NetFlow – найкращий посібник з аналізаторів NetFlow та NetFlow

NetFlow - найкращий посібник з аналізаторів NetFlow та NetFlow

NetFlow – це мережевий протокол, розроблений Cisco, який відзначає та повідомляє про всі IP-розмови, що проходять через інтерфейс. NetFlow є великим станом і працює з точки зору абстракції, званої a потік: тобто послідовність пакетів, яка становить розмову між джерелом та пунктом призначення, аналогічним виклику або з’єднанню. Якщо у вас є інтелектуальні комутатори та / або маршрутизатори, вони можуть підтримувати NetFlow, а ви можете додати програмне забезпечення або на основі приладів зонди, які експортують NetFlow.

Пристрій-експортер NetFlow збирає дані про IP-трафік, що входить / виходить з пристрою; він перевіряє пакети та групує їх у потоки, перевіряючи окремі поля: адреси джерела та призначення, протоколи, порти тощо. Дані про спостережувані потоки згортаються з пакетів та кешуються локально (у кеш потоку), то він періодично експортується до колектора на основі активних та неактивних тайм-аутів. Таким чином, NetFlow обробляє лише IP, орієнтуючись на рівні OSI 3 та 4. Її знання IP-протоколів дозволяють інтерпретувати пакети та працювати з точки зору потоків.

Ось наш список найкращих колекторів та аналізаторів netFlow:

  1. SolarWinds в реальному часі аналізатор NetFlow (БЕЗКОШТОВНЕ ЗАВАНТАЖЕННЯ) Безкоштовний інструмент для аналізу мережевого трафіку за стандартами NetFlow, IPFIX, J-Flow та Netstream.
  2. Аналізатор трафіку SolarWinds NetFlow (БЕЗКОШТОВНА ПРОБЛЕМА) Провідний аналізатор мережевого трафіку. Працює на Windows Server.
  3. ManageEngine NetFlow Analyzer (БЕЗКОШТОВНА ПРОБЛЕМА) Аналізатор трафіку, який встановлюється на Windows Server та Linux та використовує стандарти NetFlow, IPFIX, J-Flow, NetStream.
  4. Paessler PRTG Датчики NetFlow, sFlow та J-Flow, що входять до мережі, сервера та монітора програм. Встановлюється на Windows Server.
  5. Nprobe та ntopng Проста система моніторингу мережі у безкоштовній та платній версіях.
  6. Plixer Scrutinizer Монітор діяльності з кібербезпеки, який доступний для встановлення, як хмарний сервіс або як пристрій.
  7. Nagios XI і Core Розгалужена система моніторингу мережі як у безкоштовній (Nagios Core), так і платній (Nagios XI) версіях.
  8. Виявити Кентик Хмарний сервіс, який може аналізувати ваш локальний трафік.
  9. Що Золото Золото Мережевий монітор, який працює на Windows Server і має модуль доповнення аналізу tr4affic.
  10. Сплин Добре відомий та дуже шанований sniffer пакетів, який може збирати дані шляхом аналізу за допомогою більш досконалих інструментів.
  11. Еластичний стек Інструменти збору та аналізу файлів журналу, які можна адаптувати для роботи з NetFlow.
  12. Стік TICK Influxdata Telegraf, Influxdb, Chronograf та Kapacitor – це мережеві засоби збору та аналізу даних, які можуть використовувати sFlow та SNMP.

Типи та розширення NetFlow

Гнучкі NetFlow та IPFIX надають можливість мати шаблони, що розширюються для постачальників, для налаштування набору цікавих полів. NetFlow v9 та IPFIX також додають можливість контролювати поля 2 рівня. Random Sampled NetFlow додає можливість робити вибірку для NetFlow (вибірка є обов’язковою для sFlow).

Відмінності між NetFlow та sFlow

Аві Фрідман робить влучну аналогію моніторингу руху автомобіля: “… в той час, як NetFlow можна описати як спостереження за схемами руху (” Скільки автобусів їхало звідси туди? “). відбуватиметься саме в цей момент ».

Ось основні відмінності між двома технологіями.

Точність та масштабованість

Партізани NetFlow давно стверджують, що NetFlow може бути більш точним, ніж sFlow. NetFlow агрегує дані про всі пакети в потоки локально на пристрої; таким чином, він не може випадково пропустити розмову, не вдавшись до вибірки відповідних пакетів. Ця деталізація NetFlow приваблива для вивчення трафіку з окремим хостом. Легко бачити деталі кожного хоста, помічати локалізовані аномалії та досліджувати конкретні потоки. Але, оскільки гриби за об’ємом трафіку збирають кожен потік все менше і менше. Якщо ви не робите вибірки, масштабність стає проблемою.

Таким чином, sFlow є більш масштабованим, ніж традиційний NetFlow. Однак відбір проб має і менший бік: можливі прогалини у видимості. Вибірені пакети можуть не відображати кожен потік (наприклад, короткі розриви). Для виявлення та розгортання для дослідження проблем безпеки це може бути важливим.

Продуктивність пристрою при великих обсягах

Як зазначалося вище, sFlow мінімально працює над мережевим пристроєм, порівняно з NetFlow, який використовує процесор і оперативну пам’ять пристрою для реалізації кеш-потоку. Це може стати проблемою на високошвидкісних пристроях, де багато розмов зосереджено на посиланнях. Додаткове завантаження процесора поверх “реальної роботи” пристрою збільшується, виходячи з кількості потоків в секунду, і може споживати значну частину процесора на документі Cisco (PDF). Навпаки, sFlow зазвичай робить вибірку пакетів в ASIC комутації / маршрутизації, дозволяючи процесору мережевого пристрою сконцентруватися на своїй основній роботі.

При обсягах сотень гігабітів в секунду, таких як маршрутизація та великі центри передачі даних, центральна проблема стає інженером руху; увага зосереджена на масштабних моделях і різких змінах обсягу. Дрібнозерниста видимість окремих хостів стає менш значною. Тепер відбір проб починає ставати явним переможцем. Через це NetFlow додав можливість Sampled NetFlow, що робить NetFlow масштабованим – але втрачає точну високу деталізацію традиційного NetFlow.

Протокол охоплення

NetFlow – це лише IP (недавно додана підтримка рівня 2). Таким чином, застарілі протоколи (наприклад, Appletalk, IPX) та інші неінтернетні протоколи не відображаються. Навпаки, sFlow може охоплювати Шари 2 по 7.

Затримка

sFlow може мати меншу затримку, ніж NetFlow. Пристрій, що збирає показники NetFlow у кеш потоку, періодично експортує їх на основі активних та неактивних тайм-аутів. Таким чином, звіти про останні та поточні розмови можуть затримуватися, залежно від часу очікування. На противагу цьому, sFlow надсилає зібрані префікси пакетів та лічильники в реальному часі. Якщо затримка за хвилину викликає занепокоєння – і ваш інструмент моніторингу / аналізу це підтримує – sFlow може бути кращим вибором.

Дивись також: sFlow – Кінцевий посібник з аналізаторів sFlow та sFlow

Кращі безкоштовні та платні інструменти NetFlow для Windows

Коли ваша мережа зростає до того, що побачити те, що відбувається, стало складним, інструменти, що використовують NetFlow, можуть стати рішенням. Нижче ми розглянемо кілька популярних інструментів моніторингу та аналізу мереж на основі NetFlow для Windows. Усі складні, мають значну криву навчання; тому навчання в Інтернеті та хороша підтримка важливі.

1. SolarWinds в реальному часі аналізатор NetFlow (БЕЗКОШТОВНЕ ЗАВАНТАЖЕННЯ)

SolarWinds виробляє набір продуктів, що надають комплексну підтримку для моніторингу та управління мережею. Аналізатор NetFlow в реальному часі – це безкоштовний інструмент, який забезпечує огляд поточного потоку в режимі реального часу. Безкоштовна версія зосереджена на відображенні поточного та недавнього стану використання вашої пропускної здатності. Він обмежений одним інтерфейсом NetFlow та 60 хвилинами даних. Технології потоку, що підтримуються, включають NetFlow, J-Flow Juniper, IPFIX та мережу Huawei.

Знімок екрана аналізатора мережевого трафіку в режимі реального часу SolarWinds з графіком дерева та діаграмою, що показує трафік вибраного елементаSolarWinds аналізатор мережевого трафіку в реальному часі

Аналізатор визначає, які пристрої / IP-адреси, програми та користувачі споживають найбільшу пропускну здатність. Інтерфейс користувача відображає вхідний та вихідний трафік для обраного експортера NetFlow; трафік можна сортувати та відображати різними способами. Провідник дерева інтерфейсу користувача підсумовує трафік NetFlow, аналізуючи його на програми, розмови, домени, кінцеві точки та протоколи. Кожен може бути розгорнутий на інклюзивний графік для висвітлення конкретних аспектів. Перегляди дерев і графіки оновлюються в режимі реального часу.

Установка здійснюється за допомогою стандартного майстра налаштування Windows та Конфігуратор NetFlow включено, щоб допомогти в налаштуванні колектора NetFlow та ваших пристроїв, які підтримують різні варіанти NetFlow.

Якщо ваші ключові пристрої підтримують NetFlow, і ви шукаєте чіткий і чіткий огляд перегляду вашої поточної та недавньої використання пропускної здатності, SolarWinds в режимі реального часу NetFlow аналізатор відповідає законопроекту..

Для більш потужної та багатофункціональної версії, варіант SolarWinds за вартістю, аналізатор мережевого трафіку, описаний нижче.

SolarWinds в реальному часі NetFlow AnalyzerDownload FREE Edition на SolarWinds.com

Ще один безкоштовний інструмент аналізу трафіку, який ви можете спробувати, – це Пакет інструментів SolarWinds Flow. Це корисний колектор зразків трафіку, який використовує Cisco NetFlow v5. Окрім збору зразків трафіку, інструмент включає в себе симулятор потоку трафіку, який дасть змогу попередньо переглянути ефекти в мережі додаткових обсягів трафіку або зміни апаратного макета.

SondWinds Flow Tool BundleЗавантажте 100% БЕЗКОШТОВНОГО пакета інструментів

2. SolarWinds NetFlow аналізатор трафіку (БЕЗКОШТОВНИЙ ПЕРІОД ВИПРОБОВУВАННЯ)

Сонячні вітри Аналізатор трафіку NetFlow (NTA) – це крок за витратами на їх безкоштовний інструмент, the Аналізатор трафіку в режимі реального часу. NTA – модуль в Монітор ефективності роботи мережі (НПМ), тому ви повинні враховувати витрати та вимоги платформи обох. І NTA, і NPM доступні в 30-денному повнофункціональному випробуванні.

NTA цілком можна назвати аналізатором мережевого трафіку обробляє не тільки оригінальний Cisco Netflow, але й безліч його варіантів від інших виробників, а також основна альтернатива NetFlow – sFlow.

Після встановлення NPM та NTA пропонують вам широкий спектр складних засобів управління мережами багатьох постачальників. Це особливості моніторинг пропускної здатності, аналіз трафіку, аналіз ефективності, оповіщення, настроювані звіти, оптимізація політики, і більше.

Скріншот, на якому відображається головна інформаційна панель SolarWinds Orion, з відображенням меню панелі інструментівДисплеї аналізатора трафіку NetFlow перелічені у розділі Інформаційні панелі

Аналізатор трафіку NetFlow збирає дані про потоки, експортовані пристроями з підтримкою потоку відстежується програмним забезпеченням для моніторингу мережі SolarWinds.

Скріншот, що показує за замовчуванням підсумок аналізатора трафіку NetFlowПідсумок NTA за замовчуванням

Підсумок NetFlow Traffic Analyzer Summary має кілька розділів, як-от Топ-5 додатків, Топ 5 кінцевих точок, Топ 5 розмов, Топ-10 джерел за% використання, тощо.

Знімок екрана аналізатора трафіку NetFlow графічно показує трафік найкращих програм за останні годиниДивлячись на тенденції руху за часом

Як аналізатор потоку, NTA визначає користувачів, додатки та протоколи, що споживають найбільшу пропускну здатність. Ви можете сортувати за портами, джерелом, пунктом призначення та протоколами та переглядати структури трафіку протягом декількох хвилин, днів чи місяців.

NTA та NPM – пакети для корпоративних клієнтів, тому навіть безкоштовна пробна версія вимагає значних ресурсів у вашій системі. Якщо у вас є складна мережа з пристроями з підтримкою NetFlow, можливості NTA варто вивчити. Детальніше про NTA дивіться у нашому Огляд аналізатора трафіку SolarWinds NetFlow.

SolarWinds NetFlow Traffic AnalyzerЗавантажити безкоштовну пробну версію на SolarWinds.com

3. ManageEngine NetFlow Analyzer (БЕЗКОШТОВНА ПРОБЛЕМА)

The ManageEngine NetFlow Analyzer забезпечує в режимі реального часу видимість пропускної здатності мережі та структури трафіку. Інструмент візуалізує трафік додатками, розмовами, протоколами тощо. Сповіщення можна встановити на основі порогів трафіку. Існує безліч корисних заздалегідь визначених звітів, починаючи від орієнтування на усунення несправностей до планування потенціалу та виставлення рахунків. Можуть створюватися спеціальні звіти про пошук.

скріншот інформаційної панелі аналізатора NetFlow ManageEngineManageEngine NetFlow Analyzer приладна панель

Аналізатор NetFlow має набір інструментів, орієнтованих на NetFlow, для управління складними мережами. Веб-інтерфейс користувача має інформаційну панель за замовчуванням з кількома круговими діаграмами в режимі реального часу, включаючи теплову карту, що показує стан інтерфейсів, що відстежуються, топ-програми, топ-протоколи, топ-розмови, останні тривоги, топ QoS тощо.

Наведення курсору на графіку зазвичай надає пояснювальне спливаюче вікно та натискання будь-якої графіки, щоб отримати докладнішу інформацію про вибраний елемент. Існує конкретні дисплеї для виявлення проблем із безпекою. Інформаційні панелі налаштовуються.

скріншот ManageEngine NetFlow Analyzer, що показує поточні сповіщення та повідомлення про стан безпекиManageEngine Alerts та статус безпеки

Повідомлення відображаються у вигляді спливаючих вікон на інтерфейсі користувача. Можна проаналізувати трафік на декількох сайтах; є додаток для смартфонів для мобільного моніторингу та оповіщення.

Підтримувані технології потоку включають NetFlow, IPFIX, J-Потік, NetStream, та кілька інших. Інструмент використовує розширені функції пристроїв Cisco, включаючи підтримку налаштування трафіку та політик QoS у вашій мережі.

Аналізатор ManageEngine NetFlow надає низку можливостей для управління складними мережами, які активно використовують NetFlow. Безкоштовна версія дозволяє здійснювати необмежений моніторинг протягом 30 днів, але потім повертається до моніторингу лише двох інтерфейсів. ManageEngine має різноманітні супутні продукти для розширення аналізу, орієнтованого на трафік NetFlow, до повного набору мережевого управління. Ви можете завантажити 30-денну безкоштовну пробну версію.

ManageEngine NetFlow AnalyzerЗавантажте 30-денну безкоштовну пробну версію

4. Мережевий монітор Paessler PRTG

The Paessler PRTG Network Monitor – це рішення “включені батареї” контролює використання пропускної здатності, то доступність та здоров’я пристроїв у вашій мережі тощо. PRTG може контролювати кілька сайтів, WAN, VPN, і хмарні послуги. Безкоштовна версія забезпечує необмежену кількість датчиків протягом місяця, а далі обмежується 100 датчиками; датчик – це індивідуальний потік даних, тому кожному пристрою зазвичай потрібно кілька датчиків.

Знімок екрана PRTG із зображенням дерева пристроїв та датчиків, пов’язаних із кожним пристроємДерево пристроїв PRTG

У користувальницькому інтерфейсі PRTG, a первинний вигляд – це дерево пристроїв, яке показує всі пристрої у вашій мережі та датчики, що контролюють кожен. Пристрої включають в себе міжмережеві стіни, маршрутизатори, точки доступу, сервери, робочі станції, віртуальні сервери, сховище тощо. Дерево пристрою доповнено табличними видами датчиків, журналів та сигналізацій, а також різними діаграмами та графіками пропускної здатності тощо сортувати та фільтрувати.

Свердління по дереву відкриває показники та показники на кожному рівні. Налаштування, як інтервал сканування, успадковуються і можуть бути замінені на нижчих рівнях у дереві пристроїв. Сповіщення можна аналогічно встановлювати на кожному рівні, тож ви можете домовитись про отримання сповіщень про події та переходи порогів певного критичного пристрою або згортання із загального аспекту вашої мережі. Повідомлення можна передавати різними способами, включаючи SMTP-повідомлення та текстові повідомлення SMS.

Абстракція пристроїв і датчиків формує панелі приладів і звіти теж. Можна створити спеціальні інформаційні панелі, включаючи інтерактивні карти. Існує низка попередньо визначених звітів та засобів для розробки користувацьких звітів; звіти також можуть бути заплановані.

Знімок екрана PRTG, на якому відображається дисплей для датчика NetFlow - верхні динаміки, верхні з'єднання тощо.Датчик PRTG NetFlow

Засоби аналізу трафіку включають вбудовану підтримку NetFlow. Для протоколів потоку PRTG підтримує NetFlow, sFlow та J-Flow. Інші використовувані протоколи / механізми включають SNMP, WMI та обнюхування пакетів. Paessler називає ці системи виявлення, такі як колектор NetFlow, «датчиками».

Установка проста. Існує майстер налаштування, а також відео, яке забезпечує покрокове керівництво. При встановленні локальний зонд основного сервера робить автоматичне відкриття для виявлення пристроїв та налаштування датчиків. Додаткові датчики (включаючи колектори NetFlow) можна додавати вручну; відео надає інструкції.

Основним сервером є лише Windows. Моніторинг одного сайту може здійснюватися через веб-додаток, але одночасний перегляд декількох основних серверів вимагає використання корпоративного додатку в Windows. Також надається мобільний додаток. Одне розумне доповнення – PRTG надає QR-коди, які можна вставити на певні пристрої для швидкого пошуку та статусу в мобільному додатку. PRTG підтримує кластеризацію для відмовостійкості: ви можете налаштувати випадки відмови монітора.

Хоча PRTG – це все-в-одному, тож вам не потрібно декілька продуктів та ліцензій, щоб отримати всебічний моніторинг, ключовим питанням для оцінки є те, скільки датчиків потребує ваша мережа, і яка буде довгострокова вартість сенсорів ліцензійна модель в міру зростання. Щоб оцінити, ви можете завантажити 30-денну пробну версію програмного забезпечення тут.

5. Nprobe та ntopng

ntopng це веб-інструмент аналізу трафіку з відкритим кодом, який здійснює моніторинг пасивної мережі на основі даних потоку та статистичних даних, витягнутих із спостережуваного трафіку. ntopng здійснює захоплення пакету; для отримання даних про потік це залежить від nProbe, експортера / колектора NetFlow / IPFIX. Протоколи потоку включають NetFlow v9, IPFIX та NetFlow-lite.

Версія спільноти ntopng безкоштовна. Професійні версії (для малого бізнесу) та підприємства вимагають платної ліцензії, але вони безкоштовні для освітніх та некомерційних організацій. nProbe може бути тестово керований безкоштовно, але повністю функціонуюча версія вимагає платної ліцензії. Тож використання даних NetFlow обмежене (якщо ви не маєте права на безкоштовну ліцензію).

Скріншот ntopng із зазначенням переліку потоків та їх характеристикntopng тече

Веб-інтерфейс ntopng користувальницький інтерфейс накопичує дані в трафік (наприклад, топ-динаміки), потоки, хости, пристрої та інтерфейси. Більшість категорій мають кілька представлень, поєднання діаграм, таблиць та графіків; і в кожному можна детально вивчити глибину та перехресне посилання. Таблиці можна сортувати – так, наприклад, вибір стовпчика пропускної здатності в таблиці потоків показує поточних верхніх користувачів пропускної здатності..

Скріншот ntopng, що показує геолокацію хостів на картіnlotng геолокація господаря

На дисплеї потоку відображаються протоколи додатків (наприклад, Facebook, YouTube). Відображаються затримки та статистика TCP (наприклад, втрата пакету). Спостережувані хости / IP адреси можуть відображатися на карті через геолокацію. Сповіщення можна встановити на хостах на основі багатьох критеріїв і відображатимуться як піктограма в інтерфейсі користувача.

Професійна версія може зберігати та відображати історичну статистику використання додатків, здійснювати активний моніторинг за допомогою SNMP, створювати спеціальні звіти про трафік та кілька інших додаткових функцій.

Інсталяційний пакет для ntopng і nProbe – це поштовий файл, що містить стандартного майстра налаштування Windows. Інсталятор встановить winpcap (для нюхання пакетів), якщо це потрібно.

Оскільки ntopng є відкритим кодом, існує значне поле для його розширення. Дані можна експортувати в MySQL, ElasticSearch та LogStash, де їх можна об’єднати у звіти, що зберігаються на вашому сервері Syslog.

6. Plixer Scrutinizer

Plixer Scrutinizer це складна система аналізу трафіку, орієнтована на потоки, з особливим акцентом на криміналістику безпеки (її називають “системою реагування на інциденти перевірки”). Він підтримує як NetFlow, так і sFlow.

Ревізор може бути встановлений як спеціальний фізичний прилад, як віртуальна машина, що працює на сервері, або як рішення SaaS, що працює в хмарі (загальнодоступний або гібридний). Це складна система, тому навіть безкоштовна пробна версія на віртуальній машині вимагає значних ресурсів (наприклад, виділених 16 Гб оперативної пам’яті).

Знімок екрана основної панелі інструментів ScrutinizerІнформаційна панель Scrutinizer

Scrutinizer призначений для високої продуктивності та масштабованості від малого до дуже великого середовища. Він надає багатий спектр функцій аналізу та звітності.

Випробування включає повний доступ протягом 30 днів. Після цього у безкоштовній версії встановлено обмеження 10K потоків, зібраних за секунду, п’ять годин утримуваних сировинних потоків та один тиждень збережених історичних резюме. Платна версія включає сповіщення, налаштування інформаційної панелі, спеціальні звіти, заплановані звіти електронної пошти та підтримку. Цінові ліцензії залежать від обраної платформи та кількості експортерів потоку, які будуть підтримуватися.

7. Nagios XI і Nagios Core

Нагіос є стійким стандартом в моніторингу мережі. Nagios Core – безкоштовна версія з відкритим кодом, а Nagios XI – це комерційний варіант за вартістю з додатковими функціями та автоматизованою допомогою для налаштування. Nagios має репутацію потужного, надійного, масштабованого та надзвичайно налаштованого – та є складним у налаштуванні.

У безкоштовній версії є крива навчання, але і активне співтовариство. Він контролює сервери, сервіси та програми, як і комерційну версію. Вона включає звітування електронною поштою та SMS, базовий інтерфейс користувача (включаючи мережеву карту) та основні звіти.

У Nagios Core не вистачає автоматичного відкриття, і ви повинні навчитися налаштовувати та підтримувати складні конфігурації. З іншого боку, це дає велику гнучкість для налаштування та розширення інструменту. Додатки, розроблені спільнотою, можуть виявити та допомогти розпочати роботу з конфігурацією.

Ви можете використовувати безкоштовна 60-денна пробна версія для оцінки версії за вартістю. Якщо ви хочете скористатися безкоштовною версією, коли пробна версія буде завершена, ви можете зберегти автоматично створені конфігураційні файли з / usr / local / nagios / тощо перед тим, як видалити копію eval. Потім ви можете використовувати ці файли як вихідну точку для налаштування нової установки.

Комерційна версія Nagios XI має більш багатий набір функцій, включаючи автоматизовану підтримку виявлення ваших пристроїв та хостів, автоматичну настройку інструменту та підтримувані комерційними додатками. Він має набагато більш досконалий користувальницький інтерфейс та більш досконалу звітність, яка охоплює тенденції, допомогу в плануванні потужностей тощо.

Nagios XI створений для роботи на Red Hat Linux і CentOS. Для Windows використовуйте пристрій VM з Hyper-V або VMware. Він включає інструмент автоматичного виявлення та майстер конфігурації для додавання нового пристрою, хоста чи програми.

Скріншот, на якому показана панель операцій, яка може відображатися в операційному центріІнформаційна панель Nagios

Після встановлення і моніторингу Nagios XI, то Екран операцій дає вам високий рівень перегляду поточного стану мережі та Операційний центр дозволяє переглядати згадані елементи.

Скріншот, що показує екран статусу хоста Nagios, підсумовуючи статуси хостівСтатус господаря Nagios

The Статус хоста на сторінці показано зведення показників для відстежуваних хостів. Ви можете перейти до окремого хоста, щоб переглянути деталі, включаючи графіки продуктивності, інформацію про планування потужностей, тривоги тощо.

Знімок екрану Nagios із зазначенням стану послуг, що відстежуютьсяСтатус послуги Nagios

The Статус послуги на сторінці підсумовано стан послуг, що контролюються.

Nagios – це продумане рішення для моніторингу мережі. Як і у випадку з іншими інструментами, які пропонують повністю вільну від комерційної версії компромісну версію, ви повинні вирішити, чи маєте ви (чи будете розвивати) досвід та час для використання безкоштовного інструменту, чи платити за автоматизацію вигідніше? та підтримка комерційної версії.

8. Виявлення Кентика

Виявити Кентик, на відміну від вищезгаданих інструментів аналізатора трафіку – це чиста система Software-as-a-Service (SaaS). Як такий, він пропонує масштабованість хмари.

Мережі зростають, а ресурси, що знаходяться поза приміщеннями, мають більш важливе значення для успіху. Таким чином, дані про трафік стають великими даними, і хмарні рішення великих даних починають мати сенс.

Kentik спрямований на збирання деталей багатьох типів даних, надання уніфікованого перегляду всіх них та надання інтерфейсів для доступу до даних та інтеграції з іншими системами. Kentick Detect складається з користувальницького сховища даних із високою доступністю часових рядів (Kentik Data Engine) та інтерфейсу користувача (порталу Kentik). Протоколи включають Netflow, IPFIX, sFlow, SNMP та BGP.

Знімок екрана інформаційної панелі у веб-інтерфейсі користувача Kentik DetectІнформаційна панель Kentik Detect

Портал Kentik – це, звичайно, веб-інтерфейс, який забезпечує все більший спектр настроюваних інформаційних панелей.

Скріншот, що показує інформаційну панель огляду трафіку Kentik DetectІнформаційна панель огляду трафіку Kentik

Провідник даних дозволяє спеціальне дослідження зібраних мережевих даних. Ви можете швидко розгортати та фільтрувати потенційно мільярди записів, отримуючи представлення у вигляді таблиць та графіків.

Знімок екрана, що показує інформаційну панель Kentik Detect, щоб встановити політику, яка може викликати сповіщення.Налаштування політики для налаштування сповіщень

Сповіщення про сповіщення про незвичні умови можна встановити, створивши політику, яка визначає, коли сповіщення перейде в стан тривоги. Повідомлення можуть надсилатися різними засобами масової інформації, включаючи електронну пошту, слабість, підказка тощо.

9. Що Золото Золото

WhatsUp Gold – це відомий інструмент моніторингу мережі від IPSwitch, який ще є багатим на функції. Він доступний як у безкоштовній версії для початківців, так і в 30-денній пробній версії для оцінки виплаченої версії.

WhatsUp Gold відстежує мережевий трафік, сервери, віртуальні сервери, хмарні сервіси та програми. Безкоштовна версія – це безкоштовна п’ятибальна ліцензія на моніторинг до п’яти ресурсів (наприклад, п’яти серверів).

WhatsUp Gold має бути встановлений у Windows. Установка проста і використовує автоматичне відкриття. Інтерфейс користувача забезпечує безліч переглядів інтерактивної мережевої карти та можливість детально досліджувати проблеми.

Знімок екрана WhatsUp Gold із переліком пристроїв у мережіПерегляд списку WhatsUp Gold

У списку списку WhatsUp Gold відображені виявлені хости та пристрої, підсумовуючи їх характеристики та стан.

Знімок екрана WhatsUp Gold із відображенням карти пристроїв та їх посиланьПерегляд карти WhatsUp Gold

Перегляд карт – це інтерактивна карта для візуалізації компонентів вашої мережі та їх статусів. Можна перевірити наявність та працездатність окремих вузлів.

Засоби аналізу трафіку працюють із широким спектром пристроїв із підтримкою потоку, включаючи NetFlow, sFlow, NetFlow-Lite, IPFIX та J-Flow.

Знімок екрана WhatsUp Gold, що показує інформаційну панель аналізу трафіку.Інформаційна панель аналізу трафіку WhatsUp Gold

Інформаційні панелі налаштовуються. WhatsUp Gold надає багато звітів із консервами, включаючи звіти про пропускну здатність та використання; Ви також можете створювати спеціалізовані звіти.

Знімок екрана WhatsUp Gold із відображенням топ-10 утилізації використання, помилок, трафіку тощо.WhatsUp Gold – кращі 10 переглядів

У верхній частині 10 відображаються критичні стану у вашій мережі.

Ви можете налаштувати сповіщення, щоб повідомляти вас, коли відправники або приймачі перевищують поріг пропускної здатності, коли інтерфейси перевищують пороги використання тощо. Існує кілька можливих способів оповіщення, включаючи електронну пошту та SMS. Запущені дії дають можливість автоматично виконувати дії як відповіді на сповіщення.

Безкоштовне видання WhatsUp Gold – це простий та повнофункціональний інструмент для моніторингу та управління невеликим магазином. Перехід на версію за вартістю дозволяє перейти до покриття великих мереж.

10. Згорніть власне

Можливо, жоден з перерахованих вище упакованих аналізаторів NetFlow не є достатньо настроєним або достатньо потужним, щоб задовольнити ваші потреби. Можливо, ви впевнені, що можете зробити краще, або просто хочете експериментувати з аналізом даних самостійно. Існує кілька пакетів для збору даних у часових рядах та аналітики, які роблять це цілком можливим. Кілька безкоштовних програм із відкритим кодом; деякі – ні. Деякі можуть бути інтегровані з розфасованими аналізаторами, такими як Plixer та ntopng.

Ось кілька можливостей перевірити.

Сплин

Сплин це пакет витрат для пошуку, моніторингу та аналізу / візуалізації великих даних. Splunk фіксує дані в режимі реального часу та надає веб-засоби для аналізу та візуалізації. У Splunk є надбудова для NetFlow, а для IPFIX – одна.

ELK / Еластичний стек

The ELK Стек – Еластичні дослідження, Логсташ і Кібана – це набір інструментів аналітики з відкритим кодом, який зазвичай використовується з даними, що нагадують повідомлення журналу. Elasticsearch – популярна система пошуку та аналітики. Logstash – це двигун збору даних та розбору журналів. Kibana – інформаційна панель візуалізації даних на основі браузера для аналізу та пошуку. Logstash включає кодек для обробки декількох версій даних NetFlow.

Кілька груп використовували стек ELK з NetFlow. У Cisco є посібник по цьому, і в Інтернеті є кілька інших статей. Люди побудували системи, що використовують ELK Stack, з іншими популярними компонентами, такими як інструмент моніторингу та сигналізації розподіленої системи Рімана. Альтернативою logstash є вільне слово.

Telegraf, Influxdb, Chronograf, Kapacitor

TICK Stack Influxdata – Telegraf, Influxdb, Chronograf та Kapacitor – це набір інструментів з відкритим кодом на основі Go для збору, моніторингу та аналізу / візуалізації даних метрик часових рядів. Telegraf збирає показники ефективності; InfluxDB – це база даних часових рядів; Chronograf виконує візуалізацію даних InfluxDB в режимі реального часу; а Kapacitor – це система потокової / пакетної обробки даних, яка може здійснювати моніторинг та оповіщення про перегляд даних InfluxDB. Стек TICK використовується з мережевою статистикою від sFlow та SNMP.

Іншим потужним інструментом, який іноді застосовують разом з Influxdb, є Grafana, пакет з відкритим кодом для аналізу та візуалізації часових рядів. Графана аналогічна Кібані, але там, де Кібана орієнтована на повідомлення на журнал, Графана орієнтована на метрику.

Вибір аналізатора NetFlow

У таблиці нижче наведено короткий виклад кожного з цих варіантів.

ToolTypePlatformsScalability
1. SolarWinds в реальному часі аналізатор NetFlowБезкоштовне завантаженняWindowsSOHO
2. SolarWinds NetFlow аналізатор трафікуБезкоштовний період випробовуванняWindowsSMB для великих підприємств
3. ManageEngine NetFlow AnalyzerБезкоштовний період випробовування

Інструмент для витрат з безкоштовним виданням для початківців для невеликих магазинів

Windows, LinuxSMB для великих підприємств
4. Paessler PRTGБезкоштовний період випробовування

Інструмент для витрат з безкоштовним початковим виданням для невеликих магазинів

WindowsSMB для великих підприємств
5. Nprobe та ntopngСобівартість (якщо не є некомерційною)Windows, LinuxSMB для великих підприємств
6. Plixer ScrutinizerІнструмент для витрат з безкоштовним виданням для початківців для невеликих магазинівАпаратний прилад, Windows або Linux VM, SaaSSMB для великих підприємств
7. Nagios XI і CoreБезкоштовний інструмент з відкритим кодом або інструмент з витратами з підтримкою / удосконаленнямиLinux або Windows на пристрої VMSMB для великих підприємств
8. Виявлення КентикаІнструмент для витратSaaSSMB для великих підприємств
9. Що Золото ЗолотоІнструмент для витрат з безкоштовним початковим виданням для невеликих магазинівWindowsSMB для великих підприємств
10. Згорніть своєКомпоненти, платний або безкоштовний відкритий кодВідмінноSMB для великих підприємств

Існує безліч відмінних інструментів для моніторингу мережі та аналізу трафіку. Невеликі організації мають безліч вільних варіантів, а великі або зростаючі організації мають безліч варіантів витрат.

Останніми роками рішення з відкритим кодом стали широко впроваджені для багатьох типів мережевого програмного забезпечення, а також для бізнесу та застосувань безпеки. Перевага проектів з відкритим кодом полягає в тому, що кожен може прочитати код, який керує програмним забезпеченням. За допомогою цього запиту ви можете бути впевнені, що в програмі немає прихованого коду.

Зазвичай проекти з відкритим кодом підтримуються волонтерами. Користь розробленого для ентузіастів програмного забезпечення полягає в тому, що його можна дарувати безкоштовно. Мінусом цього налаштування є те, що безкоштовними інструментами не керується професійно і можуть містити помилки. Відсутність доходу від безкоштовного програмного забезпечення означає, що організації, які його підтримують, не мають коштів, щоб підтримувати стандарти безпеки або вирішувати проблеми з кодом..

Якщо ви плануєте використовувати програмне забезпечення з відкритим кодом для моніторингу та аналізу мереж, ознайомтеся з пакетами, які вас цікавлять, і ретельно протестуйте їх перед тим, як скористатись мережею. Подумайте про оплату інструментів мережевого аналізу, щоб отримати гарантовану ефективність, а також підтримку від комерційних організацій, які надають платне програмне забезпечення.

Кожен, хто хоче докласти зусиль, щоб навчитися, має набір інструментів з потужними компонентами, які можна використовувати для прокрутки власного рішення. Ваш остаточний вибір залежить від розміру та складності вашої мережі, досвіду, який ви надаєте (або хочете розвивати), і того, як ви очікуєте, що ваша мережа розвиватиметься в майбутньому.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me