NetFlow – Hướng dẫn cơ bản về Máy phân tích NetFlow và NetFlow

NetFlow - Hướng dẫn cơ bản về Máy phân tích NetFlow và NetFlow

NetFlow là một giao thức mạng được phát triển bởi Cisco, ghi chú và báo cáo về tất cả các cuộc hội thoại IP đi qua một giao diện. NetFlow có trạng thái và hoạt động theo cách trừu tượng được gọi là lưu lượng: nghĩa là một chuỗi các gói tạo thành một cuộc hội thoại giữa nguồn và đích, tương tự như một cuộc gọi hoặc kết nối. Nếu bạn có các công tắc và / hoặc bộ định tuyến thông minh, chúng có thể hỗ trợ NetFlow và bạn có thể thêm các đầu dò dựa trên phần mềm hoặc thiết bị xuất NetFlow.

Thiết bị xuất khẩu NetFlow thu thập dữ liệu về lưu lượng truy cập IP vào / ra thiết bị; nó kiểm tra các gói và nhóm chúng thành các luồng bằng cách kiểm tra các trường cụ thể: địa chỉ nguồn và đích, giao thức, cổng, v.v. Dữ liệu về các luồng quan sát được cuộn lên từ các gói và được lưu trữ cục bộ (trong lưu lượng bộ đệm), sau đó, nó định kỳ xuất khẩu sang bộ sưu tập dựa trên thời gian chờ hoạt động và không hoạt động. Do đó, NetFlow chỉ xử lý IP, tập trung vào OSI Lớp 3 và 4. Kiến thức về các giao thức IP cho phép nó giải thích các gói và hoạt động theo các luồng.

Tại đây, danh sách các nhà sưu tập và phân tích netFlow tốt nhất của chúng tôi:

  1. Bộ phân tích NetFlow thời gian thực của SolarWinds (TẢI XUỐNG MIỄN PHÍ) Một công cụ miễn phí để phân tích lưu lượng mạng với các tiêu chuẩn NetFlow, IPFIX, J-Flow và Netstream.
  2. SolarWinds Phân tích lưu lượng truy cập NetFlow (THỬ MIỄN PHÍ) Các phân tích lưu lượng mạng hàng đầu. Chạy trên Windows Server.
  3. ManageEngine NetFlow Phân tích (THỬ MIỄN PHÍ) Trình phân tích lưu lượng cài đặt trên Windows Server và Linux và triển khai các tiêu chuẩn NetFlow, IPFIX, J-Flow, NetStream.
  4. Paessler PRTG Các cảm biến NetFlow, sFlow và J-Flow tạo thành một phần của mạng, máy chủ và màn hình ứng dụng. Cài đặt trên Windows Server.
  5. Nprobe và ntopng Một hệ thống giám sát mạng đơn giản trong cả phiên bản miễn phí và trả phí.
  6. Máy chà sàn Plixer Trình giám sát hoạt động an ninh mạng có sẵn để cài đặt, dưới dạng dịch vụ dựa trên đám mây hoặc dưới dạng thiết bị.
  7. Nagios XI và cốt lõi Một hệ thống giám sát mạng rộng khắp ở cả phiên bản miễn phí (Nagios Core) và trả phí (Nagios XI).
  8. Phát hiện Kentik Dịch vụ dựa trên đám mây có thể phân tích lưu lượng truy cập tại chỗ của bạn.
  9. Vàng WhatsUp Một màn hình mạng chạy trên Windows Server và có mô-đun bổ trợ phân tích tr4affic.
  10. Splunk Một trình thám thính gói nổi tiếng và rất được tôn trọng có thể thu thập dữ liệu bằng cách phân tích thông qua các công cụ tinh vi hơn.
  11. Đàn hồi ngăn xếp Các công cụ phân tích và thu thập tệp nhật ký có thể được điều chỉnh để hoạt động với NetFlow.
  12. Influxdata từ TICK Stack Telegraf, Influxdb, Chronograf và Kapacitor là các công cụ thu thập và phân tích dữ liệu mạng có thể sử dụng sFlow và SNMP.

Các loại và phần mở rộng của NetFlow

NetFlow và IPFIX linh hoạt cung cấp khả năng có các mẫu có thể mở rộng của nhà cung cấp để điều chỉnh tập hợp các trường gói quan tâm. NetFlow v9 và IPFIX cũng thêm khả năng giám sát các trường lớp 2. Lấy mẫu ngẫu nhiên NetFlow thêm tùy chọn thực hiện lấy mẫu vào NetFlow (lấy mẫu là bắt buộc trong sFlow).

Sự khác biệt giữa NetFlow và sFlow

Avi Free sẽ diễn ra tại thời điểm đặc biệt đó.

Dưới đây là sự khác biệt chính giữa hai công nghệ.

Độ chính xác và khả năng mở rộng

Các đảng phái của NetFlow từ lâu đã lập luận rằng NetFlow có thể chính xác hơn sFlow. NetFlow tổng hợp dữ liệu về tất cả các gói thành luồng cục bộ tại thiết bị; do đó, nó có thể do tình cờ bỏ lỡ một cuộc hội thoại bằng cách không lấy mẫu các gói có liên quan. Mức độ chi tiết này của NetFlow rất hấp dẫn để kiểm tra lưu lượng với một máy chủ riêng lẻ. Nó rất dễ dàng để xem chi tiết trên mỗi máy chủ, nhận thấy sự bất thường cục bộ và điều tra các luồng cụ thể. Nhưng khi nấm lưu lượng giao thông, nó trở nên ngày càng ít khả thi để thu thập mọi luồng. Nếu bạn không thực hiện lấy mẫu, khả năng mở rộng sẽ trở thành một vấn đề.

Do đó, sFlow có khả năng mở rộng hơn so với NetFlow truyền thống. Tuy nhiên, lấy mẫu có nhược điểm là có thể có những khoảng trống trong tầm nhìn. Các gói được lấy mẫu có thể không phản ánh mọi luồng (ví dụ: cụm ngắn). Để phát hiện và truy sâu để điều tra các vấn đề bảo mật, điều này có thể là đáng kể.

Hiệu suất thiết bị ở mức cao

Như đã lưu ý ở trên, sFlow thực hiện công việc tối thiểu trên thiết bị mạng, so với NetFlow sử dụng CPU CPU và RAM của thiết bị để thực hiện bộ đệm lưu lượng. Điều này có thể trở thành một vấn đề với các thiết bị tốc độ cao, nơi nhiều cuộc hội thoại được tập trung vào một liên kết. Tải CPU bổ sung trên đầu công việc thực tế của trực tuyến, thiết bị đang tăng lên dựa trên số lượng luồng mỗi giây và có thể tiêu thụ một phần đáng kể CPU trên mỗi thẻ trắng của Cisco (PDF). Ngược lại, sFlow thường thực hiện lấy mẫu gói trong ASIC chuyển mạch / định tuyến, cho phép thiết bị mạng CPU CPU tập trung vào công việc cốt lõi của nó.

Với khối lượng hàng trăm gigabit mỗi giây, chẳng hạn như trong định tuyến cạnh và trung tâm dữ liệu lớn, kỹ thuật giao thông trở thành mối quan tâm chính; trọng tâm là các mẫu quy mô lớn và thay đổi đột ngột về khối lượng. Khả năng hiển thị hạt mịn vào các máy chủ riêng lẻ trở nên ít quan trọng hơn. Bây giờ lấy mẫu bắt đầu để trở thành người chiến thắng rõ ràng. Vì điều này, NetFlow đã thêm tùy chọn Sampling NetFlow, giúp NetFlow có thể mở rộng – nhưng mất độ chi tiết chính xác cao của NetFlow truyền thống.

Phạm vi giao thức

NetFlow chỉ là IP (với một số hỗ trợ Lớp 2 được thêm gần đây). Do đó, các giao thức cũ (ví dụ: Appletalk, IPX) và các giao thức không có Internet khác không hiển thị. Ngược lại, sFlow có thể bao phủ Lớp 2 đến 7.

Độ trễ

sFlow có thể có độ trễ thấp hơn NetFlow. Một thiết bị thu thập số liệu NetFlow trong bộ đệm lưu lượng của nó xuất chúng theo định kỳ dựa trên thời gian chờ hoạt động và không hoạt động. Do đó, báo cáo về các cuộc hội thoại gần đây và đang diễn ra có thể bị trì hoãn, tùy thuộc vào thời gian chờ. Ngược lại, sFlow gửi các tiền tố và bộ đếm gói được thu thập trong thời gian thực. Nếu độ trễ dưới phút là một mối quan tâm – và công cụ giám sát / phân tích của bạn hỗ trợ nó – sFlow có thể là lựa chọn tốt hơn.

Xem thêm: sFlow – Hướng dẫn cơ bản về máy phân tích sFlow và sFlow

Các công cụ NetFlow miễn phí và trả phí tốt nhất cho Windows

Khi mạng của bạn phát triển đến mức nhìn thấy những gì đang diễn ra đã trở nên khó khăn, các công cụ tận dụng NetFlow có thể là giải pháp. Dưới đây, chúng tôi xem xét một số công cụ phân tích và giám sát mạng phổ biến dựa trên NetFlow cho Windows. Tất cả đều tinh vi, có một đường cong học tập đáng kể; vì vậy đào tạo trực tuyến và hỗ trợ tốt là rất quan trọng.

1. Máy phân tích NetFlow thời gian thực của SolarWinds (TẢI XUỐNG MIỄN PHÍ)

SolarWinds sản xuất một bộ sản phẩm hỗ trợ toàn diện cho việc giám sát và quản lý mạng. Trình phân tích NetFlow thời gian thực là một công cụ miễn phí cung cấp cái nhìn sâu sắc thời gian thực về các luồng hiện tại của bạn. Phiên bản miễn phí tập trung vào việc hiển thị trạng thái hiện tại và gần đây của việc sử dụng băng thông của bạn. Nó giới hạn ở một giao diện NetFlow và 60 phút dữ liệu. Các công nghệ Flow được hỗ trợ bao gồm NetFlow, Juniper [J-Flow, IPFIX và Huawei mạng ròng.

Ảnh chụp màn hình của SolarWinds Trình phân tích lưu lượng truy cập mạng thời gian thực với biểu đồ cây và sơ đồ hiển thị lưu lượng truy cập của mục đã chọnSolarWinds Phân tích lưu lượng truy cập mạng thời gian thực

Bộ phân tích xác định thiết bị / địa chỉ IP, ứng dụng và người dùng nào đang tiêu thụ nhiều băng thông nhất. Giao diện người dùng hiển thị lưu lượng truy cập trong và ngoài nước cho nhà xuất khẩu NetFlow đã chọn; giao thông có thể được sắp xếp và hiển thị theo nhiều cách khác nhau. Giao diện người dùng, nhà thám hiểm cây trên cây tóm tắt lưu lượng NetFlow, phân tích cú pháp thành các ứng dụng, cuộc hội thoại, tên miền, điểm cuối và giao thức. Mỗi có thể được mở rộng thành một biểu đồ bao gồm để đi sâu vào khám phá các khía cạnh cụ thể. Các khung nhìn và biểu đồ cây cập nhật trong thời gian thực.

Cài đặt thông qua trình hướng dẫn thiết lập Windows tiêu chuẩn và Bộ cấu hình NetFlow được bao gồm để hỗ trợ cấu hình bộ thu NetFlow và các thiết bị của bạn hỗ trợ các biến thể NetFlow khác nhau.

Nếu các thiết bị chính của bạn hỗ trợ NetFlow và bạn đang tìm kiếm một chế độ xem rõ ràng và rõ ràng về việc sử dụng băng thông hiện tại và gần đây của bạn, thì Bộ phân tích NetFlow thời gian thực của SolarWinds phù hợp với dự luật.

Đối với phiên bản mạnh hơn và giàu tính năng hơn, tùy chọn chi phí SolarWinds, Trình phân tích lưu lượng mạng, được đề cập bên dưới.

SolarWinds Phân tích NetFlow thời gian thực Tải xuống phiên bản MIỄN PHÍ tại SolarWinds.com

Một công cụ phân tích lưu lượng miễn phí khác mà bạn có thể thử là Gói công cụ dòng chảy SolarWinds. Đây là trình thu thập mẫu lưu lượng hữu ích sử dụng Cisco NetFlow v5. Ngoài việc thu thập các mẫu lưu lượng, công cụ bao gồm một trình giả lập luồng lưu lượng, cho phép bạn xem trước các hiệu ứng trên mạng của lưu lượng truy cập bổ sung hoặc thay đổi bố cục phần cứng.

Gói công cụ SolarWinds Tải xuống Gói công cụ MIỄN PHÍ 100%

2. SolarWinds Phân tích lưu lượng truy cập NetFlow (THỬ MIỄN PHÍ)

SolarWinds Phân tích lưu lượng NetFlow (NTA) là bước tăng chi phí từ công cụ miễn phí của họ, Phân tích lưu lượng truy cập NetFlow thời gian thực. NTA là một mô-đun trong Giám sát hiệu suất mạng (NPM), vì vậy bạn phải đáp ứng các chi phí và yêu cầu nền tảng của cả hai. Cả NTA và NPM đều có sẵn trong 30 ngày dùng thử đầy đủ chức năng.

NTA có thể được gọi là Trình phân tích lưu lượng mạng vì nó xử lý không chỉ Cisco Netflow ban đầu mà nhiều biến thể của nó từ các nhà sản xuất khác, cũng như thay thế chính của NetFlow, sFlow.

Sau khi cài đặt, NPM và NTA cung cấp cho bạn một loạt các cơ sở tinh vi để quản lý mạng nhiều nhà cung cấp. Nó có tính năng giám sát băng thông, phân tích giao thông, phân tích hiệu suất, cảnh báo, báo cáo tùy chỉnh, tối ưu hóa chính sách, và hơn thế nữa.

Ảnh chụp màn hình hiển thị bảng điều khiển chính của SolarWinds Orion, với menu Bảng điều khiển được hiển thịCác màn hình phân tích lưu lượng truy cập NetFlow được liệt kê trong Bảng điều khiển

Trình phân tích lưu lượng NetFlow tập hợp dữ liệu luồng được xuất bởi các thiết bị hỗ trợ luồng được theo dõi bởi phần mềm giám sát mạng SolarWinds.

Ảnh chụp màn hình hiển thị tóm tắt mặc định của Trình phân tích lưu lượng NetFlowTóm tắt mặc định NTA

Tóm tắt phân tích lưu lượng truy cập NetFlow mặc định có nhiều phần như 5 ứng dụng hàng đầu, Top 5 điểm cuối, Top 5 cuộc trò chuyện, 10 nguồn hàng đầu theo% sử dụng, Vân vân.

Ảnh chụp màn hình của NetFlow Traffic Analyzer hiển thị đồ họa lưu lượng truy cập của các ứng dụng hàng đầu trong những giờ gần đâyNhìn vào các mẫu giao thông theo thời gian

Là một bộ phân tích dòng chảy, NTA xác định người dùng, ứng dụng và giao thức tiêu tốn nhiều băng thông nhất. Bạn có thể sắp xếp theo cổng, nguồn, đích và giao thức và xem các mẫu lưu lượng truy cập theo phút, ngày hoặc tháng.

NTA và NPM là các gói cấp doanh nghiệp, do đó, ngay cả bản dùng thử miễn phí cũng sẽ tiêu tốn tài nguyên đáng kể trên hệ thống của bạn. Nếu bạn có một mạng tinh vi với các thiết bị hỗ trợ NetFlow, các khả năng NTA, rất đáng để khám phá. Để biết chi tiết về NTA, xem của chúng tôi Đánh giá phân tích lưu lượng truy cập của NetWinds NetFlow.

SolarWinds Phân tích lưu lượng truy cập NetFlow Tải xuống bản dùng thử MIỄN PHÍ tại SolarWinds.com

3. ManageEngine NetFlow Phân tích (THỬ MIỄN PHÍ)

Các Trình phân tích ManageEngine NetFlow cung cấp khả năng hiển thị thời gian thực vào băng thông mạng và các mẫu lưu lượng. Công cụ trực quan hóa lưu lượng truy cập bằng các ứng dụng, hội thoại, giao thức, v.v.. Cảnh báo có thể được đặt dựa trên ngưỡng lưu lượng. Có nhiều báo cáo được xác định trước hữu ích, từ xử lý sự cố theo định hướng đến lập kế hoạch năng lực và thanh toán. Báo cáo tìm kiếm tùy chỉnh có thể được tạo.

ảnh chụp màn hình bảng điều khiển của Trình phân tích NetFlow của ManageEngineBảng điều khiển ManageEngine NetFlow

Bộ phân tích NetFlow có một bộ công cụ định hướng NetFlow để quản lý các mạng phức tạp. Giao diện người dùng dựa trên web có bảng điều khiển mặc định với một số biểu đồ hình tròn thời gian thực, bao gồm bản đồ nhiệt hiển thị trạng thái của giao diện được giám sát, ứng dụng hàng đầu, giao thức hàng đầu, cuộc hội thoại hàng đầu, báo động gần đây, QoS hàng đầu và hơn thế nữa.

Di chuột qua một hình ảnh thường cung cấp một cửa sổ bật lên giải thích và nhấp vào bất kỳ hình ảnh đồ họa nào để biết thêm chi tiết về yếu tố được chọn. Có màn hình cụ thể để phát hiện các vấn đề bảo mật. Bảng điều khiển có thể tùy chỉnh.

ảnh chụp màn hình của ManageEngine NetFlow Phân tích hiển thị các cảnh báo hiện tại và thông báo trạng thái bảo mậtManageEngine Cảnh báo và trạng thái bảo mật

Cảnh báo hiển thị dưới dạng cửa sổ bật lên trên giao diện người dùng. Lưu lượng truy cập nhiều trang web có thể được phân tích; Có một ứng dụng điện thoại thông minh để theo dõi và cảnh báo di động.

Công nghệ lưu lượng được hỗ trợ bao gồm NetFlow, IPFIX, Dòng chảy, NetStream, và một số người khác. Công cụ tận dụng các tính năng nâng cao của thiết bị Cisco, bao gồm hỗ trợ điều chỉnh chính sách định hình lưu lượng truy cập và chính sách QoS trên mạng của bạn.

Trình phân tích NetFlow của ManageEngine cung cấp một loạt các khả năng để quản lý các mạng phức tạp sử dụng NetFlow. Phiên bản miễn phí cho phép giám sát không giới hạn trong 30 ngày nhưng sau đó hoàn nguyên chỉ giám sát hai giao diện. ManageEngine có nhiều sản phẩm liên quan để mở rộng ra ngoài phân tích hướng lưu lượng truy cập NetFlow thành một bộ quản lý mạng đầy đủ. Bạn có thể tải về bản dùng thử miễn phí 30 ngày.

ManageEngine NetFlow Phân tích Tải xuống bản dùng thử MIỄN PHÍ 30 ngày

4. Giám sát mạng Paessler PRTG

Các Giám sát mạng Paessler PRTG là một giải pháp bao gồm các giải pháp khác giám sát việc sử dụng băng thông, các khả dụng và sức khỏe của các thiết bị trên mạng của bạn và hơn thế nữa. PRTG có thể theo dõi nhiều trang web, Mạng LAN, VPN, và dịch vụ điện toán đám mây. Phiên bản miễn phí cung cấp các cảm biến không giới hạn trong một tháng và sau đó được giới hạn ở 100 cảm biến; một cảm biến là một luồng dữ liệu riêng lẻ, vì vậy mỗi thiết bị thường sẽ yêu cầu một vài cảm biến.

Ảnh chụp màn hình của PRTG hiển thị cây thiết bị và cảm biến được liên kết với từng thiết bịCây thiết bị PRTG

Trong giao diện người dùng PRTG, một Chế độ xem chính là cây thiết bị hiển thị tất cả các thiết bị trên mạng của bạn và các cảm biến giám sát từng thiết bị. Các thiết bị bao gồm tường lửa, bộ định tuyến, điểm truy cập, máy chủ, máy trạm, máy chủ ảo, lưu trữ, v.v … Cây thiết bị được bổ sung bởi các chế độ xem bảng của cảm biến, nhật ký và báo động, cũng như các biểu đồ và đồ thị khác nhau cho băng thông, v.v. được sắp xếp và lọc.

Đi sâu vào chế độ xem cây cho thấy các chỉ số và số liệu ở mọi cấp độ. Cài đặt, như khoảng thời gian quét, được kế thừa và có thể được ghi đè ở các cấp thấp hơn trong cây thiết bị. Cảnh báo có thể được đặt tương tự ở mọi cấp độ, để bạn có thể sắp xếp để được thông báo về các sự kiện và chuyển đổi ngưỡng của một thiết bị quan trọng cụ thể hoặc được triển khai từ một khía cạnh tổng thể của mạng của bạn. Cảnh báo có thể được truyền theo nhiều cách, bao gồm email SMTP và tin nhắn văn bản SMS.

Sự trừu tượng hóa thiết bị và cảm biến cũng định hình bảng điều khiển và báo cáo. Bảng điều khiển tùy chỉnh có thể được tạo, bao gồm các bản đồ tương tác. Có một loạt các báo cáo được xác định trước và các phương tiện để thiết kế các báo cáo tùy chỉnh; báo cáo cũng có thể được lên lịch.

Ảnh chụp màn hình của PRTG hiển thị màn hình cho cảm biến NetFlow - người nói chuyện hàng đầu, kết nối hàng đầu, v.v.Cảm biến PRFG NetFlow

Các phương tiện phân tích lưu lượng bao gồm hỗ trợ NetFlow tích hợp. Đối với các giao thức luồng, PRTG hỗ trợ NetFlow, sFlow và J-Flow. Các giao thức / cơ chế khác được sử dụng bao gồm SNMP, WMI và đánh hơi gói. Paessler gọi các hệ thống phát hiện này, chẳng hạn như bộ sưu tập NetFlow, cảm biến.

Cài đặt đơn giản. Có một trình hướng dẫn thiết lập, cũng như một video cung cấp hướng dẫn từng bước. Khi cài đặt, máy chủ lõi thăm dò cục bộ của máy chủ tự động phát hiện tự động để xác định thiết bị và thiết lập cảm biến. Các cảm biến bổ sung (bao gồm cả bộ thu NetFlow) có thể được thêm bằng tay; một video cung cấp hướng dẫn.

Máy chủ cốt lõi chỉ có Windows. Việc giám sát một trang web có thể được thực hiện thông qua ứng dụng web, nhưng chế độ xem đồng thời của nhiều máy chủ lõi yêu cầu sử dụng ứng dụng doanh nghiệp trên Windows. Một ứng dụng di động cũng được cung cấp. Một bổ sung thông minh là PRTG cung cấp mã QR có thể được dán trên các thiết bị cụ thể để tìm kiếm nhanh và trạng thái trong ứng dụng di động. PRTG hỗ trợ phân cụm cho khả năng chịu lỗi: bạn có thể thiết lập các phiên bản chuyển đổi dự phòng của màn hình.

Mặc dù PRTG là tất cả trong một nên bạn không cần nhiều sản phẩm và giấy phép để có được sự giám sát toàn diện, một câu hỏi quan trọng để đánh giá là mạng của bạn cần bao nhiêu cảm biến và chi phí dài hạn của cảm biến dựa trên cảm biến mô hình cấp phép khi bạn phát triển. Để đánh giá, bạn có thể tải xuống bản dùng thử 30 ngày của phần mềm tại đây.

5. Nprobe và ntopng

ntopng là một công cụ phân tích lưu lượng truy cập dựa trên web nguồn mở, thực hiện giám sát mạng thụ động dựa trên dữ liệu lưu lượng và số liệu thống kê được trích xuất từ ​​lưu lượng quan sát. ntopng tự chụp gói; để nhận dữ liệu luồng, nó phụ thuộc vào nProbe, trình xuất / thu thập NetFlow / IPFIX. Các giao thức lưu lượng bao gồm NetFlow v9, IPFIX và NetFlow-lite.

Phiên bản cộng đồng của ntopng là miễn phí. Các phiên bản chuyên nghiệp (doanh nghiệp nhỏ) và doanh nghiệp yêu cầu giấy phép phải trả tiền, nhưng miễn phí cho các tổ chức giáo dục và phi lợi nhuận. nProbe có thể được lái thử miễn phí nhưng phiên bản đầy đủ chức năng cần có giấy phép phải trả tiền. Vì vậy, việc sử dụng dữ liệu NetFlow bị hạn chế (trừ khi bạn đủ điều kiện để được cấp phép miễn phí).

Ảnh chụp màn hình của ntopng hiển thị danh sách các luồng và đặc điểm của chúngdòng chảy ntopng

Giao diện người dùng dựa trên web ntopngiến cuộn dữ liệu vào lưu lượng truy cập (ví dụ: người nói chuyện hàng đầu), luồng, máy chủ, thiết bị và giao diện. Hầu hết các danh mục có nhiều chế độ xem, kết hợp các biểu đồ, bảng và biểu đồ; và trong mỗi bạn có thể đi sâu vào khám phá chuyên sâu và tham khảo chéo. Các bảng có thể được sắp xếp – ví dụ: việc chọn cột thông lượng trên bảng luồng cho thấy người dùng băng thông hàng đầu hiện tại.

Ảnh chụp màn hình của ntopng hiển thị vị trí địa lý của máy chủ trên bản đồđịnh vị máy chủ ntopng

Hiển thị luồng hiển thị các giao thức ứng dụng (ví dụ: Facebook, YouTube). Độ trễ và thống kê TCP (ví dụ: mất gói) được hiển thị. Các máy chủ / địa chỉ IP được quan sát có thể được hiển thị trên bản đồ thông qua định vị địa lý. Cảnh báo có thể được đặt trên máy chủ dựa trên nhiều tiêu chí và sẽ hiển thị dưới dạng biểu tượng trong giao diện người dùng.

Phiên bản chuyên nghiệp có thể lưu và hiển thị số liệu thống kê sử dụng ứng dụng lịch sử, theo dõi hoạt động thông qua SNMP, tạo báo cáo lưu lượng truy cập tùy chỉnh và một số tính năng bổ sung khác.

Gói cài đặt cho cả ntopng và nProbe là một tệp zip chứa trình hướng dẫn thiết lập Windows tiêu chuẩn. Trình cài đặt sẽ cài đặt winpcap (để đánh hơi gói tin) nếu cần.

Vì ntopng là nguồn mở, nên có phạm vi đáng kể để mở rộng nó. Dữ liệu có thể được xuất sang MySQL, ElasticSearch và LogStash, nơi có thể được hợp nhất vào các báo cáo được lưu trữ bởi máy chủ Syslog của bạn.

6. Máy chà sàn Plixer

Máy chà sàn Plixer là một hệ thống phân tích lưu lượng theo hướng dòng chảy tinh vi, tập trung đặc biệt vào pháp y bảo mật (nó có tên là Hệ thống ứng phó sự cố của Scr Scrutinizer). Nó hỗ trợ cả NetFlow và sFlow.

Máy kiểm tra có thể được cài đặt như một thiết bị vật lý chuyên dụng, như một máy ảo chạy trên máy chủ, hoặc là như một giải pháp SaaS chạy trên đám mây (công hoặc lai). Nó có một hệ thống tinh vi, do đó, ngay cả bản dùng thử miễn phí trên máy ảo cũng cần nguồn lực đáng kể (ví dụ: 16GB RAM chuyên dụng).

Ảnh chụp màn hình bảng điều khiển chính của ScrutinizerBảng điều khiển giám sát

Scrutinizer được thiết kế cho hiệu suất cao và khả năng mở rộng từ môi trường nhỏ đến rất lớn. Nó cung cấp một loạt các tính năng phân tích và báo cáo.

Thử nghiệm bao gồm truy cập đầy đủ trong 30 ngày. Sau đó, phiên bản miễn phí có giới hạn 10 nghìn luồng được thu thập mỗi giây, năm giờ lưu lượng thô được giữ và một tuần tóm tắt lịch sử được duy trì. Phiên bản trả phí bao gồm thông báo, tùy chỉnh bảng điều khiển, báo cáo tùy chỉnh, báo cáo email được lên lịch và hỗ trợ. Giá giấy phép tùy thuộc vào nền tảng được chọn và số lượng nhà xuất khẩu được hỗ trợ.

7. Lõi Nagios XI và Nagios

Nagios là một tiêu chuẩn lâu dài trong giám sát mạng. Nagios Core là phiên bản miễn phí mã nguồn mở và Nagios XI là biến thể thương mại với chi phí cao với các tính năng bổ sung và hỗ trợ tự động cho cấu hình. Nagios nổi tiếng là mạnh mẽ, đáng tin cậy, có thể mở rộng và cực kỳ tùy biến – và rất phức tạp để định cấu hình.

Phiên bản miễn phí có đường cong học tập nhưng cũng là một cộng đồng tích cực. Nó giám sát các máy chủ, dịch vụ và ứng dụng, giống như phiên bản thương mại. Nó bao gồm báo cáo qua email và SMS, giao diện người dùng cơ bản (bao gồm cả bản đồ mạng) và các báo cáo cơ bản.

Nagios Core thiếu tính năng tự động phát hiện và bạn phải học cách thiết lập và duy trì các cấu hình phức tạp. Về mặt tích cực, nó giúp bạn linh hoạt hơn trong việc tùy chỉnh và mở rộng công cụ. Các addon do cộng đồng phát triển có thể thực hiện khám phá và giúp bạn bắt đầu với cấu hình.

Bạn có thể dùng dùng thử miễn phí 60 ngày để đánh giá phiên bản chi phí. Nếu bạn chọn sử dụng phiên bản miễn phí khi dùng thử xong, bạn có thể lưu các tệp cấu hình được tạo tự động từ / usr / local / nagios / etc trước khi gỡ cài đặt bản sao eval của bạn. Sau đó, bạn có thể sử dụng các tệp đó làm điểm bắt đầu cho cấu hình cài đặt mới của bạn.

Phiên bản thương mại Nagios XI có nhiều tính năng phong phú hơn, bao gồm hỗ trợ tự động để khám phá các thiết bị và máy chủ của bạn, tự động định cấu hình công cụ và các addon được hỗ trợ thương mại. Nó có giao diện người dùng tinh vi hơn nhiều và báo cáo nâng cao hơn bao gồm các xu hướng, hỗ trợ lập kế hoạch năng lực, v.v..

Nagios XI được xây dựng để chạy trên Red Hat Linux và CentOS. Đối với Windows, sử dụng thiết bị VM với Hyper-V hoặc VMware. Nó bao gồm một công cụ tự động phát hiện và một trình hướng dẫn cấu hình để thêm một thiết bị, máy chủ hoặc ứng dụng mới.

Ảnh chụp màn hình hiển thị Bảng điều khiển hoạt động, có thể được hiển thị trong một trung tâm hoạt độngBảng điều khiển hoạt động của Nagios

Khi Nagios XI được cài đặt và giám sát, Màn hình hoạt động cung cấp cho bạn chế độ xem cấp cao về trạng thái hiện tại của mạng và Trung tâm điều hành cho phép bạn đi sâu vào các mục được đề cập.

Ảnh chụp màn hình hiển thị màn hình trạng thái máy chủ Nagios tóm tắt trạng thái của máy chủTình trạng máy chủ Nagios

Các Trạng thái máy chủ trang hiển thị một bản tóm tắt các số liệu cho các máy chủ được theo dõi. Bạn có thể truy sâu vào một máy chủ riêng lẻ để xem chi tiết bao gồm biểu đồ hiệu suất, thông tin lập kế hoạch dung lượng, báo động, v.v..

Ảnh chụp màn hình của Nagios hiển thị trạng thái dịch vụ đang được theo dõiTình trạng dịch vụ của Nagios

Các Tình trạng dịch vụ trang tóm tắt trạng thái của các dịch vụ được giám sát.

Nagios là một giải pháp được đánh giá cao để giám sát mạng. Cũng như các công cụ khác cung cấp sự đánh đổi hoàn toàn miễn phí so với phiên bản thương mại, bạn phải quyết định xem bạn có (hoặc sẽ phát triển) chuyên môn và thời gian để sử dụng công cụ miễn phí hay không, liệu có hiệu quả hơn về chi phí cho việc tự động hóa và hỗ trợ phiên bản thương mại.

8. Phát hiện Kentik

Phát hiện Kentik, trái ngược với các công cụ phân tích lưu lượng ở trên, là một hệ thống Phần mềm dưới dạng dịch vụ (SaaS) thuần túy. Như vậy, nó cung cấp khả năng mở rộng của đám mây.

Mạng đang phát triển, và tài nguyên mạng ngoài cơ sở là quan trọng hơn để thành công. Do đó, dữ liệu lưu lượng truy cập đang trở thành dữ liệu lớn và các giải pháp dữ liệu lớn dựa trên đám mây bắt đầu có ý nghĩa.

Kentik nhằm mục đích nắm bắt chi tiết của nhiều loại dữ liệu, cung cấp một cái nhìn thống nhất về tất cả dữ liệu đó và cung cấp các giao diện để truy cập dữ liệu và tích hợp với các hệ thống khác. Kentick Detect bao gồm một kho dữ liệu chuỗi thời gian có tính tùy chỉnh cao (Kentik Data Engine) và UI (Kentik Portal). Các giao thức bao gồm Netflow, IPFIX, sFlow, SNMP và BGP.

Ảnh chụp màn hình bảng điều khiển trong giao diện người dùng dựa trên web của Kentik DetectBảng điều khiển phát hiện Kentik

Kentik Portal là một giao diện dựa trên web (tất nhiên) và cung cấp một loạt các bảng điều khiển có thể định cấu hình ngày càng tăng.

Ảnh chụp màn hình hiển thị bảng điều khiển tổng quan về giao thông của Kentik DetectBảng điều khiển tổng quan giao thông Kentik

Data Explorer cho phép thăm dò đặc biệt dữ liệu mạng được thu thập. Bạn có thể nhanh chóng truy sâu và lọc trên hàng tỷ bản ghi tiềm năng, có được các chế độ xem dưới dạng bảng và biểu đồ.

Ảnh chụp màn hình hiển thị bảng điều khiển Kentik Detect để đặt chính sách có thể kích hoạt cảnh báo.Đặt chính sách để định cấu hình cảnh báo

Thông báo để thông báo cho bạn về các điều kiện bất thường có thể được thiết lập bằng cách tạo các chính sách xác định khi cảnh báo sẽ vào trạng thái cảnh báo. Cảnh báo có thể được gửi bởi nhiều phương tiện khác nhau, bao gồm email, Slack, phân trang, v.v..

9. Vàng WhatsUp

WhatsUp Gold là một công cụ giám sát mạng nổi tiếng của IPSwitch mà tính năng giàu tính năng của Cameron vẫn đơn giản. Nó có sẵn trong cả phiên bản khởi động miễn phí và bản dùng thử 30 ngày để đánh giá phiên bản trả phí.

WhatsUp Gold giám sát lưu lượng mạng, máy chủ, máy chủ ảo, dịch vụ đám mây và ứng dụng. Phiên bản miễn phí là giấy phép năm điểm miễn phí để theo dõi tối đa năm tài nguyên (ví dụ: năm máy chủ).

WhatsUp Gold phải được cài đặt trên Windows. Thiết lập đơn giản và sử dụng tự động khám phá. Giao diện người dùng cung cấp nhiều chế độ xem với bản đồ mạng tương tác và khả năng truy sâu để điều tra các vấn đề.

Ảnh chụp màn hình của WhatsUp Gold hiển thị danh sách các thiết bị trên mạngXem danh sách WhatsUp Gold

Chế độ xem danh sách WhatsUp Gold, hiển thị các máy chủ và thiết bị được phát hiện, tóm tắt các đặc điểm và trạng thái của chúng.

Ảnh chụp màn hình WhatsUp Gold hiển thị chế độ xem bản đồ của thiết bị và các liên kết của chúngChế độ xem bản đồ WhatsUp Gold

Chế độ xem bản đồ là một bản đồ tương tác để trực quan hóa các thành phần mạng của bạn và trạng thái của chúng. Bạn có thể xem chi tiết để kiểm tra tính khả dụng và hiệu suất của các nút riêng lẻ.

Các phương tiện phân tích lưu lượng hoạt động với một loạt các thiết bị hỗ trợ dòng chảy, bao gồm NetFlow, sFlow, NetFlow-Lite, IPFIX và J-Flow.

Ảnh chụp màn hình của WhatsUp Gold hiển thị bảng điều khiển phân tích lưu lượng.Bảng điều khiển phân tích lưu lượng truy cập WhatsUp Gold

Bảng điều khiển có thể tùy chỉnh. WhatsUp Gold cung cấp nhiều báo cáo đóng hộp, bao gồm các báo cáo về băng thông và sử dụng; bạn cũng có thể thiết kế các báo cáo tùy chỉnh.

Ảnh chụp màn hình của WhatsUp Gold hiển thị 10 chế độ xem sử dụng, lỗi, lưu lượng truy cập, v.v.Lượt xem top 10 của WhatsUp Gold

Chế độ xem 10 trên cùng hiển thị các trạng thái quan trọng trong mạng của bạn.

Bạn có thể định cấu hình cảnh báo để thông báo cho bạn khi người gửi hoặc người nhận vượt quá ngưỡng băng thông, khi giao diện vượt quá ngưỡng sử dụng, v.v. Có nhiều phương thức có thể để thông báo, bao gồm email và SMS. Các hành động được kích hoạt cung cấp khả năng thực hiện các hành động tự động dưới dạng phản hồi cho các cảnh báo.

Phiên bản miễn phí của WhatsUp Gold là một công cụ đơn giản và đầy đủ tính năng để theo dõi và quản lý một cửa hàng nhỏ. Tốt nghiệp phiên bản miễn phí cho phép bạn chuyển sang phủ sóng các mạng lớn.

10. Cuộn của riêng bạn

Có lẽ không có máy phân tích NetFlow đóng gói sẵn nào ở trên có thể tùy chỉnh đủ hoặc đủ mạnh để đáp ứng nhu cầu của bạn. Có thể bạn chắc chắn rằng bạn có thể làm tốt hơn hoặc bạn chỉ muốn tự mình thử nghiệm phân tích dữ liệu. Có nhiều gói để thu thập và phân tích dữ liệu theo chuỗi thời gian có sẵn giúp việc này hoàn toàn khả thi. Một số là phần mềm nguồn mở miễn phí; một số thì không. Một số có thể được tích hợp với các máy phân tích đóng gói sẵn, như Plixer và ntopng.

Dưới đây là một vài khả năng để kiểm tra.

Splunk

Splunk là gói chi phí để tìm kiếm, theo dõi và phân tích / trực quan hóa dữ liệu lớn. Splunk thu thập dữ liệu thời gian thực và cung cấp các phương tiện dựa trên web để phân tích và trực quan hóa. Splunk có một tiện ích bổ sung cho NetFlow và một cho IPFIX.

ELK / Đàn hồi

Các ELK Cây rơm – Elaticsearch, Logstash và Kibana – là một bộ công cụ phân tích nguồn mở thường được sử dụng với dữ liệu giống với thông điệp tường trình. Elaticsearch là một công cụ tìm kiếm và phân tích phân tán phổ biến. Logstash là một công cụ thu thập dữ liệu và phân tích cú pháp. Kibana là bảng điều khiển trực quan hóa dữ liệu dựa trên trình duyệt để phân tích và tìm kiếm. Logstash bao gồm một codec để xử lý nhiều phiên bản dữ liệu NetFlow.

Một số nhóm đã sử dụng ELK Stack với NetFlow. Cisco có một hướng dẫn để thực hiện nó, và có một số bài viết khác trực tuyến. Mọi người đã xây dựng các hệ thống bằng ELK Stack với các thành phần phổ biến khác, chẳng hạn như công cụ cảnh báo và giám sát hệ thống phân tán Riemann. Một thay thế cho logstash là thông thạo.

Telegraf, Influxdb, Chronograf, Kapacitor

Stack TICK Stack của Influxdata – Telegraf, Influxdb, Chronograf và Kapacitor – là một bộ công cụ nguồn mở dựa trên Go để thu thập, theo dõi và phân tích / hiển thị dữ liệu số liệu chuỗi thời gian. Telegraf thu thập các số liệu hiệu suất; InfluxDB là một cơ sở dữ liệu chuỗi thời gian; Chronograf thực hiện trực quan hóa thời gian thực dữ liệu InfluxDB; và Kapacitor là một công cụ xử lý dữ liệu truyền phát / lô có thể thực hiện giám sát và cảnh báo các quan điểm về dữ liệu InfluxDB. Ngăn xếp TICK đã được sử dụng với thống kê mạng từ sFlow và SNMP.

Một công cụ mạnh mẽ khác, đôi khi được sử dụng với Influxdb là Grafana, gói nguồn mở để phân tích và trực quan hóa chuỗi thời gian. Grafana tương tự như Kibana, nhưng trong đó Kibana là định hướng thông điệp log, Grafana là định hướng số liệu.

Chọn Trình phân tích NetFlow

Bảng dưới đây cho thấy một bản tóm tắt của từng tùy chọn này.

ToolTypePl PlatformsScalability
1. Máy phân tích NetFlow thời gian thực của SolarWinds Tải xuống miễn phí các cửa sổ SOHO
2. SolarWinds Phân tích lưu lượng truy cập NetFlow Dùng thử miễn phí các cửa sổ SMB cho các doanh nghiệp lớn
3. ManageEngine NetFlow Phân tích Dùng thử miễn phí

Công cụ chi phí với phiên bản khởi động miễn phí cho các cửa hàng nhỏ

Windows, Linux SMB cho các doanh nghiệp lớn
4. Paessler PRTG Dùng thử miễn phí

Công cụ chi phí với phiên bản khởi động miễn phí cho các cửa hàng nhỏ

các cửa sổ SMB cho các doanh nghiệp lớn
5. Nprobe và ntopng Vì chi phí (trừ khi phi lợi nhuận) Windows, Linux SMB cho các doanh nghiệp lớn
6. Máy chà sàn Plixer Công cụ chi phí với phiên bản khởi động miễn phí cho các cửa hàng nhỏ Thiết bị phần cứng, Windows hoặc Linux VM, SaaS SMB cho các doanh nghiệp lớn
7. Nagios XI và cốt lõi Công cụ nguồn mở miễn phí hoặc công cụ chi phí có hỗ trợ / cải tiến Linux hoặc trên Windows trong thiết bị VM SMB cho các doanh nghiệp lớn
8. Phát hiện Kentik Công cụ chi phí SaaS SMB cho các doanh nghiệp lớn
9. Vàng WhatsUp Công cụ chi phí với phiên bản khởi động miễn phí cho các cửa hàng nhỏ các cửa sổ SMB cho các doanh nghiệp lớn
10. Cuộn của riêng bạn Các thành phần, nguồn mở có trả tiền hoặc miễn phí Khác nhau SMB cho các doanh nghiệp lớn

Nhiều công cụ tuyệt vời để giám sát mạng và phân tích lưu lượng có sẵn. Các tổ chức nhỏ có một loạt các lựa chọn miễn phí và các tổ chức lớn hoặc đang phát triển có nhiều lựa chọn chi phí.

Trong những năm gần đây, các giải pháp nguồn mở đã được triển khai rộng rãi cho nhiều loại phần mềm mạng và cả cho các ứng dụng kinh doanh và bảo mật. Một lợi ích của các dự án nguồn mở là bất kỳ ai cũng có thể đọc mã điều khiển phần mềm. Theo yêu cầu đó, bạn có thể chắc chắn rằng không có mã độc hại ẩn trong chương trình.

Thông thường, các dự án nguồn mở được duy trì bởi các tình nguyện viên. Lợi ích của phần mềm phát triển đam mê là nó có thể được tặng miễn phí. Nhược điểm của thiết lập này là các công cụ miễn phí được quản lý chuyên nghiệp và có thể chứa lỗi. Việc thiếu thu nhập của phần mềm miễn phí có nghĩa là các tổ chức duy trì nó không có tiền để theo kịp các tiêu chuẩn bảo mật hoặc khắc phục các sự cố với mã.

Khi bạn xem xét sử dụng phần mềm nguồn mở để giám sát và phân tích mạng, hãy kiểm tra các gói mà bạn quan tâm và kiểm tra chúng kỹ lưỡng trước khi bạn cam kết mạng với nó. Cân nhắc việc trả tiền cho các công cụ phân tích mạng để có được hiệu suất được đảm bảo và cũng có sự hỗ trợ từ các tổ chức thương mại cung cấp phần mềm trả phí đó.

Bất cứ ai muốn đóng góp nỗ lực học hỏi đều có một hộp công cụ gồm các thành phần mạnh mẽ mà bạn có thể sử dụng để đưa ra giải pháp của riêng mình. Lựa chọn cuối cùng của bạn phụ thuộc vào quy mô và mức độ phức tạp của mạng, chuyên môn bạn mang theo (hoặc muốn phát triển) và cách bạn mong muốn mạng của mình sẽ phát triển trong tương lai.