережі.

Ви можете налаштувати сповіщення, щоб сповістити вас, коли відправники або приймачі перевищують порогові значення смуги пропускання, коли інтерфейси перевищують порогові значення, і т.д. Існує декілька можливих методів сповіщення, включаючи електронну пошту та SMS. Запущені дії дають можливість автоматично виконувати дії як відповіді на сповіщення.

The безкоштовне видання WhatsUp Gold є простим і повнофункціональним інструментом для моніторингу та управління невеликим магазином. Перехід на розширену версію дозволяє перейти до покриття великих мереж.

10. Рол

Можливо, жоден із вищезазначених аналізаторів NetFlow не є достатньо потужним або достатньо потужним для задоволення ваших потреб. Можливо, ви впевнені, що можете зробити краще, або ви просто хочете експериментувати з аналізом даних самостійно. Існує декілька пакунків для збору даних та аналітики, які роблять це цілком реальним. Деякі з них є безкоштовними з відкритим вихідним кодом; деякі - ні. Деякі з них можуть бути інтегровані з розфасованими аналізаторами, такими як Plixer і ntopng.

Ось кілька можливостей для перевірки.

Splunk

Splunk являє собою пакет витрат для пошуку, моніторингу та аналізу / візуалізації великих даних. Splunk фіксує дані в реальному часі і надає веб-засоби для аналізу та візуалізації. Splunk має надбудова для NetFlow і один для IPFIX.

ELK / Еластичний стек

The ELK Stack - Elasticsearch, Logstash і Kibana - це набір інструментів з відкритим кодом, який зазвичай використовується з даними, які нагадують повідомлення журналу. Elasticsearch є популярним розподіленим пошуковим і аналітичним механізмом. Logstash - це механізм збору даних і журналу. Kibana - це інформаційна панель візуалізації даних на основі браузера для аналітики та пошуку. Logstash включає кодек для обробки декількох версій даних NetFlow.

Кілька груп використовували стек ELK з NetFlow. Cisco має керівництво для цього, і є кілька інших статей в Інтернеті. Люди побудували системи, що використовують стек ELK з іншими популярними компонентами, такими як Ріман інструмент розподіленої системи моніторингу та оповіщення. Альтернативою логарифму є вільний .

Telegraf, Influxdb, Chronograf, Kapacitor

Influxdata TICK Stack - Telegraf, Influxdb, Chronograf і Kapacitor - це набір інструментів з відкритим вихідним кодом для захоплення, моніторингу та аналізу / візуалізації даних показників часових рядів. Телеграф збирає показники ефективності; InfluxDB - це база даних часових рядів; Chronograf здійснює візуалізацію в реальному часі даних InfluxDB; і Kapacitor є потоковим / пакетним процесором обробки даних, який може здійснювати моніторинг і оповіщення переглядів даних InfluxDB. Стек TICK використовувався з статистикою мережі з sFlow і SNMP.

Іншим потужним інструментом, який іноді використовується з Influxdb є Графана - пакет з відкритим кодом для аналітики та візуалізації часових рядів. Графана аналогічна Кібана, але там, де Кібана орієнтована на лог-повідомлення, Графана орієнтована на метрику.

Вибір аналізатора NetFlow

Доступні кілька відмінних інструментів для моніторингу мережі та аналізу трафіку. Малі організації мають безліч вільних варіантів вибору, а великі або зростаючі організації мають багато варіантів за ціною.

Протягом останніх років рішення з відкритим кодом стали широко застосовуватися для багатьох типів мережевих програм, а також для бізнес-і безпечних програм. Перевагою проектів з відкритим кодом є те, що кожен може прочитати код, який керує програмним забезпеченням. За допомогою цього запиту ви можете бути впевнені, що в програмі немає прихованого коду.

Як правило, проекти з відкритим кодом підтримуються волонтерами. Перевага програмного забезпечення, розробленого ентузіастами, полягає в тому, що його можна віддати безкоштовно. Недоліком цієї установки є те, що безкоштовні інструменти не можуть професійно керуватися і можуть містити помилки. Відсутність доходів від вільного програмного забезпечення означає, що організації, які підтримують його, не мають коштів, щоб не відставати від стандартів безпеки або виправляти проблеми з кодом.

Якщо ви використовуєте програмне забезпечення з відкритим вихідним кодом для моніторингу та аналізу мережі, ознайомтеся з пакунками, які вас цікавлять, і ретельно перевірте їх перед тим, як приєднати до неї мережу. Розгляньте можливість оплати інструментів аналізу мережі, щоб отримати гарантовану продуктивність, а також підтримку від комерційних організацій, які надають платне програмне забезпечення.

Той, хто хоче внести свій внесок у навчання, має набір потужних компонентів, які можна використати, щоб розгорнути власне рішення. Ваш остаточний вибір залежить від розміру та складності вашої мережі, від досвіду, який ви приносите (або бажаєте розробити), і від того, як ви очікуєте, що ваша мережа розвиватиметься в майбутньому.

« Скільки автобусів їхали звідси туди?