NetFlow – Ultimate Guide sa NetFlow at NetFlow Analyzers

NetFlow - Ultimate Guide sa NetFlow at NetFlow Analyzers

Ang NetFlow ay isang protocol ng network na binuo ng Cisco na tala at ulat sa lahat ng mga pag-uusap ng IP na dumadaan sa isang interface. Ang NetFlow ay walang katuturan at gumagana sa mga tuntunin ng abstraction na tinatawag na a daloy: iyon ay, isang pagkakasunud-sunod ng mga packet na bumubuo ng isang pag-uusap sa pagitan ng isang mapagkukunan at isang patutunguhan, magkatulad sa isang tawag o koneksyon. Kung mayroon kang mga intelihenteng switch at / o mga router, maaaring suportahan nila ang NetFlow, at maaari kang magdagdag ng mga probisyon ng software o batay sa appliance na i-export ang NetFlow.

Ang isang aparato ng tagaluwas ng NetFlow ay nangongolekta ng data sa pagpasok ng IP trapiko / paglabas ng aparato; Sinusuri nito ang mga packet at pinangkat ang mga ito sa mga daloy sa pamamagitan ng pagsisiyasat sa mga partikular na larangan: ang pinagmulan at patutunguhan na mga address, protocol, port, atbp. daloy cache), pagkatapos ay pana-panahong na-export ito sa kolektor batay sa aktibo at hindi aktibo na oras. Ang NetFlow ay nahahawak lamang sa IP, na nakatuon sa mga OSI Layer 3 at 4. Ang kaalaman nito sa mga protocol ng IP ay nagbibigay-daan sa pagbibigay kahulugan sa mga packet at magtrabaho sa mga tuntunin ng daloy.

Narito ang aming listahan ng pinakamahusay na mga kolektor ng netFlow at analyzer:

  1. Ang SolarWinds Real-Time NetFlow Analyzer (LIBRE na pag-download) Ang isang libreng tool para sa pagsusuri ng trapiko sa network kasama ang mga pamantayan sa NetFlow, IPFIX, J-Flow, at Netstream.
  2. Ang SolarWinds NetFlow Traffic Analyzer (FREE TRIAL) Ang nangungunang analyst ng trapiko sa network. Tumatakbo sa Windows Server.
  3. Pamahalaan angEngine NetFlow Analyzer (FREE TRIAL) Isang traffic analyzer na naka-install sa Windows Server at Linux at nagtatanggal ng NetFlow, IPFIX, J-Flow, NetStream na pamantayan.
  4. Paessler PRTG Ang NetFlow, sFlow, at J-Flow sensor na bumubuo ng bahagi ng isang network, server, at monitor ng application. Mga Pag-install sa Windows Server.
  5. Nprobe at ntopng Isang prangka na sistema ng pagsubaybay sa network sa parehong libre at bayad na mga bersyon.
  6. Plixer Scrutinizer Isang monitor ng aktibidad ng cybersecurity na magagamit para sa pag-install, bilang serbisyo na batay sa ulap, o bilang isang appliance.
  7. Nagios XI at Core Isang malawak na sistema ng pagsubaybay sa network sa parehong libre (Nagios Core) at bayad (Nagios XI) na mga bersyon.
  8. Kentik tiktik Isang serbisyong batay sa ulap na maaaring pag-aralan ang iyong trapiko sa nasasakupang lugar.
  9. AnoUp Gold Ang isang network monitor na tumatakbo sa Windows Server at mayroong isang module ng add-on na tr4affic analysis.
  10. Hati Ang isang kilalang at lubos na iginagalang packet sniffer na maaaring mangolekta ng data sa pamamagitan ng pagsusuri sa pamamagitan ng mas sopistikadong mga tool.
  11. Elastic Stack Mga tool sa pagkolekta at pagsusuri ng file na maaaring maiakma upang gumana sa NetFlow.
  12. TIK Stack ng Influxdata Ang Telegraf, Influxdb, Chronograf, at Kapacitor ay mga datos sa pagkolekta at data ng network na mga tool na maaaring gumamit ng sFlow at SNMP.

Mga Uri at Mga Extension ng NetFlow

Ang nababaluktot na NetFlow at IPFIX ay nagbibigay ng kakayahang magkaroon ng mga template ng extensible ng vendor para sa pag-tweak ng hanay ng mga patlang na interes. Nagdagdag din ang NetFlow v9 at IPFIX ng kakayahang subaybayan ang mga Layer 2 na mga patlang. Ang Random Sampled NetFlow ay nagdaragdag ng pagpipilian ng paggawa ng sampling sa NetFlow (ang pag-sample ay sapilitan sa sFlow).

Ang mga pagkakaiba sa pagitan ng NetFlow at sFlow

Si Avi Freedman ay gumagawa ng isang angkop na pagkakatulad sa pagsubaybay sa trapiko ng sasakyan: “… habang ang NetFlow ay maaaring inilarawan bilang pagmamasid sa mga pattern ng trapiko (‘Gaano karaming mga bus ang napunta rito?’), Kasama ang sFlow na kumukuha ka lamang ng mga snapshot ng kung ano man ang mangyari sa mga kotse o bus. na pupunta sa partikular na sandali. “

Narito ang pangunahing pagkakaiba sa pagitan ng dalawang teknolohiya.

Katumpakan at scalability

Matagal nang nagtalo ang mga partido ng NetFlow na ang NetFlow ay maaaring maging mas tumpak kaysa sa sFlow. Pinagsasama ng NetFlow ang data tungkol sa lahat ng mga packet na dumadaloy nang lokal sa aparato; kaya hindi ito sa pamamagitan ng pag-miss ng isang pag-uusap sa pamamagitan ng hindi pagtupad sa halimbawa ng mga nauugnay na packet. Ang butil ng NetFlow ay kaakit-akit para sa pagsusuri sa trapiko sa isang indibidwal na host. Madaling makita ang mga detalye ng per-host, mapansin ang mga naisalokal na anomalya, at siyasatin ang mga partikular na daloy. Ngunit bilang kabute ng dami ng trapiko, nagiging mas kaunti at mas magagawa upang mangolekta ng bawat daloy. Kung hindi ka gumagawa ng sampling, ang pagiging scalability ay nagiging isang isyu.

ang sFlow sa gayon ay mas scalable kaysa sa tradisyonal na NetFlow. Gayunpaman, ang pag-sampling ay may downside na maaaring may mga gaps sa kakayahang makita. Ang mga packet na naka-sample ay maaaring hindi sumasalamin sa bawat daloy (halimbawa, mga maikling pagsabog). Para sa pag-detect at pagbabarena upang siyasatin ang mga isyu sa seguridad, maaari itong maging makabuluhan.

Pagganap ng aparato sa mataas na dami

Tulad ng nabanggit sa itaas, ang sFlow ay gumagawa ng kaunting trabaho sa aparato ng network, kumpara sa NetFlow na gumagamit ng CPU at RAM ng aparato upang ipatupad ang daloy ng cache. Maaari itong maging isang problema sa mga aparato na may mataas na bilis na kung saan maraming mga pag-uusap ay puro sa isang link. Ang karagdagang pag-load ng CPU sa tuktok ng “tunay na gawain” ang aparato ay gumagawa ng pagtaas batay sa bilang ng mga daloy bawat segundo, at maaaring kumonsumo ng isang makabuluhang bahagi ng CPU bawat isang Cisco whitepaper (PDF). Sa kaibahan, sa pangkalahatan ang sFlow ay ang packet sampling nito sa paglilipat / pagruruta ng ASIC, na nagpapahintulot sa CPU ng aparato ng network sa pangunahing trabaho.

Sa dami ng daan-daang mga gigabits bawat segundo, tulad ng sa ruta ng gilid at malaking data center, ang engineering engineering ay ang pangunahing pag-aalala; ang pokus ay nasa malakihang mga pattern at biglang pag-shift sa dami. Ang pinong-grained na kakayahang makita sa mga indibidwal na host ay nagiging hindi gaanong kabuluhan. Ngayon nagsisimula ang sampling upang maging malinaw na nagwagi. Dahil dito, idinagdag ng NetFlow ang pagpipilian ng Sampled NetFlow, na ginagawang scalable ang NetFlow – ngunit nawala ang tumpak na mataas na kadiliman ng tradisyonal na NetFlow.

Saklaw ng Protocol

Ang NetFlow ay IP lamang (kasama ang ilang suporta ng Layer 2 kamakailan). Sa gayon ang mga protocol ng legacy (hal., Appletalk, IPX) at iba pang mga protocol na hindi sa Internet ay hindi lumilitaw. Sa kaibahan, maaaring masakop ng sFlow ang mga Layer 2 hanggang 7.

Kakayahan

ang sFlow ay maaaring magkaroon ng mas mababang latency kaysa sa NetFlow. Ang isang aparato na nangongolekta ng mga sukatan ng NetFlow sa daloy ng cache ng daloy nito ay nai-export ang mga ito pana-panahon batay sa aktibo at hindi aktibo na oras. Sa gayon ang mga ulat sa kamakailan at patuloy na pag-uusap ay maaaring maantala, depende sa oras. Sa kaibahan, ipinapadala ng sFlow ang nakolekta na prefix ng packet at counter sa real-time. Kung ang sub-minuto na latency ay isang pag-aalala – at sinusuportahan ito ng iyong monitoring / analysis tooling – ang sFlow ay maaaring maging mas mahusay na pagpipilian.

Tingnan din: sFlow – Ultimate Guide sa sFlow at sFlow Analyzers

Ang pinakamahusay na Libre at Bayad na Mga tool ng NetFlow para sa Windows

Kapag lumalaki ang iyong network sa punto na ang nakakakita ng nangyayari ay naging mahirap, ang mga kasangkapan sa pag-agaw sa NetFlow ay maaaring solusyon. Sa ibaba, titingnan namin ang maraming sikat na network ng pagsubaybay sa network at pagsusuri ng NetFlow para sa Windows. Lahat ay sopistikado, pagkakaroon ng isang malaking curve sa pag-aaral; kaya ang pagsasanay sa online at mahusay na suporta ay mahalaga.

1.Mga Real-Time na NetWlow Analyzer ng SolarWinds (LIBRENG PAG-DOWNLOAD)

Ang SolarWinds ay gumagawa ng isang suite ng mga produkto na nagbibigay ng komprehensibong suporta para sa pagsubaybay at pamamahala ng network. Ang Real-Time NetFlow Analyzer ay isang libreng tool na nagbibigay ng real-time na pananaw sa iyong kasalukuyang daloy. Ang libreng bersyon ay nakatuon sa pagpapakita ng kasalukuyan at pinakabagong estado ng iyong paggamit ng bandwidth. Limitado ito sa isang interface ng NetFlow at 60 minuto ng data. Ang mga teknolohiyang daloy na sinusuportahan ay kasama ang NetFlow, Jiper Flow, IPFIX, at netong Huawei.

Ang screenshot ng SolarWinds Real-Time Network Traffic Analyzer na may tsart ng puno at diagram na nagpapakita ng trapiko ng napiling itemAng SolarWinds Real-Time Network Traffic Analyzer

Kinikilala ng analyzer kung aling mga aparato / IP address, apps, at mga gumagamit ang kumakain ng karamihan sa bandwidth. Nagpapakita ang interface ng gumagamit papasok at papalabas na trapiko para sa napiling tagaluwas ng NetFlow; maaaring maayos ang trapiko at ipinapakita sa iba’t ibang paraan. Ang tagahanap ng puno ng interface ng gumagamit ay nagbubuod sa trapiko ng NetFlow, na-parse ito sa mga aplikasyon, pag-uusap, domain, endpoints, at protocol. Ang bawat isa ay maaaring mapalawak sa isang inclusive graph para sa pagbabarena upang galugarin ang mga partikular na aspeto. Ang mga tanawin ng puno at mga graph ay nag-update sa real-time.

Ang pag-install ay sa pamamagitan ng isang karaniwang wizard ng pag-setup ng Windows, at ang NetFlow Configurator ay kasama upang makatulong sa pag-configure ng kolektor ng NetFlow at ang iyong mga aparato na sumusuporta sa iba’t ibang mga variant ng NetFlow.

Kung sinusuportahan ng iyong mga pangunahing aparato ang NetFlow, at naghahanap ka ng isang sandalan at malinaw na viewport sa iyong kasalukuyang at kamakailan-lamang na paggamit ng bandwidth, ang SolarWinds Real-Time NetFlow Analyzer ay umaangkop sa bayarin.

Para sa isang mas malakas at bersyon na mayaman na tampok, ang pagpipilian para sa gastos ng SolarWinds, ang Network Traffic Analyzer, ay nasasakop sa ibaba.

Ang SolarWinds Real-Time NetFlow AnalyzerDownload LIBRE Edition sa SolarWinds.com

Ang isa pang libreng tool sa pagsusuri ng trapiko na maaari mong subukan ay Bundle ng Daloy ng Tool ng SolarWinds. Ito ay isang kapaki-pakinabang na kolektor ng sample ng trapiko na gumagamit ng Cisco NetFlow v5. Pati na rin ang pagkolekta ng mga sample ng trapiko, ang tool ay may kasamang isang daloy ng daloy ng trapiko, na magbibigay-daan sa iyo upang ma-preview ang mga epekto sa network ng mga sobrang dami ng trapiko, o mga pagbabago sa layout ng hardware.

Bundle ng Flores Tool ng SolarWindsDownload ang 100% LIBRENG Bundle ng Tool

2. SolarWinds NetFlow Traffic Analyzer (LIBRENG SUBOK)

Ang SolarWinds NetFlow Traffic Analyzer (NTA) ang hakbang para sa gastos mula sa kanilang libreng tool, ang Real-Oras na NetFlow Traffic Analyzer. Ang NTA ay isang module sa Monitor ng Pagganap ng Network (NPM), kaya dapat mong mapaunlakan ang mga gastos at mga kinakailangan sa platform ng pareho. Parehong magagamit ang NTA at NPM sa isang 30-araw na kumpletong pagganap na pagsubok.

Ang NTA ay maaaring tawaging Network Network Analyzer mula pa rito humahawak hindi lamang sa orihinal na Cisco Netflow ngunit marami sa mga variant nito mula sa iba pang mga tagagawa, pati na rin ang pangunahing kahaliling NetFlow, sFlow.

Kapag na-install, nag-aalok sa iyo ang NPM at NTA ng isang malawak na hanay ng mga sopistikadong pasilidad para sa pamamahala ng mga network ng multi-vendor. Nagtatampok ito pagsubaybay sa bandwidth, pagsusuri sa trapiko, pagtatasa ng pagganap, mga alerto, napapasadyang mga ulat, pag-optimize ng patakaran, at iba pa.

Ang screenshot na nagpapakita ng pangunahing dashboard ng SolarWinds Orion, na ipinakita ang menu ng DashboardAng mga nagpapakita ng NetFlow Traffic Analyzer ay nakalista sa ilalim ng Dashboards

Ang NetFlow Traffic Analyzer nagtitipon ng daloy ng data na na-export ng mga aparato na pinagana ng daloy sinusubaybayan ng software ng pagsubaybay sa network ng SolarWinds.

Ang screenshot na nagpapakita ng default na buod ng NetFlow Traffic AnalyzerDefault na buod ng NTA

Ang default na NetFlow Traffic Analyzer Buod ay may maraming mga seksyon tulad ng Nangungunang 5 Mga Aplikasyon, Nangungunang 5 Mga Pagtatapos, Nangungunang 5 Pag-uusap, Nangungunang 10 Pinagmumulan ng% Paggamit, atbp.

Ang screenshot ng NetFlow Traffic Analyzer na graphic na nagpapakita ng mga nangungunang mga trapiko ng aplikasyon sa mga nakaraang orasTumitingin sa mga pattern ng trapiko sa paglipas ng panahon

Bilang isang analyst ng daloy, kinikilala ng NTA ang mga gumagamit, aplikasyon, at protocol na kumakain ng karamihan sa bandwidth. Maaari kang mag-uri-uri ng mga port, mapagkukunan, patutunguhan, at protocol, at tingnan ang mga pattern ng trapiko sa loob ng ilang minuto, araw, o buwan.

Ang NTA at NPM ay mga pakete na grade-enterprise, kaya kahit ang libreng pagsubok ay kumokonsumo ng maraming mapagkukunan sa iyong system. Kung mayroon kang isang sopistikadong network na may mga aparato na pinagana ng NetFlow, ang mga kakayahan ng NTA ay nagkakahalaga ng paggalugad. Para sa mga detalye sa NTA, tingnan ang aming Sinusuri ng SolarWinds NetFlow Traffic Analyzer.

Ang SolarWinds NetFlow traffic AnalyzerDownload ang LIBRENG Pagsubok sa SolarWinds.com

3. Pamahalaan angEngine NetFlow Analyzer (FREE TRIAL)

Ang PamahalaanEngine NetFlow Analyzer nagbibigay ng real-time na kakayahang makita sa bandwidth ng network at mga pattern ng trapiko. Ang tool ay nagpapakita ng trapiko sa pamamagitan ng mga aplikasyon, pag-uusap, protocol, atbp. Ang mga alerto ay maaaring itakda batay sa mga threshold ng trapiko. Mayroong iba’t ibang mga kapaki-pakinabang na paunang natukoy na mga ulat, mula sa pag-troubleshoot na nakatuon sa pag-aayos ng kapasidad at pagsingil. Ang mga ulat sa paghahanap ng pasadya ay maaaring malikha.

screenshot ng dashboard ng ManageEngine's NetFlow AnalyzerPamahalaan angEngine NetFlow Analyzer dashboard

Ang NetFlow Analyzer ay may isang suite ng mga tool na nakatuon sa NetFlow para sa pamamahala ng mga kumplikadong network. Ang interface ng gumagamit na nakabase sa web ay may isang default na dashboard na may maraming mga real-time na mga tsart ng pie, kabilang ang isang mapa ng init na nagpapakita ng katayuan ng mga sinusubaybayan na interface, mga nangungunang aplikasyon, nangungunang mga protocol, nangungunang pag-uusap, kamakailang mga alarma, tuktok na QoS, at marami pa.

Ang pag-hover sa isang graphic ay karaniwang nagbibigay ng isang paliwanag na pop-up, at pag-click sa anumang graphic drills pababa sa higit pang mga detalye sa napiling elemento. Mayroong mga tukoy na nagpapakita para sa pag-alis ng mga isyu sa seguridad. Napapasadya ang mga dashboard.

screenshot ng ManageEngine NetFlow Analyzer na nagpapakita ng kasalukuyang mga alerto at mensahe ng katayuan sa seguridadPamahalaanEngine Alerto at katayuan sa seguridad

Nagpapakita ang mga alerto bilang mga pop-up sa interface ng gumagamit. Maaaring masuri ang maraming trapiko ng maraming site; mayroong isang smartphone app para sa mobile monitoring at pag-aalerto.

Kasama sa mga teknolohiyang daloy ang sinusuportahan NetFlow, IPFIX, J-Daloy, NetStream, at maraming iba pa. Ang tool ay gumagamit ng mga advanced na tampok ng mga aparato ng Cisco, kabilang ang suporta para sa pagsasaayos ng paghuhulma ng trapiko at mga patakaran ng QoS sa iyong network.

Ang ManageEngine NetFlow Analyzer ay nagbibigay ng isang hanay ng mga kakayahan para sa pamamahala ng mga kumplikadong network na gumagawa ng mabibigat na paggamit ng NetFlow. Pinapayagan ang libreng bersyon ng walang limitasyong pagsubaybay sa loob ng 30 araw ngunit pagkatapos ay maggalang sa pagsubaybay lamang sa dalawang mga interface. Ang ManageEngine ay may iba’t ibang mga kaugnay na mga produkto upang mapalawak ang lampas sa NetFlow na nakatuon sa trapiko na nakatuon sa isang buong network management suite. Maaari kang mag-download ng isang 30-araw na libreng pagsubok.

Pamahalaan angEngine NetFlow AnalyzerDownload ang 30-araw na LIBRE Pagsubok

4. Paessler PRTG Network Monitor

Ang Paessler PRTG Network Monitor ay isang “bateryang kasama” na solusyon na sinusubaybayan ang paggamit ng bandwidth, ang pagkakaroon at kalusugan ng mga aparato sa iyong network, at iba pa. PRTG maaaring subaybayan ang maraming mga site, WAN, VPN, at mga serbisyo sa ulap. Ang libreng bersyon ay nagbibigay ng walang limitasyong mga sensor para sa isang buwan, at pagkatapos nito ay limitado sa 100 sensor; Ang isang sensor ay isang indibidwal na stream ng data, kaya ang bawat aparato ay karaniwang mangangailangan ng maraming mga sensor.

Ang screenshot ng PRTG na nagpapakita ng puno ng aparato at sensor na nauugnay sa bawat aparatoPRTG puno ng aparato

Sa interface ng gumagamit ng PRTG, a Pangunahing view ay ang puno ng aparato na nagpapakita ng lahat ng mga aparato sa iyong network at ang mga sensor ay sinusubaybayan bawat isa. Kasama sa mga aparato ang mga firewall, router, access point, server, workstations, virtual server, storage, atbp. Ang puno ng aparato ay pupunan ng mga tanawin ng mga sensor, mga log, at mga alarma, pati na rin ang iba’t ibang mga tsart at grap para sa bandwidth, atbp. pinagsunod-sunod at mai-filter.

Ang pagbabarena sa pamamagitan ng view ng puno ay nagpapakita ng mga tagapagpahiwatig at sukatan sa bawat antas. Mga setting, tulad ng agwat ng pag-scan, ay minana at maaaring ma-overridden sa mas mababang antas sa puno ng aparato. Ang mga alerto ay maaaring katulad na itatakda sa bawat antas, kaya maaari mong ayusin upang ma-notify tungkol sa mga kaganapan at mga paglipat ng threshold ng isang partikular na kritikal na aparato, o gumulong mula sa isang pangkalahatang aspeto ng iyong network. Maaaring maipadala ang mga alerto sa maraming paraan, kabilang ang SMTP email at SMS text messaging.

Ang mga aparato-at-sensor na abstraction ay humuhubog sa mga dashboard at mga ulat din. Maaaring malikha ang mga pasadyang dashboard, kabilang ang mga interactive na mapa. Mayroong isang hanay ng mga paunang natukoy na ulat, at mga pasilidad para sa pagdidisenyo ng mga pasadyang ulat; ang mga ulat ay maaari ring naka-iskedyul.

Ang screenshot ng PRTG na nagpapakita ng pagpapakita para sa sensor ng NetFlow - nangungunang mga tagapagsalita, nangungunang koneksyon, atbp.PRTG NetFlow sensor

Kasama sa mga pasilidad sa pagtatasa ng trapiko ang built-in na suporta sa NetFlow. Para sa mga protocol ng daloy, sinusuportahan ng PRTG ang NetFlow, sFlow, at J-Flow. Ang iba pang mga protocol / mekanismo na ginamit ay kasama ang SNMP, WMI, at sniffing ng packet. Tinatawag ni Paessler ang mga sistema ng pagtuklas, tulad ng kolektor ng NetFlow, “mga sensor.”

Diretso ang pag-install. Mayroong wizard sa pag-setup, pati na rin ang isang video na nagbibigay ng gabay sa sunud-sunod. Sa pag-install, ang lokal na pagsisiyasat ng pangunahing server ay gumagawa ng auto-pagtuklas upang makilala ang mga aparato at mag-set up ng mga sensor. Ang mga karagdagang sensor (kabilang ang mga kolektor ng NetFlow) ay maaaring maidagdag nang manu-mano; ang isang video ay nagbibigay ng mga tagubilin.

Ang pangunahing server ay Windows lamang. Ang pagsubaybay sa isang solong site ay maaaring gawin sa pamamagitan ng web application, ngunit ang sabay-sabay na pagtingin ng maraming mga pangunahing server ay nangangailangan ng paggamit ng enterprise app sa Windows. Ang isang mobile app ay ibinigay din. Ang isang matalinong karagdagan ay ang PRTG ay nagbibigay ng mga QR code na maaaring mai-paste sa mga partikular na aparato para sa isang mabilis na pagtingin at pag-status sa mobile app. Sinusuportahan ng PRTG ang kumpol para sa pagpapaubaya ng kasalanan: maaari kang mag-set up ng mga failover instances ng monitor.

Kahit na ang PRTG ay lahat-sa-isang kaya hindi mo na kailangan ng maraming mga produkto at lisensya upang makakuha ng komprehensibong pagsubaybay, isang pangunahing katanungan upang masuri ay kung gaano karaming mga sensor ang kailangan ng iyong network, at kung ano ang magiging pangmatagalang gastos ng sensor-based modelo ng paglilisensya habang lumalaki ka. Upang masuri, maaari kang mag-download ng isang 30-araw na pagsubok ng software dito.

5. Nprobe at ntopng

ntopng ay isang open-source na tool na pagsusuri ng trapiko na batay sa web na gumagawa ng passive network monitoring batay sa daloy ng data at mga istatistika na nakuha mula sa napansin na trapiko. ginagawa ng ntopng ang sarili; upang makatanggap ng daloy ng data ay nakasalalay ito sa nProbe, isang NetFlow / IPFIX tagaluwas / kolektor. Kabilang sa mga daloy ng protocol ang NetFlow v9, IPFIX, at NetFlow-lite.

Ang bersyon ng komunidad ng ntopng ay libre. Ang propesyonal (maliit na negosyo) at mga bersyon ng enterprise ay nangangailangan ng isang bayad na lisensya, ngunit libre sa mga organisasyon at pang-edukasyon na hindi pangkalakal. Ang nProbe ay maaaring itulak sa pagsubok nang libre ngunit ang isang ganap na gumaganang bersyon ay nangangailangan ng isang bayad na lisensya. Kaya ang paggamit ng data ng NetFlow ay limitado (maliban kung kwalipikado ka para sa isang libreng lisensya).

Mga screenshot ng ntopng na nagpapakita ng listahan ng mga daloy at ang kanilang mga katangiandumadaloy ang ntopng

Ang interface ng gumagamit na nakabase sa web ay gumulong ng data sa trapiko (hal., mga nangungunang tagapagsalita), daloy, host, aparato, at mga interface. Karamihan sa mga kategorya ay may maraming mga tanawin, isang halo ng mga tsart, mga talahanayan, at mga tsart; at sa bawat maaari mong mag-drill down upang galugarin nang malalim at cross-reference. Ang mga talahanayan ay maaaring pinagsunod-sunod – kaya halimbawa, ang pagpili ng throughput na haligi sa talahanayan ng daloy ay nagpapakita ng kasalukuyang nangungunang mga gumagamit ng bandwidth.

Mga screenshot ng ntopng na nagpapakita ng geolocation ng mga host sa isang mapantopng host geolocation

Ang daloy ng display ay nagpapakita ng mga protocol ng aplikasyon (hal. Facebook, YouTube). Ang mga istatistika ng Latitude at TCP (hal. Pagkawala ng packet) ay ipinapakita. Ang mga sinusunod na host / IP address ay maaaring maipakita sa isang mapa sa pamamagitan ng geolocation. Ang mga alerto ay maaaring itakda sa mga host batay sa maraming pamantayan, at lalabas bilang isang icon sa interface ng gumagamit.

Ang propesyonal na bersyon ay maaaring i-save at ipakita ang mga istatistika ng paggamit ng istatistika ng aplikasyon, gawin ang aktibong pagsubaybay sa pamamagitan ng SNMP, makabuo ng mga pasadyang ulat ng trapiko, at maraming iba pang mga karagdagang tampok.

Ang package ng pag-install para sa parehong ntopng at nProbe ay isang file ng zip na naglalaman ng isang standard na wizard sa Windows setup. Ang installer ay mag-install ng winpcap (para sa packet sniffing) kung kinakailangan.

Yamang ang ntopng ay bukas na mapagkukunan, malaki ang saklaw para sa pagpapalawak nito. Maaaring ma-export ang data sa MySQL, ElasticSearch, at LogStash, kung saan maaaring isama sa mga ulat na nakaimbak ng iyong Syslog server.

6. Plixer Scrutinizer

Plixer Scrutinizer ay isang sopistikadong sistema ng pagsusuri ng trapiko na nakatuon sa daloy na may partikular na pagtuon sa forensics ng seguridad (tinawag itong “Scrutinizer Incident Response System”). Sinusuportahan nito ang parehong NetFlow at sFlow.

Tagasuri maaaring mai-install bilang isang nakatuong pisikal na kagamitan, bilang isang virtual machine na tumatakbo sa isang server, o bilang isang solusyon sa SaaS na tumatakbo sa ulap (pampubliko o mestiso). Ito ay isang sopistikadong sistema, kaya kahit na ang libreng pagsubok sa isang virtual na makina ay nangangailangan ng malaking mapagkukunan (hal., Isang nakatuong 16GB ng RAM).

Screenshot ng pangunahing dashboard ng scrutinizerDashboard ng scrutinizer

Ang scrutinizer ay idinisenyo para sa mataas na pagganap at scalability mula sa maliit hanggang sa napakalaking mga kapaligiran. Nagbibigay ito ng isang rich hanay ng mga tampok ng pagsusuri at pag-uulat.

Kasama sa pagsubok ang buong pag-access sa loob ng 30 araw. Pagkatapos nito, ang libreng bersyon ay may limitasyon ng 10K daloy na nakolekta sa bawat segundo, limang oras ng mga daloy na pinananatiling, at isang linggo ng mga sumaryo sa kasaysayan. Kasama sa bayad na bersyon ang mga abiso, pagpapasadya ng dashboard, pasadyang mga ulat, naka-iskedyul na mga ulat sa email, at suporta. Ang pagpepresyo ng lisensya ay nakasalalay sa platform na pinili at ang bilang ng mga daloy ng exporters na suportado.

7. Nagios XI at Nagios Core

Nagios ay isang walang hanggang pamantayan sa pagsubaybay sa network. Ang Nagios Core ay ang open-source na libreng bersyon, at ang Nagios XI ay ang variant para sa gastos para sa komersyal na may karagdagang mga tampok at awtomatikong tulong para sa pagsasaayos. Ang Nagios ay may reputasyon sa pagiging malakas, maaasahan, nasusukat, at lubos na napapasadyang – at pagiging kumplikado upang i-configure.

Ang libreng bersyon ay may curve ng pag-aaral ngunit din ng isang aktibong komunidad. Sinusubaybayan nito ang mga server, serbisyo, at application, tulad ng komersyal na bersyon. Kasama dito ang pag-uulat sa pamamagitan ng email at SMS, isang pangunahing interface ng gumagamit (kabilang ang mapa ng network), at mga pangunahing ulat.

Kulang ang auto-natuklasan ng Nagios Core, at dapat mong malaman upang mag-set up at mapanatili ang kumplikadong mga pagsasaayos. Sa dagdag na bahagi, nagbibigay ito sa iyo ng maraming kakayahang umangkop upang ipasadya at pahabain ang tool. Ang mga addon na binuo ng komunidad ay maaaring magsagawa ng pagtuklas at makakatulong na magsimula ka sa pagsasaayos.

Maaari mong gamitin ang libreng 60-araw na pagsubok upang suriin ang bersyon para sa gastos. Kung pipiliin mong sumama sa libreng bersyon kapag tapos na ang pagsubok, maaari mong mai-save ang mga awtomatikong nabuo ng config file mula sa / usr / local / nagios / etc bago alisin ang iyong eval copy. Pagkatapos ay maaari mong gamitin ang mga file bilang iyong panimulang punto para sa pagsasaayos ng iyong bagong pag-install.

Ang komersyal na bersyon Nagios XI ay may mas mayamang mga tampok, kabilang ang awtomatikong suporta para sa pagtuklas ng iyong mga aparato at host, awtomatikong na-configure ang tool, at mga suportang suportado sa komersyo. Mayroon itong mas sopistikadong interface ng gumagamit at mas advanced na pag-uulat na sumasaklaw sa mga uso, tulong sa pagpaplano ng kapasidad, atbp.

Ang Nagios XI ay binuo upang tumakbo sa Red Hat Linux at CentOS. Para sa Windows, gumamit ng VM appliance na may Hyper-V o VMware. Kasama dito ang isang tool na natuklasan ng auto at isang wizard ng pagsasaayos para sa pagdaragdag ng isang bagong aparato, host, o aplikasyon.

Ang screenshot na nagpapakita ng Operations Dashboard, na maaaring ipakita sa isang sentro ng operasyonNagios Operations Dashboard

Sa sandaling naka-install at pagsubaybay ang Nagios XI, ang Screen ng Mga Operasyon ay nagbibigay sa iyo ng isang mataas na antas ng view ng kasalukuyang estado ng network, at ang Operasyon Center hinahayaan kang mag-drill down sa mga item na nabanggit.

Mga screenshot na nagpapakita ng screen ng katayuan ng host ng Nagios na nagbubuod ng mga katayuan ng mga hostKatayuan ng host ng Nagios

Ang Katayuan ng Host Ipinapakita ng pahina ang isang buod ng mga sukatan para sa sinusubaybayan na mga host. Maaari kang mag-drill down sa isang indibidwal na host upang makita ang mga detalye kasama ang mga graph ng pagganap, impormasyon sa pagpaplano ng kapasidad, mga alarma, atbp.

Screenshot ng Nagios na nagpapakita ng katayuan ng mga serbisyo na sinusubaybayanKatayuan ng serbisyo ng Nagios

Ang Katayuan ng Serbisyo Ang pahina ay nagbubuod sa estado ng mga serbisyong sinusubaybayan.

Ang Nagios ay isang mahusay na itinuturing na solusyon para sa pagsubaybay sa network. Tulad ng iba pang mga tool na nag-aalok ng isang ganap na libre kumpara sa komersyal na bersyon ng tradeoff, dapat mong magpasya kung mayroon ka (o bubuo) ang kadalubhasaan at oras na gagamitin ang libreng tool, o kung magiging mas epektibo ang gastos upang magbayad para sa automation at suporta ng komersyal na bersyon.

8. Kentik tiktik

Kentik tiktik, sa kaibahan sa mga tool ng analyzer ng trapiko sa itaas, ay isang dalisay na Software-as-a-Service (SaaS) system. Tulad ng mga ito, nag-aalok ng scalability ng ulap.

Lumalaki ang mga network, at ang mga mapagkukunan ng network sa labas-lugar ay mas mahalaga sa tagumpay. Sa gayon, ang data ng trapiko ay nagiging malaking data, at nagsisimula nang magkaroon ng kahulugan ang mga malalaking solusyon sa batay sa ulap.

Nilalayon ni Kentik na makuha ang mga detalye ng maraming uri ng data, magbigay ng isang pinag-isang view ng lahat ng ito, at magbigay ng mga interface para sa pag-access sa data at pagsasama sa iba pang mga system. Ang Kentick Detect ay binubuo ng isang pasadyang high-availability na time-series na datastore (Kentik Data Engine) at isang UI (Kentik Portal). Kasama sa mga protocol ang Netflow, IPFIX, sFlow, SNMP, at BGP.

Screenshot ng isang dashboard sa interface ng web-based na interface ng Kentik DetectIsang dashboard ng Kentik tiktik

Ang Kentik Portal ay isang interface na batay sa web (syempre) at nagbibigay ng isang lumalagong hanay ng mga mai-configure na mga dashboard.

Mga screenshot na nagpapakita ng isang dashboard ng pangkalahatang-ideya ng trapiko ng Kentik DetectKentik sa pangkalahatang-ideya ng trapiko sa dashboard

Pinapayagan ng Data Explorer ang paggalugad ng ad-hoc ng nakolekta na data ng network. Maaari mong mabilis na mag-drill down at mag-filter sa potensyal na bilyun-bilyong mga tala, makakakuha ng mga tanawin sa anyo ng mga talahanayan at mga grap.

Ang screenshot na nagpapakita ng dashboard ng Kentik Detect upang magtakda ng isang patakaran na maaaring mag-trigger ng isang alerto.Pagtatakda ng mga patakaran upang i-configure ang mga alerto

Ang alerto upang ipaalam sa iyo ang hindi pangkaraniwang mga kondisyon ay maaaring mai-set up sa pamamagitan ng paglikha ng mga patakaran na tumutukoy kung ang isang alerto ay papasok sa estado ng alarma. Ang mga alerto ay maaaring maipadala ng iba’t ibang media, kabilang ang email, Slack, paging, atbp.

9. AnoUp Gold

Ang WhatsUp Gold ay isang kilalang tool sa pagsubaybay sa network mula sa IPSwitch na mayaman pa sa tampok na tampok. Magagamit ito sa parehong libreng edisyon ng starter at isang 30-araw na pagsubok upang masuri ang bayad.

Sinusubaybayan ng WhatsUp Gold na trapiko sa network, server, virtual server, serbisyo sa ulap, at application. Ang libreng bersyon ay isang libreng limang puntos na lisensya para sa pagsubaybay hanggang sa limang mapagkukunan (hal., Limang server).

Dapat i-install ang WhatsUp Gold sa Windows. Ang pag-setup ay simple at gumagamit ng pagtuklas ng awtomatiko. Nagbibigay ang interface ng gumagamit ng maraming mga tanawin sa isang interactive na mapa ng network at ang kakayahang mag-drill down upang siyasatin ang mga isyu.

Ang screenshot ng WhatsUp Gold na nagpapakita ng listahan ng mga aparato sa networkTingnan ang listahan ng WhatsUp Gold

Ang view ng listahan ng WhatsUp Gold ay nagpapakita ng mga natuklasang host at aparato, na nagbubuod sa kanilang mga katangian at katayuan.

Ang screenshot ng WhatsUp Gold na nagpapakita ng view ng mapa ng mga aparato at kanilang mga linkTingnan ang mapa ng WhatsUp Gold

Ang view ng mapa ay isang interactive na mapa para sa pagpapakita ng mga bahagi ng iyong network at kanilang mga katayuan. Maaari kang mag-drill down upang suriin ang pagkakaroon at pagganap ng mga indibidwal na node.

Ang mga pasilidad sa pagtatasa ng trapiko ay gumagana sa isang malawak na hanay ng mga aparato na pinapagana ng daloy, kabilang ang NetFlow, sFlow, NetFlow-Lite, IPFIX, at J-Flow.

Ang screenshot ng WhatsUp Gold na nagpapakita ng dashboard analysis ng trapiko.Dashboard ng pagsusuri sa trapiko ng WhatsUp Gold

Napapasadya ang mga dashboard. Nagbibigay ang WhatsUp Gold ng maraming mga de-latang ulat, kabilang ang mga ulat para sa bandwidth at paggamit; maaari kang magdisenyo din ng mga na-customize na ulat.

Ang screenshot ng WhatsUp Gold na nagpapakita ng top-10 na view ng paggamit, error, trapiko, atbp.Nangungunang 10 view ng WhatsUp Gold

Ang nangungunang 10 na pagtingin ay nagpapakita ng mga kritikal na katayuan sa iyong network.

Maaari mong i-configure ang mga alerto upang ipaalam sa iyo kapag ang mga nagpadala o mga tagatanggap ay lumampas sa mga threshold ng bandwidth, kapag ang mga interface ay lumampas sa mga threshold ng paggamit, atbp. Maraming mga posibleng pamamaraan para sa abiso, kabilang ang email at SMS. Ang mga pagkilos na nai-trigger ay nagbibigay ng kakayahang maisagawa ang awtomatikong kilos bilang mga tugon sa mga alerto.

Ang libreng edisyon ng WhatsUp Gold ay isang prangka at ganap na tampok na tool para sa pagsubaybay at pamamahala ng isang maliit na tindahan. Ang pagtatapos sa bersyon ng para sa gastos ay nagbibigay-daan sa iyo na ilipat hanggang sa sumasaklaw sa mga malalaking network.

10. I-roll ang Iyong Sariling

Marahil wala sa mga pre-nakabalot na mga analyster ng NetFlow na sapat na napapasadya o sapat na sapat upang matugunan ang iyong mga pangangailangan. Siguro sigurado ka na makakagawa ka nang mas mahusay, o gusto mo lamang mag-eksperimento sa pagsusuri sa iyong sarili. Mayroong maraming mga pakete para sa pagkuha ng data-time na data at magagamit ang analytics na magagawa ito. Marami ang mga libreng open-source software; ang ilan ay hindi. Ang ilan ay maaaring isama sa prepackaged analyzers, tulad ng Plixer at ntopng.

Narito ang ilang mga posibilidad na suriin.

Hati

Hati ay isang cost-cost package para sa paghahanap, pagsubaybay, at pagsusuri / paggunita ng malaking data. Kinukuha ng Splunk ang data ng real-time at nagbibigay ng mga pasilidad na nakabase sa web para sa pagsusuri at paggunita. Ang Splunk ay may isang add-on para sa NetFlow, at isa para sa IPFIX.

Ang ELK / Elastic Stack

Ang ELK Stack – Elasticsearch, Logstash, at Kibana – ay isang open-source analytics toolet na karaniwang ginagamit sa data na kahawig ng mga mensahe ng log. Ang Elasticsearch ay isang sikat na ipinamamahagi na search and analytics engine. Ang logstash ay isang koleksyon ng data at engine-log-parsing. Ang Kibana ay isang dashboard ng visualization na batay sa data na batay sa browser para sa analytics at paghahanap. Kasama sa logstash ang isang codec para sa pagproseso ng maraming mga bersyon ng data ng NetFlow.

Maraming mga grupo ang ginamit ang ELK Stack sa NetFlow. May gabay ang Cisco para sa paggawa nito, at mayroong maraming iba pang mga artikulo sa online. Ang mga tao ay nagtayo ng mga system gamit ang ELK Stack sa iba pang mga tanyag na sangkap, tulad ng Riemann na ipinamamahagi ng system at tool na nakakaalerto. Ang isang alternatibo sa logstash ay matatas.

Telegraf, Influxdb, Chronograf, Kapacitor

Ang Influxdata’s TICK Stack – Telegraf, Influxdb, Chronograf, at Kapacitor – ay isang hanay ng mga tool na open-source na Go-based para sa pagkuha, pagsubaybay, at pagsusuri / paggunita ng data ng mga sukatan ng oras-serye. Kinokolekta ng Telegraf ang mga sukatan ng pagganap; Ang InfluxDB ay isang database ng serye ng oras; Ang Chronograf ay gumaganap ng real-time na visualization ng data ng InfluxDB; at ang Kapacitor ay isang streaming / batch na data-processing engine na maaaring gawin ang pagsubaybay at pag-alerto sa mga pananaw ng data ng InfluxDB. Ang TICK Stack ay ginamit gamit ang mga istatistika ng network mula sa sFlow at SNMP.

Ang isa pang makapangyarihang tool, kung minsan ay ginagamit kasama ang Influxdb ay Grafana, isang open-source package para sa time-series na analytics at visualization. Ang Grafana ay magkatulad sa Kibana, ngunit kung saan ang Kibana ay naka-log-message na nakatuon, ang Grafana ay nakatuon sa sukatan.

Pagpili ng isang NetFlow Analyzer

Ang talahanayan sa ibaba ay nagpapakita ng isang buod ng bawat isa sa mga pagpipiliang ito.

ToolTypePlatformsScalability
1.Mga Real-Time na NetWlow Analyzer ng SolarWindsLibreng pag-downloadWindowsSOHO
2. SolarWinds NetFlow Traffic AnalyzerLibreng subokWindowsSMB sa malalaking negosyo
3. PamahalaanEngine NetFlow AnalyzerLibreng subok

For-cost tool na may libreng starter edition para sa maliliit na tindahan

Windows, LinuxSMB sa malalaking negosyo
4. Paessler PRTGLibreng subok

For-cost tool na may libreng starter edition para sa maliliit na tindahan

WindowsSMB sa malalaking negosyo
5. Nprobe at ntopngPara sa gastos (maliban kung hindi kita)Windows, LinuxSMB sa malalaking negosyo
6. Plixer ScrutinizerFor-cost tool na may libreng starter edition para sa maliliit na tindahanHardware appliance, Windows o Linux VM, SaaSSMB sa malalaking negosyo
7. Nagios XI at CoreLibreng tool na bukas na mapagkukunan, o para sa gastos na tool na may suporta / pagpapahusayLinux, o sa Windows sa isang VM applianceSMB sa malalaking negosyo
8. Kentik tiktikPara sa gastos na toolSaaSSMB sa malalaking negosyo
9. AnoUp GoldFor-cost tool na may libreng starter edition para sa maliliit na tindahanWindowsSMB sa malalaking negosyo
10. I-roll ang iyong sariliMga bahagi, bayad o libreng bukas na mapagkukunanMga VariesSMB sa malalaking negosyo

Maramihang mga mahusay na tool para sa pagsubaybay sa network at pagsusuri ng trapiko ay magagamit. Ang maliliit na samahan ay may isang hanay ng mga libreng pagpipilian, at ang malaki o lumalaki na mga organisasyon ay may maraming mga pagpipilian para sa gastos.

Sa mga nagdaang taon, ang mga bukas na solusyon sa mapagkukunan ay naging malawak na ipinatupad para sa maraming uri ng software ng networking at para sa mga aplikasyon sa negosyo at seguridad. Ang isang pakinabang ng bukas na mga proyekto ng mapagkukunan ay maaaring mabasa ng sinuman ang code na nagtutulak ng software. Sa pamamagitan ng pagtatanong na iyon, maaari mong siguraduhin na walang malisyosong code na nakatago sa loob ng programa.

Karaniwan, ang mga open source na proyekto ay pinapanatili ng mga boluntaryo. Ang benepisyo ng software na binuo ng tagahanga ay maaari itong ibigay nang libre. Ang downside ng setup na ito ay ang mga libreng tool ay hindi pinamamahalaan ng propesyonal at maaaring maglaman ng mga bug. Ang kakulangan ng kita ng libreng software ay nangangahulugan na ang mga organisasyon na nagpapanatili nito ay walang pondo upang mapanatili ang mga pamantayan sa seguridad o ayusin ang mga problema sa code.

Kapag isinasaalang-alang mo ang paggamit ng bukas na mapagkukunan ng software para sa pagsubaybay at pagsusuri ng network, suriin ang mga pakete na interesado sa iyo at subukan ang mga ito nang lubusan bago mo gawin ang network dito. Isaalang-alang ang pagbabayad para sa mga tool sa pagsusuri sa network upang makakuha ng garantisadong pagganap at suporta din mula sa mga komersyal na samahan na nagbibigay ng bayad na software.

Ang sinumang nais mag-ambag ng pagsisikap upang matuto ay may isang toolbox ng mga makapangyarihang sangkap na maaari mong gamitin upang i-roll ang iyong sariling solusyon. Ang iyong pangwakas na pagpipilian ay nakasalalay sa laki at pagiging kumplikado ng iyong network, ang kadalubhasaan na iyong dinadala (o nais mong bumuo), at kung paano mo inaasahan na magbabago ang iyong network sa hinaharap.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me