NetFlow – полное руководство по анализаторам NetFlow и NetFlow

NetFlow – это сетевой протокол, разработанный Cisco, который записывает и сообщает обо всех IP-разговорах, проходящих через интерфейс. NetFlow с состоянием и работает в терминах абстракции, называемой течьто есть последовательность пакетов, которая составляет диалог между источником и пунктом назначения, аналогичный вызову или соединению. Если у вас есть интеллектуальные коммутаторы и / или маршрутизаторы, они могут поддерживать NetFlow, и вы можете добавить программные или аппаратные пробники, которые экспортируют NetFlow..

Устройство-экспортер NetFlow собирает данные об IP-трафике, входящем / выходящем из устройства; он проверяет пакеты и группирует их в потоки, проверяя определенные поля: адреса источника и назначения, протоколы, порты и т. д. Данные о наблюдаемых потоках собираются из пакетов и кэшируются локально (в кеш потока), то он периодически экспортируется в коллектор на основе активных и неактивных таймаутов. Таким образом, NetFlow обрабатывает только IP, уделяя особое внимание уровням 3 и 4 OSI. Знание протоколов IP позволяет интерпретировать пакеты и работать с точки зрения потоков..

Вот наш список лучших сборщиков и анализаторов netFlow:

1. Анализатор NetFlow в реальном времени SolarWinds (СКАЧАТЬ БЕСПЛАТНО) Бесплатный инструмент для анализа сетевого трафика по стандартам NetFlow, IPFIX, J-Flow и Netstream.
2. Анализатор трафика SolarWinds NetFlow (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) Ведущий анализатор сетевого трафика. Работает на Windows Server.
3. ManageEngine NetFlow Analyzer (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) Анализатор трафика, который устанавливается на Windows Server и Linux и развертывает стандарты NetFlow, IPFIX, J-Flow, NetStream.
4. Paessler PRTG Датчики NetFlow, sFlow и J-Flow, которые являются частью мониторинга сети, сервера и приложений. Устанавливается на Windows Server.
5. Nprobe и Ntopng Простая система мониторинга сети в бесплатной и платной версиях.
6. Plixer Scrutinizer Монитор активности кибербезопасности, доступный для установки в виде облачной службы или в качестве устройства.
7. Nagios XI и Core Обширная система мониторинга сети в бесплатной (Nagios Core) и платной (Nagios XI) версиях.
8. Кентик Детект Облачный сервис, который может анализировать ваш локальный трафик.
9. WhatsUp Gold Сетевой монитор, работающий на Windows Server и имеющий дополнительный модуль анализа tr4affic.
10. Splunk Хорошо известный и очень уважаемый анализатор пакетов, который может собирать данные путем анализа с помощью более сложных инструментов.
11. Эластичный стек Инструменты сбора и анализа файлов журналов, которые можно адаптировать для работы с NetFlow.
12. Стек TICK от Influxdata Telegraf, Influxdb, Chronograf и Kapacitor являются инструментами сбора и анализа сетевых данных, которые могут использовать sFlow и SNMP.

Типы и расширения NetFlow

Flexible NetFlow и IPFIX предоставляют возможность иметь расширяемые поставщиком шаблоны для настройки набора полей, представляющих интерес. NetFlow v9 и IPFIX также добавляют возможность мониторинга полей уровня 2. Произвольная выборка NetFlow добавляет возможность выполнения выборки в NetFlow (выборка обязательна в sFlow).

Различия между NetFlow и sFlow

Ави Фридман делает хорошую аналогию с мониторингом автомобильного трафика: «… в то время как NetFlow можно охарактеризовать как наблюдение за трафиком (« Сколько автобусов отправилось отсюда туда? »), С помощью sFlow вы просто делаете снимки любых автомобилей или автобусов. чтобы пройти в этот конкретный момент.

Вот основные различия между двумя технологиями.

Точность и масштабируемость

Сторонники NetFlow давно утверждают, что NetFlow может быть более точным, чем sFlow. NetFlow агрегирует данные обо всех пакетах в потоки локально на устройстве; таким образом, он не может случайно пропустить разговор, не выбрав соответствующие пакеты. Такая гранулярность NetFlow привлекательна для проверки трафика на отдельном хосте. Легко видеть детали для каждого хоста, замечать локализованные аномалии и исследовать конкретные потоки. Но так как объем трафика возрастает, становится все реже собирать каждый поток. Если вы не делаете выборку, масштабируемость становится проблемой.

Таким образом, sFlow более масштабируем, чем традиционный NetFlow. Тем не менее, выборка имеет недостаток, что могут быть пробелы в видимости. Отобранные пакеты могут не отражать каждый поток (например, короткие пакеты). Для обнаружения и детализации, чтобы исследовать проблемы безопасности, это может быть значительным.

Производительность устройства при больших объемах

Как отмечалось выше, sFlow выполняет минимальную работу на сетевом устройстве по сравнению с NetFlow, который использует ЦП и ОЗУ устройства для реализации кэша потока. Это может стать проблемой для высокоскоростных устройств, где многие разговоры сосредоточены на ссылке. Дополнительная загрузка ЦП в дополнение к «реальной работе», которую выполняет устройство, увеличивается в зависимости от количества потоков в секунду и может потреблять значительную долю ЦП на технический документ Cisco (PDF). В отличие от этого, sFlow обычно выполняет выборку пакетов в ASIC коммутации / маршрутизации, позволяя центральному процессору сетевого устройства сконцентрироваться на своей основной работе..

При объемах в сотни гигабит в секунду, таких как пограничная маршрутизация и большие центры обработки данных, проектирование трафика становится главной задачей; основное внимание уделяется крупномасштабным образцам и резким сдвигам в объеме. Мелкозернистая видимость отдельных хостов становится менее значимой. Теперь выборка начинает становиться явным победителем. Из-за этого NetFlow добавил опцию Sampled NetFlow, которая делает NetFlow масштабируемой – но теряет эту точную высокую степень детализации традиционного NetFlow..

Протокол покрытия

NetFlow – только IP (с некоторой поддержкой уровня 2, добавленной недавно). Таким образом, устаревшие протоколы (например, Appletalk, IPX) и другие не-Интернет-протоколы не отображаются. Напротив, sFlow может покрывать слои со 2 по 7.

Задержка

sFlow может иметь меньшую задержку, чем NetFlow. Устройство, собирающее метрики NetFlow в своем кэше потока, периодически экспортирует их на основе активных и неактивных тайм-аутов. Таким образом, отчеты о недавних и текущих разговорах могут быть отложены в зависимости от времени ожидания. Напротив, sFlow отправляет собранные префиксы пакетов и счетчики в режиме реального времени. Если задержка меньше минуты – и ваши инструменты мониторинга / анализа поддерживают это, sFlow может быть лучшим выбором.

Смотрите также: sFlow – полное руководство по анализаторам sFlow и sFlow

Лучшие бесплатные и платные инструменты NetFlow для Windows

Когда ваша сеть разрастается до такой степени, что увидеть, что происходит, становится сложно, инструменты, использующие NetFlow, могут стать решением. Ниже мы рассмотрим несколько популярных инструментов мониторинга и анализа сетей на базе NetFlow для Windows. Все они сложны, имеют значительную кривую обучения; поэтому онлайн обучение и хорошая поддержка важны.

1. Анализатор NetFlow в реальном времени SolarWinds (БЕСПЛАТНАЯ ЗАГРУЗКА)

SolarWinds выпускает набор продуктов, обеспечивающих всестороннюю поддержку мониторинга и управления сетью. Анализатор NetFlow в реальном времени – это бесплатный инструмент, позволяющий в реальном времени анализировать текущие потоки. Бесплатная версия ориентирована на отображение текущего и недавнего состояния использования полосы пропускания. Он ограничен одним интерфейсом NetFlow и 60 минутами данных. Поддерживаются следующие технологии потоков: NetFlow, Juniper J-Flow, IPFIX и Huawei netstream..

Анализатор сетевого трафика в реальном времени SolarWinds

Анализатор определяет, какие устройства / IP-адреса, приложения и пользователи используют наибольшую пропускную способность. Пользовательский интерфейс отображает входящий и исходящий трафик для выбранного экспортера NetFlow; Трафик можно сортировать и отображать различными способами. Исследователь дерева пользовательского интерфейса суммирует трафик NetFlow, разбивая его на приложения, разговоры, домены, конечные точки и протоколы. Каждый из них может быть расширен в инклюзивный график для детализации для изучения конкретных аспектов. Древовидные представления и графики обновляются в режиме реального времени.

Установка осуществляется с помощью стандартного мастера установки Windows, а NetFlow Configurator включен для помощи в настройке сборщика NetFlow и ваших устройств, которые поддерживают различные варианты NetFlow.

Если ваши ключевые устройства поддерживают NetFlow, и вы ищете простое и понятное окно просмотра для текущего и недавнего использования полосы пропускания, анализатор SolarWinds Real-Time NetFlow отвечает всем требованиям..

Для более мощной и многофункциональной версии, опция SolarWinds for-cost, Network Traffic Analyzer, описана ниже..

Анализатор NetFlow в режиме реального времени SolarWindsСкачать бесплатную версию на SolarWinds.com

Еще один бесплатный инструмент для анализа трафика, который вы можете попробовать, это Пакет инструментов SolarWinds Flow. Это полезный образец сборщика трафика, который использует Cisco NetFlow v5. Помимо сбора образцов трафика, инструмент включает в себя симулятор потока трафика, который позволит вам предварительно просмотреть влияние на сеть дополнительных объемов трафика или изменений в схеме оборудования..

Комплект инструментов SolarWinds Flow Загрузите 100% БЕСПЛАТНО набор инструментов

2. Анализатор трафика SolarWinds NetFlow (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Солнечные Ветры Анализатор трафика NetFlow (NTA) это шаг по стоимости от их бесплатного инструмента, Анализатор трафика NetFlow в реальном времени. NTA является модулем в Монитор производительности сети (NPM), поэтому вы должны учесть затраты и требования к платформе. NTA и NPM доступны в 30-дневном полнофункциональном испытании.

NTA вполне можно назвать анализатором сетевого трафика, так как он обрабатывает не только оригинальный Cisco Netflow, но и многие его варианты от других производителей, а также основной альтернативы NetFlow, sFlow.

После установки NPM и NTA предлагают вам широкий спектр сложных средств для управления сетями разных поставщиков. Это особенности мониторинг пропускной способности, анализ трафика, анализ производительности, оповещения, настраиваемые отчеты, оптимизация политики, и более.

Дисплеи анализатора трафика NetFlow перечислены в разделе «Панели мониторинга».

Анализатор трафика NetFlow собирает данные потока, экспортированные устройствами с поддержкой потока отслеживается программным обеспечением для мониторинга сети SolarWinds.

Сводка по умолчанию NTA

Сводный анализатор трафика NetFlow по умолчанию имеет несколько разделов, например Топ 5 приложений, Топ 5 конечных точек, Топ 5 разговоров, Топ 10 источников по% использования, и т.д.

Глядя на структуру трафика с течением времени

В качестве анализатора потока NTA идентифицирует пользователей, приложения и протоколы, использующие большую часть полосы пропускания. Вы можете сортировать по портам, источникам, пунктам назначения и протоколам, а также просматривать шаблоны трафика за минуты, дни или месяцы.

NTA и NPM являются пакетами корпоративного уровня, поэтому даже бесплатная пробная версия потребляет значительные ресурсы в вашей системе. Если у вас сложная сеть с устройствами с поддержкой NetFlow, возможности NTA стоит изучить. Подробнее о NTA смотрите в нашем Анализатор трафика SolarWinds NetFlow.

Анализатор трафика SolarWinds NetFlowСкачать бесплатную пробную версию на SolarWinds.com

3. ManageEngine NetFlow Analyzer (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

ManageEngine NetFlow Analyzer обеспечивает в реальном времени видимость пропускной способности сети и структуры трафика. Инструмент визуализирует трафик по приложениям, разговорам, протоколам и т. Д.. Оповещения могут быть установлены на основе порогов трафика. Существует множество полезных предопределенных отчетов, начиная от устранения неполадок, ориентированных на планирование емкости и выставление счетов. Пользовательские отчеты о поиске могут быть созданы.

Панель управления ManageEngine NetFlow Analyzer

NetFlow Analyzer имеет набор NetFlow-ориентированных инструментов для управления сложными сетями. Веб-интерфейс пользователя имеет панель инструментов по умолчанию с несколькими круговыми диаграммами в режиме реального времени, включая тепловую карту, показывающую состояние отслеживаемых интерфейсов, основные приложения, лучшие протоколы, основные разговоры, последние тревоги, лучшие QoS и многое другое..

При наведении курсора на графическое изображение обычно появляется всплывающее окно с пояснениями, а при щелчке мышью по любой графической детализации отображается дополнительная информация о выбранном элементе. Есть специальные дисплеи для выявления проблем безопасности. Приборные панели настраиваются.

ManageEngine Alerts и статус безопасности

Оповещения отображаются в виде всплывающих окон в пользовательском интерфейсе. Многосайтовый трафик может быть проанализирован; есть приложение для смартфона для мобильного мониторинга и оповещения.

Поддерживаемые технологии потока включают Поток данных, передающихся по сети, IPFIX, J-Flow, NetStream, и несколько других. Этот инструмент использует расширенные функции устройств Cisco, включая поддержку настройки трафика и политик QoS в вашей сети..

ManageEngine NetFlow Analyzer предоставляет ряд возможностей для управления сложными сетями, интенсивно использующими NetFlow. Бесплатная версия позволяет неограниченный мониторинг в течение 30 дней, но затем возвращается к мониторингу только двух интерфейсов. ManageEngine имеет множество сопутствующих продуктов, которые выходят за рамки анализа трафика NetFlow и превращаются в полный пакет управления сетью. Вы можете скачать 30-дневную бесплатную пробную версию.

ManageEngine NetFlow AnalyzerСкачать 30-дневную БЕСПЛАТНУЮ пробную версию

4. Paessler PRTG Сетевой монитор

Paessler PRTG Сетевой монитор представляет собой решение, включающее батареи контролирует использование полосы пропускания, доступность и здоровье устройств в вашей сети и многое другое. PRTG может контролировать несколько сайтов, WAN, VPN, и облачные сервисы. Бесплатная версия предоставляет неограниченное количество датчиков в течение месяца, а затем ограничивается 100 датчиками; датчик представляет собой отдельный поток данных, поэтому для каждого устройства обычно требуется несколько датчиков.

Дерево устройств PRTG

В пользовательском интерфейсе PRTG Основной вид – это дерево устройств, отображающее все устройства в сети и датчики, контролирующие каждый. К устройствам относятся брандмауэры, маршрутизаторы, точки доступа, серверы, рабочие станции, виртуальные серверы, хранилище и т. Д. Дерево устройств дополняется представлениями таблиц датчиков, журналов и аварийных сигналов, а также различными диаграммами и графиками для пропускной способности и т. Д. Таблицы могут сортировать и фильтровать.

Развертывание в виде дерева показывает показатели и метрики на каждом уровне. Настройки, как интервал сканирования, наследуются и могут быть переопределены на более низких уровнях в дереве устройств. Оповещения также могут быть установлены на каждом уровне, так что вы можете получать уведомления о событиях и пороговых переходах определенного критического устройства или сводить их из общего аспекта вашей сети. Оповещения могут передаваться несколькими способами, включая SMTP-почту и текстовые сообщения SMS.

Абстракция устройств и датчиков также формирует информационные панели и отчеты. Могут быть созданы пользовательские информационные панели, включая интерактивные карты. Существует ряд предопределенных отчетов и средств для создания пользовательских отчетов; отчеты также могут быть запланированы.

Датчик PRTG NetFlow

Средства анализа трафика включают встроенную поддержку NetFlow. Для проточных протоколов PRTG поддерживает NetFlow, sFlow и J-Flow. Другие используемые протоколы / механизмы включают SNMP, WMI и перехват пакетов. Песслер называет эти системы обнаружения, такие как коллектор NetFlow, «датчиками».

Установка проста. Существует мастер настройки, а также видео с пошаговыми инструкциями. При установке локальный зонд главного сервера выполняет автоматическое обнаружение для идентификации устройств и настройки датчиков. Дополнительные датчики (включая коллекторы NetFlow) можно добавлять вручную; видео содержит инструкции.

Главный сервер – только Windows. Мониторинг одного сайта может осуществляться через веб-приложение, но для одновременного просмотра нескольких основных серверов необходимо использовать корпоративное приложение в Windows. Мобильное приложение также предоставляется. Одним из умных дополнений является то, что PRTG предоставляет QR-коды, которые можно вставить на определенные устройства для быстрого поиска и регистрации в мобильном приложении. PRTG поддерживает кластеризацию для обеспечения отказоустойчивости: вы можете настроить отказоустойчивые экземпляры монитора.

Несмотря на то, что PRTG – это все в одном, поэтому вам не нужно несколько продуктов и лицензий для комплексного мониторинга, но ключевым вопросом для оценки является то, сколько датчиков нужно вашей сети, и сколько будет стоить долгосрочная стоимость на основе датчиков. Модель лицензирования по мере роста. Чтобы оценить, вы можете скачать 30-дневную пробную версию программного обеспечения здесь.

5. Nprobe и Ntopng

ntopng является веб-инструментом анализа трафика с открытым исходным кодом, который выполняет пассивный мониторинг сети на основе данных о потоке и статистики, извлеченной из наблюдаемого трафика. ntopng сам захватывает пакет; получение потоковых данных зависит от nProbe, экспортера / сборщика NetFlow / IPFIX. Потоковые протоколы включают NetFlow v9, IPFIX и NetFlow-lite.

Общественная версия ntopng бесплатна. Профессиональная (для малого бизнеса) и корпоративная версии требуют платной лицензии, но бесплатны для образовательных и некоммерческих организаций. nProbe можно тестировать бесплатно, но для полноценной версии требуется платная лицензия. Таким образом, использование данных NetFlow ограничено (если только вы не имеете права на бесплатную лицензию).

потоки ntopng

Веб-интерфейс пользователя ntopng объединяет данные в трафик (например, ведущие), потоки, хосты, устройства и интерфейсы. Большинство категорий имеют несколько представлений, набор диаграмм, таблиц и графиков; и в каждом из них вы можете углубиться в подробности и перекрестные ссылки. Таблицы могут быть отсортированы – например, при выборе столбца пропускной способности в таблице потоков отображаются текущие пользователи с максимальной пропускной способностью.

геолокация хоста ntopng

Дисплей потока показывает протоколы приложений (например, Facebook, YouTube). Задержки и статистика TCP (например, потеря пакетов) отображаются. Наблюдаемые хосты / IP-адреса могут отображаться на карте с помощью геолокации. Оповещения могут быть установлены на хостах на основе многих критериев и будут отображаться в виде значка в пользовательском интерфейсе..

Профессиональная версия может сохранять и отображать историческую статистику использования приложений, осуществлять активный мониторинг через SNMP, создавать пользовательские отчеты о трафике и некоторые другие дополнительные функции..

Установочный пакет для ntopng и nProbe представляет собой zip-файл, содержащий стандартный мастер установки Windows. При необходимости установщик установит winpcap (для сниффинга пакетов).

Поскольку ntopng является открытым исходным кодом, существует множество возможностей для его расширения. Данные можно экспортировать в MySQL, ElasticSearch и LogStash, где они могут быть объединены в отчеты, хранящиеся на вашем сервере Syslog..

6. Plixer Scrutinizer

Plixer Scrutinizer это сложная система анализа трафика, ориентированная на потоки, с особым вниманием к криминалистике безопасности (она называется «Система реагирования на инциденты Scrutinizer»). Он поддерживает как NetFlow, так и sFlow..

Scrutinizer может быть установлен как отдельный физический прибор, как виртуальная машина, работающая на сервере, или как SaaS-решение, работающее в облаке (общедоступный или гибридный). Это сложная система, поэтому даже бесплатная пробная версия на виртуальной машине требует значительных ресурсов (например, 16 ГБ ОЗУ).

Приборная панель Scrutinizer

Scrutinizer разработан для высокой производительности и масштабируемости от малых до очень больших сред. Он предоставляет широкий спектр функций анализа и отчетности.

Пробная версия включает в себя полный доступ в течение 30 дней. После этого в бесплатной версии установлен лимит в 10 000 потоков в секунду, сохраняются пять часов исходных потоков и поддерживается одна неделя хронологических сводок. Платная версия включает в себя уведомления, настройку панели мониторинга, настраиваемые отчеты, запланированные отчеты по электронной почте и поддержку. Стоимость лицензии зависит от выбранной платформы и количества поддерживаемых экспортеров потоков.

7. Nagios XI и Nagios Core

Nagios является постоянным стандартом в мониторинге сети. Nagios Core – это бесплатная версия с открытым исходным кодом, а Nagios XI – это коммерческий недорогой вариант с дополнительными функциями и автоматизированной помощью для настройки. Nagios имеет репутацию мощного, надежного, масштабируемого и чрезвычайно настраиваемого, а также сложного в настройке.

У бесплатной версии есть кривая изучения, но также и активное сообщество. Он контролирует серверы, сервисы и приложения, как и коммерческая версия. Он включает в себя отчеты по электронной почте и SMS, базовый пользовательский интерфейс (включая карту сети) и основные отчеты.

В Nagios Core отсутствует автообнаружение, и вы должны научиться настраивать и поддерживать сложные конфигурации. С другой стороны, он дает вам большую гибкость в настройке и расширении инструмента. Разработанные сообществом дополнения могут выполнить обнаружение и помочь вам начать настройку.

Вы можете использовать бесплатная 60-дневная пробная версия оценить платную версию. Если вы решите воспользоваться бесплатной версией после завершения пробной версии, вы можете сохранить автоматически сгенерированные файлы конфигурации из / usr / local / nagios / etc перед удалением вашей eval-копии. Затем вы можете использовать эти файлы в качестве отправной точки для конфигурации вашей новой установки.

Коммерческая версия Nagios XI обладает более широким набором функций, включая автоматическую поддержку обнаружения ваших устройств и хостов, автоматическую настройку инструмента и коммерчески поддерживаемые дополнения. У него гораздо более сложный пользовательский интерфейс и расширенные отчеты, которые охватывают тенденции, помощь в планировании ресурсов и т. Д..

Nagios XI создан для работы на Red Hat Linux и CentOS. Для Windows используйте устройство VM с Hyper-V или VMware. Он включает в себя инструмент автоматического обнаружения и мастер настройки для добавления нового устройства, хоста или приложения.

Панель управления операциями Nagios

После установки и мониторинга Nagios XI Экран операций дает вам общее представление о текущем состоянии сети, и Операционный центр позволяет перейти к упомянутым пунктам.

Статус хоста Nagios

Состояние хоста На странице отображается сводка метрик для отслеживаемых хостов. Вы можете перейти к отдельному хосту, чтобы увидеть подробности, включая графики производительности, информацию о планировании загрузки, аварийные сигналы и т. Д..

Статус сервиса Nagios

Сервисный статус страница обобщает состояние отслеживаемых услуг.

Nagios является признанным решением для мониторинга сети. Как и в случае с другими инструментами, которые предлагают полностью бесплатный компромисс по сравнению с коммерческой версией, вы должны решить, имеете ли вы (или будете развивать) опыт и время, чтобы использовать бесплатный инструмент, или было бы более выгодно оплачивать автоматизацию и поддержка коммерческой версии.

8. Кентик Детект

Кентик Детект, в отличие от инструментов анализа трафика, описанных выше, это чисто система «программное обеспечение как услуга» (SaaS). Таким образом, он предлагает масштабируемость облака.

Сети растут, и ресурсы локальной сети более важны для успеха. Таким образом, данные о трафике становятся большими данными, и облачные решения для больших данных начинают обретать смысл.

Kentik стремится собирать данные о различных типах данных, обеспечивать единое представление всех этих данных и предоставлять интерфейсы для доступа к данным и интеграции с другими системами. Kentick Detect состоит из пользовательского хранилища временных рядов высокой доступности (Kentik Data Engine) и пользовательского интерфейса (Kentik Portal). Протоколы включают Netflow, IPFIX, sFlow, SNMP и BGP.

Приборная панель Kentik Detect

Kentik Portal – это веб-интерфейс (конечно), который предоставляет растущий диапазон настраиваемых панелей мониторинга..

Панель мониторинга трафика Kentik

Data Explorer позволяет оперативно исследовать собранные сетевые данные. Вы можете быстро детализировать и фильтровать потенциально миллиарды записей, получая представления в виде таблиц и графиков..

Настройка политик для настройки оповещений

Оповещение для уведомления о необычных условиях может быть настроено путем создания политик, определяющих, когда оповещение перейдет в состояние тревоги. Оповещения могут отправляться различными средствами, включая электронную почту, Slack, пейджинг и т. Д..

9. WhatsUp Gold

WhatsUp Gold – это хорошо известный инструмент мониторинга сети от IPSwitch, который многофункциональн, но прост. Он доступен как в бесплатной версии для начинающих, так и в 30-дневной пробной версии для оценки платной версии..

WhatsUp Gold контролирует сетевой трафик, серверы, виртуальные серверы, облачные сервисы и приложения. Бесплатная версия представляет собой бесплатную лицензию на пять пунктов для мониторинга до пяти ресурсов (например, пять серверов).

WhatsUp Gold должен быть установлен в Windows. Установка проста и использует авто-обнаружение. Пользовательский интерфейс предоставляет несколько представлений с интерактивной картой сети и возможностью углубленного изучения проблем..

Просмотр списка WhatsUp Gold

Представление списка WhatsUp Gold показывает обнаруженные хосты и устройства, обобщая их характеристики и статус.

Карта WhatsUp Gold

Представление карты – это интерактивная карта для визуализации компонентов вашей сети и их статусов. Вы можете выполнить детализацию для проверки доступности и производительности отдельных узлов..

Средства анализа трафика работают с широким спектром устройств с поддержкой потоков, включая NetFlow, sFlow, NetFlow-Lite, IPFIX и J-Flow..

Панель анализа трафика WhatsUp Gold

Приборные панели настраиваются. WhatsUp Gold предоставляет множество стандартных отчетов, в том числе отчеты о пропускной способности и использовании; Вы также можете создавать индивидуальные отчеты.

WhatsUp Gold – 10 лучших просмотров

Топ 10 отображает критические статусы в вашей сети.

Вы можете настроить оповещения, чтобы уведомлять вас, когда отправители или получатели превышают пороги пропускной способности, когда интерфейсы превышают пороги использования и т. Д. Существует несколько возможных способов уведомления, включая электронную почту и SMS. Триггерные действия дают возможность автоматически выполнять действия как ответы на предупреждения.

Бесплатная версия WhatsUp Gold – это простой и полнофункциональный инструмент для мониторинга и управления небольшим магазином. Переход на платную версию позволяет перейти к охвату больших сетей.

10. Сверните свое

Возможно, ни один из вышеперечисленных предварительно упакованных анализаторов NetFlow не является достаточно настраиваемым или мощным для удовлетворения ваших потребностей. Возможно, вы уверены, что можете добиться большего, или просто хотите экспериментировать с анализом данных самостоятельно. Есть несколько пакетов для сбора данных и аналитики временных рядов, которые делают это вполне выполнимым. Некоторые из них являются бесплатным программным обеспечением с открытым исходным кодом; некоторые нет. Некоторые могут быть интегрированы с предварительно упакованными анализаторами, такими как Plixer и ntopng..

Вот несколько возможностей, чтобы проверить.

Splunk

Splunk это недорогой пакет для поиска, мониторинга и анализа / визуализации больших данных. Splunk собирает данные в режиме реального времени и предоставляет веб-средства для анализа и визуализации. У Splunk есть надстройка для NetFlow и одна для IPFIX.

ELK / Эластичный стек

ELK Стек – Elasticsearch, Logstash и Kibana – это набор инструментов аналитики с открытым исходным кодом, обычно используемый с данными, которые похожи на сообщения журнала. Elasticsearch – популярный распределенный поисковый и аналитический движок. Logstash – это механизм сбора и анализа данных. Kibana – это инструментальная панель для визуализации данных на основе браузера для аналитики и поиска. Logstash включает в себя кодек для обработки нескольких версий данных NetFlow.

Несколько групп использовали ELK Stack с NetFlow. У Cisco есть руководство для этого, и есть несколько других статей онлайн. Люди создавали системы с использованием стека ELK с другими популярными компонентами, такими как инструмент мониторинга и оповещения распределенной системы Riemann. Альтернативой logstash является свободный.

Телеграф, Influxdb, Хронограф, Kapacitor

Стек TICK от Influxdata – Telegraf, Influxdb, Chronograf и Kapacitor – это набор инструментов с открытым исходным кодом на основе Go для сбора, мониторинга и анализа / визуализации данных метрик временных рядов. Телеграф собирает показатели производительности; InfluxDB – это база данных временных рядов; Chronograf выполняет визуализацию данных InfluxDB в режиме реального времени; и Kapacitor – это механизм потоковой / пакетной обработки данных, который может осуществлять мониторинг и оповещение о просмотрах данных InfluxDB. Стек TICK использовался со статистикой сети из sFlow и SNMP.

Другим мощным инструментом, иногда используемым с Influxdb, является Grafana, пакет с открытым исходным кодом для анализа и визуализации временных рядов. Графана аналогична Кибане, но там, где Кибана ориентирована на лог-сообщения, Графана ориентирована на метрику.

Выбор анализатора NetFlow

В таблице ниже приведена сводка по каждому из этих параметров..

ToolTypePlatformsScalability

1. Анализатор NetFlow в реальном времени SolarWinds	Скачать бесплатно	Windows	SOHO
2. Анализатор трафика SolarWinds NetFlow	Бесплатная пробная версия	Windows	SMB для крупных предприятий
3. ManageEngine NetFlow Analyzer	Бесплатная пробная версия Недорогой инструмент с бесплатной версией для начинающих для небольших магазинов	Windows, Linux	SMB для крупных предприятий
4. Песслер ПТГ	Бесплатная пробная версия Недорогой инструмент с бесплатной версией для начинающих для небольших магазинов	Windows	SMB для крупных предприятий
5. Nprobe и Ntopng	За плату (если не некоммерческий)	Windows, Linux	SMB для крупных предприятий
6. Plixer Scrutinizer	Недорогой инструмент с бесплатной версией для начинающих для небольших магазинов	Аппаратное обеспечение, Windows или Linux VM, SaaS	SMB для крупных предприятий
7. Nagios XI и Core	Бесплатный инструмент с открытым исходным кодом или платный инструмент с поддержкой / улучшениями	Linux или Windows в устройстве VM	SMB для крупных предприятий
8. Кентик Детект	Недорогой инструмент	SaaS	SMB для крупных предприятий
9. WhatsUp Gold	Недорогой инструмент с бесплатной версией для начинающих для небольших магазинов	Windows	SMB для крупных предприятий
10. Сверните свое собственное	Компоненты, платные или бесплатные с открытым исходным кодом	Различная	SMB для крупных предприятий

Доступно множество отличных инструментов для мониторинга сети и анализа трафика. У небольших организаций есть множество бесплатных вариантов, а у крупных или растущих организаций есть много вариантов по стоимости.

В последние годы решения с открытым исходным кодом стали широко применяться для многих типов сетевого программного обеспечения, а также для бизнес-приложений и приложений безопасности. Преимущество проектов с открытым исходным кодом заключается в том, что любой может прочитать код, который управляет программным обеспечением. По этому запросу вы можете быть уверены, что внутри программы нет скрытого вредоносного кода..

Обычно проекты с открытым исходным кодом поддерживаются волонтерами. Преимущество разработанного энтузиастами программного обеспечения заключается в том, что оно может быть отдано бесплатно. Недостатком этой настройки является то, что бесплатными инструментами профессионально не управлять и они могут содержать ошибки. Отсутствие доходов от бесплатного программного обеспечения означает, что организации, которые его поддерживают, не имеют средств, чтобы соответствовать стандартам безопасности или исправлять проблемы с кодом..

Если вы планируете использовать программное обеспечение с открытым исходным кодом для мониторинга и анализа сети, ознакомьтесь с интересующими вас пакетами и тщательно протестируйте их, прежде чем подключать к ним сеть. Рассмотрите возможность оплаты инструментов сетевого анализа, чтобы получить гарантированную производительность, а также поддержку коммерческих организаций, предоставляющих это платное программное обеспечение..

Любой, кто хочет внести свой вклад в обучение, обладает набором мощных компонентов, которые вы можете использовать для развертывания своего собственного решения. Ваш окончательный выбор зависит от размера и сложности вашей сети, опыта, который вы привносите (или хотите развивать), и от того, как вы ожидаете, что ваша сеть будет развиваться в будущем..