NetFlow – Превъзходно ръководство за NetFlow и NetFlow анализатори

NetFlow - Превъзходно ръководство за NetFlow и NetFlow анализатори

NetFlow е мрежов протокол, разработен от Cisco, който отбелязва и отчита всички IP разговори, преминаващи през интерфейс. NetFlow е състоятелен и работи по отношение на абстракцията, наречена a поток: тоест последователност от пакети, която представлява разговор между източник и дестинация, аналогичен на разговор или връзка. Ако имате интелигентни превключватели и / или маршрутизатори, те може да поддържат NetFlow и можете да добавяте софтуер или базирани на уреди сонди, които експортират NetFlow.

Износител на NetFlow събира данни за IP трафика, влизащ / излизащ от устройството; той проверява пакетите и ги групира в потоци, като инспектира определени полета: източниците и адресите на местоназначение, протоколите, портовете и др. Данните за наблюдаваните потоци се навиват от пакетите и се кешират локално (в кеш на потока), след това той периодично се експортира в колектора въз основа на активни и неактивни изчаквания. По този начин NetFlow обработва само IP, като се фокусира върху OSI Layers 3 и 4. Знанията му за IP протоколите му позволяват да интерпретира пакети и да работи по отношение на потоци.

Ето нашия списък с най-добрите колектори и анализатори netFlow:

  1. SolarWinds NetFlow Анализатор в реално време (БЕЗПЛАТНО ИЗТЕГЛЯНЕ) Безплатен инструмент за анализ на мрежовия трафик със стандартите NetFlow, IPFIX, J-Flow и Netstream.
  2. SolarWinds NetFlow анализатор на трафика (БЕЗПЛАТНА ПРОБА) Водещият анализатор на мрежовия трафик. Работи на Windows Server.
  3. ManageEngine NetFlow Analyzer (БЕЗПЛАТНА ПРОБЛЕМА) Анализатор на трафика, който се инсталира на Windows Server и Linux и използва стандартите NetFlow, IPFIX, J-Flow, NetStream.
  4. Paessler PRTG NetFlow, sFlow и J-Flow сензори, които са част от мрежа, сървър и монитор на приложения. Инсталира се на Windows Server.
  5. Nprobe и ntopng Проста система за мониторинг на мрежата в безплатни и платени версии.
  6. Plixer Scrutinizer Монитор за киберсигурност, който е достъпен за инсталиране, като облачна услуга или като уред.
  7. Nagios XI и Core Обширна мрежа за мониторинг както в безплатната (Nagios Core), така и в платената (Nagios XI) версия.
  8. Kentik Detect Облачна услуга, която може да анализира локалния ви трафик.
  9. WhatsUp Gold Мрежов монитор, който работи на Windows Server и има модул за допълнителен анализ на tr4affic.
  10. Splunk Добре известен и много уважаван sniffer за пакети, който може да събира данни чрез анализ чрез по-сложни инструменти.
  11. Еластичен стек Инструменти за събиране и анализ на регистрационни файлове, които могат да бъдат адаптирани за работа с NetFlow.
  12. TICK стека на Influxdata Telegraf, Influxdb, Chronograf и Kapacitor са инструменти за събиране и анализ на мрежови данни, които могат да използват sFlow и SNMP.

Типове и разширения на NetFlow

Гъвкавият NetFlow и IPFIX предоставят възможността да имат шаблони с възможност за разширяване на доставчици за настройване на набора от интересни полета. NetFlow v9 и IPFIX също добавят възможност за наблюдение на полета на ниво 2. Random Sampled NetFlow добавя опцията за извършване на извадка в NetFlow (извадката е задължителна при sFlow).

Разликите между NetFlow и sFlow

Avi Freedman прави уместна аналогия с наблюдението на движението в автомобила: „… докато NetFlow може да бъде описан като спазване на моделите на движение („ Колко автобуса отидоха оттам дотам? “), С sFlow просто правите снимки на коли или автобуси, които се случват в този конкретен момент. "

Ето основните разлики между двете технологии.

Точност и мащабируемост

Партизаните на NetFlow отдавна твърдят, че NetFlow може да бъде по-точен от sFlow. NetFlow агрегира данни за всички пакети в потоци локално на устройството; по този начин не може по случайност да пропусне разговор, като не пробва съответните пакети. Тази подробност на NetFlow е привлекателна за изследване на трафика с отделен хост. Лесно е да видите подробности за хост, да забележите локализирани аномалии и да разгледате конкретни потоци. Но тъй като гъбите с обем на трафика стават все по-малко осъществими за събиране на всеки поток. Ако не правите вземане на проби, мащабируемостта става проблем.

Следователно sFlow е по-мащабируем от традиционния NetFlow. Въпреки това, вземането на проби има недостатък, че може да има пропуски в видимостта. Взетите проби могат да не отразяват всеки поток (например кратки изблици). За откриване и проучване на проблемите със сигурността това може да е важно.

Производителност на устройството при големи обеми

Както бе отбелязано по-горе, sFlow работи минимално върху мрежовото устройство, в сравнение с NetFlow, който използва процесора и RAM на устройството, за да реализира кеш на потока. Това може да се превърне в проблем с високоскоростни устройства, където много разговори са концентрирани върху връзка. Допълнителното натоварване на процесора отгоре на „истинската работа“, което устройството прави, се увеличава въз основа на броя потоци в секунда и може да изразходва значителна част от процесора на Cisco документ (PDF). За разлика от тях, sFlow обикновено прави пакетната си извадка в ASIC за превключване / маршрутизиране, като позволява на процесора на мрежовото устройство да се концентрира върху основната си задача.

При обеми от стотици гигабита в секунда, например в маршрутизиране на ръбове и големи центрове за данни, трафикът инженеринг става централна грижа; акцентът е върху мащабни модели и резки промени в обема. Фино зърнестата видимост на отделните домакини става по-малко значима. Сега вземането на проби започва да става ясен победител. Поради това NetFlow добави опцията за Sampled NetFlow, което прави NetFlow мащабируем - но губи тази прецизна висока детайлност на традиционния NetFlow.

Покритие на протокола

NetFlow е само IP (с напоследък добавена поддръжка на Layer 2). Следователно наследените протоколи (например Appletalk, IPX) и други не-Интернет протоколи не се показват. За разлика от тях sFlow може да покрие слоеве от 2 до 7.

латентност

sFlow може да има по-ниска латентност от NetFlow. Устройство, което събира NetFlow показатели в кеша на потока, ги изнася периодично въз основа на активни и неактивни времеви изчаквания. По този начин отчетите за скорошни и текущи разговори могат да бъдат забавени, в зависимост от времевите изчаквания. За разлика от тях, sFlow изпраща събрани пакетни префикси и броячи в реално време. Ако закъсненията в подминута са загрижени - и инструментариумът ви за наблюдение / анализ го поддържа - sFlow може да бъде по-добрият избор.

Вижте също: sFlow - Превъзходно ръководство за sFlow и sFlow анализатори

Най-добрите безплатни и платени NetFlow инструменти за Windows

Когато вашата мрежа нарасне до степен, че виждането на случващото се е станало трудно, инструментите, използващи NetFlow, могат да бъдат решението. По-долу разглеждаме няколко популярни мрежови инструмента за наблюдение и анализ на мрежата за NetFlow за Windows. Всички са сложни, със значителна крива на обучение; затова онлайн обучението и добрата поддръжка са важни.

1. SolarWinds NetFlow анализатор в реално време (БЕЗПЛАТНО СВАЛЯНЕ)

SolarWinds произвежда набор от продукти, осигуряващи цялостна поддръжка за мониторинг и управление на мрежата. Анализаторът NetFlow в реално време е безплатен инструмент, който предоставя в реално време представа за текущите ви потоци. Безплатната версия е фокусирана върху показване на текущото и скорошното състояние на използването на вашата честотна лента. Той е ограничен до един NetFlow интерфейс и 60 минути данни. Поддържаните технологии на потока включват NetFlow, J-Flow на Juniper, IPFIX и мрежата на Huawei.

Екранна снимка на анализатор на мрежовия трафик в реално време на SolarWinds с дървовидна графика и диаграма, показваща трафик на избран елементSolarWinds Анализатор на мрежовия трафик в реално време

Анализаторът идентифицира кои устройства / IP адреси, приложения и потребители консумират най-голяма честотна лента. Потребителският интерфейс показва входящ и изходящ трафик за избрания износител NetFlow; трафикът може да се сортира и показва по различни начини. Дървообработващият интерфейс на потребителския интерфейс обобщава трафика на NetFlow, анализирайки го в приложения, разговори, домейни, крайни точки и протоколи. Всяка от тях може да бъде разширена в приобщаваща графика за пробиване, за да се проучат определени аспекти. Изгледите и графиките на дърветата се актуализират в реално време.

Инсталирането става чрез стандартен съветник за настройка на Windows и Конфигуратор на NetFlow е включена, за да ви помогне да конфигурирате NetFlow колектора и вашите устройства, които поддържат различни варианти на NetFlow.

Ако вашите ключови устройства поддържат NetFlow, а вие търсите безизразен и ясен изглед в текущото и скорошното ви използване на честотна лента, SolarWinds NetFlow анализаторът в реално време отговаря на сметката..

За по-мощна и богата на функции версия, опцията SolarWinds за цена, анализаторът на мрежовия трафик, е разгледана по-долу.

SolarWinds в реално време NetFlow AnalyzerDownload БЕЗПЛАТНО издание в SolarWinds.com

Друг безплатен инструмент за анализ на трафика, който можете да опитате, е Пакет от инструменти на SolarWinds Flow. Това е полезен колектор за извадка от трафик, който използва Cisco NetFlow v5. Освен че събира проби от трафик, инструментът включва симулатор на трафик на потока, който ще ви позволи да прегледате ефектите в мрежата на допълнителни обеми трафик или промени в хардуерното оформление.

SolarWinds Flow Tool BundleDownload 100% БЕЗПЛАТНО пакет инструменти

2. SolarWinds NetFlow анализатор на трафика (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)

The SolarWinds NetFlow анализатор на трафика (NTA) е стъпката за разходи, получена от безплатния им инструмент, the Анализатор на трафика в реално време NetFlow. NTA е модул в Монитор на ефективността на мрежата (NPM), така че трябва да съобразите разходите и изискванията на платформата и на двете. И NTA, и NPM се предлагат в 30-дневно напълно функционално изпитание.

NTA може да се нарече анализатор на мрежовия трафик оттогава борави не само с оригиналния Cisco Netflow, но и с много от неговите варианти от други производители, както и основната алтернатива на NetFlow, sFlow.

Веднъж инсталирани, NPM и NTA ви предлагат широка гама от усъвършенствани съоръжения за управление на мрежи с много доставчици. Включва мониторинг на честотната лента, анализ на трафика, анализ на изпълнението, Известия, персонализиращи се отчети, оптимизация на политиката, и още.

Екранна снимка, показваща главното табло на SolarWinds Orion, с изведено меню на таблотоДисплеите на анализатора на трафика на NetFlow са изброени в таблата за управление

Анализаторът на трафика на NetFlow събира данни за потока, експортирани от устройствата с активиран поток проследява се от софтуера за наблюдение на мрежата SolarWinds.

Екранна снимка, показваща резюмето по подразбиране на анализатора на трафика на NetFlowРезюме по подразбиране за NTA

Резюмето на анализатора на трафик по подразбиране NetFlow има няколко секции като Топ 5 приложения, Топ 5 крайни точки, Топ 5 разговори, Топ 10 източници по% Използване, и т.н..

Екранна снимка на NetFlow Traffic Analyzer графично показва трафика на най-добрите приложения през последните часовеРазглеждайки моделите на трафика във времето

Като анализатор на потока, NTA идентифицира потребителите, приложенията и протоколите, консумиращи най-голяма честотна лента. Можете да сортирате по портове, източник, местоназначение и протоколи и да преглеждате моделите на трафик за минути, дни или месеци.

NTA и NPM са пакети за корпоративен клас, така че дори безплатната пробна версия ще консумира значителни ресурси във вашата система. Ако имате сложна мрежа с устройства с активиран NetFlow, възможностите на NTA си струва да проучите. За подробности относно NTA вижте нашите Преглед на SolarWinds NetFlow Traffic Analyzer.

SolarWinds NetFlow Traffic AnalyzerDownload БЕЗПЛАТНА пробна версия в SolarWinds.com

3. ManageEngine NetFlow Analyzer (БЕЗПЛАТНА ПРОБА)

Най- ManageEngine NetFlow Analyzer осигурява видимост в реално време на мрежовата честотна лента и моделите на трафик. Инструментът визуализира трафика по приложения, разговори, протоколи и т.н.. Сигналите могат да бъдат зададени въз основа на праговете за трафик. Съществуват различни полезни предварително дефинирани отчети, вариращи от ориентирани към отстраняване на проблеми до планиране на капацитет и таксуване. Могат да се създават персонализирани отчети за търсене.

екрана на таблото за управление на NetFlow анализатора на ManageEngineУправление на таблото за управление на анализатор NetFlow анализатор

NetFlow Analyzer разполага с набор от ориентирани към NetFlow инструменти за управление на сложни мрежи. Уеб базираният потребителски интерфейс има табло за управление по подразбиране с няколко пай диаграми в реално време, включително топлинна карта, показваща състоянието на наблюдавани интерфейси, топ приложения, топ протоколи, топ разговори, скорошни аларми, топ QoS и други.

Задържането на курсора върху графиката обикновено осигурява обяснителен изскачащ прозорец и щракване върху произволна графика до повече подробности за избрания елемент. Има специфични дисплеи за откриване на проблеми със сигурността. Таблата за управление са адаптивни.

снимка на ManageEngine NetFlow Analyzer, показващ актуални сигнали и съобщения за състоянието на сигурносттаManageEngine Alerts и статус на сигурността

Сигналите се показват като изскачащи прозорци на потребителския интерфейс. Трафикът на няколко сайта може да се анализира; има приложение за смартфон за мобилно наблюдение и сигнализиране.

Поддържаните технологии включват NetFlow, IPFIX, J-Flow, NetStream, и няколко други. Инструментът използва разширени функции на устройствата на Cisco, включително поддръжка за регулиране на политиките за оформяне на трафика и QoS във вашата мрежа.

Анализаторът на ManageEngine NetFlow предоставя набор от възможности за управление на сложни мрежи, които използват тежки NetFlow. Безплатната версия позволява неограничен мониторинг за 30 дни, но след това се връща към наблюдение само на два интерфейса. ManageEngine разполага с разнообразни свързани продукти, за да се разшири извън анализа, ориентиран към трафика на NetFlow, в пълен пакет за управление на мрежата. Можете да изтеглите 30-дневна безплатна пробна версия.

ManageEngine NetFlow AnalyzerDownload 30-дневна БЕЗПЛАТНА пробна версия

4. Мрежов монитор на Paessler PRTG

Най- Мрежов монитор на Paessler PRTG е решение с включени батерии, което следи използването на честотната лента, на наличност и здравето на устройствата във вашата мрежа и др. PRTG може да следи множество сайтове, WAN, VPN, и облачни услуги. Безплатната версия предоставя неограничени сензори за месец, а след това е ограничена до 100 сензора; сензорът е индивидуален поток от данни, така че всяко устройство обикновено се нуждае от няколко сензора.

Екранна снимка на PRTG, показваща дърво на устройството и сензори, свързани с всяко устройствоPRTG дърво на устройството

В потребителския интерфейс на PRTG, a Основен изглед е дървото на устройството, показващо всички устройства във вашата мрежа и сензорите, които наблюдават всяко. Устройствата включват защитни стени, рутери, точки за достъп, сървъри, работни станции, виртуални сървъри, съхранение и др. Дървото на устройството се допълва от изгледи на таблици на сензори, дневници и аларми, както и различни диаграми и графики за честотна лента и т.н. Таблици могат да се сортира и филтрира.

Пробиването през изгледа на дървото разкрива индикатори и показатели на всяко ниво. Настройки, като интервал на сканиране, са наследени и могат да бъдат отменени на по-ниски нива в дървото на устройството. Сигналите могат да бъдат зададени по подобен начин на всяко ниво, така че можете да организирате да бъдете уведомявани за събития и преходи на прагове на конкретно критично устройство или да се прехвърлят от общ аспект на вашата мрежа. Сигналите могат да бъдат предавани по много начини, включително SMTP имейл и SMS текстови съобщения.

Абстракцията на устройства и сензори оформя арматурните табла и отчетите също. Могат да се създават персонализирани табла за управление, включително интерактивни карти. Има набор от предварително дефинирани доклади и съоръжения за проектиране на персонализирани отчети; отчетите също могат да бъдат насрочени.

Екранна снимка на PRTG, показваща дисплея за сензора NetFlow - горни говорители, връзки отгоре и т.н.PRTG NetFlow сензор

Средствата за анализ на трафика включват вградена поддръжка на NetFlow. За протоколите на потока PRTG поддържа NetFlow, sFlow и J-Flow. Други използвани протоколи / механизми включват SNMP, WMI и подушване на пакети. Paessler нарича тези системи за откриване, като колектора NetFlow, „сензори“.

Инсталирането е просто. Има съветник за настройка, както и видео, предоставящо стъпка по стъпка ръководство. При инсталирането локалната сонда на основния сървър прави автоматично откриване за идентифициране на устройства и настройване на сензори. Допълнителни сензори (включително NetFlow колектори) могат да се добавят ръчно; видеоклип предоставя инструкции.

Основният сървър е само за Windows. Мониторингът на един сайт може да се извърши чрез уеб приложението, но едновременният изглед на множество основни сървъри изисква използване на корпоративното приложение в Windows. Предлага се и мобилно приложение. Едно умело допълнение е, че PRTG предоставя QR кодове, които могат да бъдат поставени на определени устройства за бързо търсене и статут в мобилното приложение. PRTG поддържа клъстеризиране за поносимост на грешки: можете да настроите случаи на отказ на монитора.

Въпреки че PRTG е всичко в едно, така че не се нуждаете от множество продукти и лицензи, за да придобиете цялостен мониторинг, ключов въпрос за оценка е колко сензори се нуждаят от вашата мрежа и каква ще бъде дългосрочната цена на сензора лицензионен модел, докато растете. За да оцените, можете да изтеглите 30-дневна пробна версия на софтуера тук.

5. Nprobe и ntopng

ntopng е уеб-базиран инструмент за анализ на трафика с отворен код, който извършва пасивен мрежов мониторинг въз основа на данни от потока и статистически данни, извлечени от наблюдавания трафик. ntopng сам пакета улавя; за получаване на данни за потока зависи от nProbe, износител / колектор NetFlow / IPFIX. Потоковите протоколи включват NetFlow v9, IPFIX и NetFlow-lite.

Версията на общността на ntopng е безплатна. Професионалните (малки фирми) и корпоративни версии изискват платен лиценз, но са безплатни за образователни и нестопански организации. nProbe може да бъде тестван безплатно, но напълно работеща версия изисква платен лиценз. Така че използването на данните на NetFlow е ограничено (освен ако не отговаряте на условията за безплатен лиценз).

Екранна снимка на ntopng, показваща списък на потоците и техните характеристикиntopng тече

Уеб базираният потребителски интерфейс на ntopng навива данни в трафик (напр. топ говорители), потоци, хостове, устройства и интерфейси. Повечето категории имат множество изгледи, комбинация от диаграми, таблици и графики; и във всяка от тях можете да проучите задълбочено и да направите препратка. Таблиците могат да бъдат сортирани - така например, избирането на пропускателната колона в таблицата на потоците показва текущите потребители на честотна лента.

Екранна снимка на ntopng, показваща геолокация на хостове на картаntopng хост геолокация

Дисплеят на потока показва протоколи за приложение (например Facebook, YouTube). Показват се статистики за закъснения и TCP (например загуба на пакети). Наблюдаваните хостове / IP адреси могат да бъдат показани на картата чрез геолокация. Сигналите могат да бъдат зададени на хостове въз основа на много критерии и ще се показват като икона в потребителския интерфейс.

Професионалната версия може да запазва и показва исторически статистически данни за използването на приложения, да извършва активно наблюдение чрез SNMP, да генерира потребителски отчети за трафика и няколко други допълнителни функции.

Инсталационният пакет за ntopng и nProbe е zip файл, съдържащ стандартен съветник за настройка на Windows. Инсталаторът ще инсталира winpcap (за пакетиране на пакети), ако е необходимо.

Тъй като ntopng е отворен код, има значителен обхват за разширяването му. Данните могат да бъдат експортирани в MySQL, ElasticSearch и LogStash, където могат да бъдат обединени в отчетите, съхранявани от вашия Syslog сървър.

6. Plixer Scrutinizer

Plixer Scrutinizer е сложна система за анализ на трафика, ориентирана към потока, с особен акцент върху криминалистиката на сигурността (наричана е „Система за реагиране на инциденти от проверка“). Той поддържа както NetFlow, така и sFlow.

Scrutinizer може да бъде инсталиран като специален физически уред, като виртуална машина, работеща на сървър, или като SaaS решение, работещо в облака (обществен или хибриден). Това е сложна система, така че дори безплатната пробна версия на виртуална машина изисква значителни ресурси (например, специални 16 GB RAM).

Екранна снимка на главното табло на ScrutinizerТабло за проверка на проверка

Scrutinizer е проектиран за висока производителност и мащабируемост от малки до много големи среди. Той предоставя богат набор от функции за анализ и отчитане.

Пробният процес включва пълен достъп за 30 дни. След това безплатната версия има ограничение от 10K потоци, събрани в секунда, пет часа запазени сурови потоци и една седмица поддържани исторически обобщения. Платената версия включва известия, персонализиране на таблото, персонализирани отчети, планирани отчети по имейл и поддръжка. Ценообразуването на лицензите зависи от избраната платформа и броя на износителите на потоци, които ще бъдат подкрепени.

7. Nagios XI и Nagios Core

Nagios е траен стандарт в мониторинга на мрежата. Nagios Core е безплатната версия с отворен код, а Nagios XI е търговският вариант за цена с допълнителни функции и автоматизирана помощ за конфигуриране. Nagios има репутация на това, че е мощен, надежден, мащабируем и изключително адаптивен - и е сложен за конфигуриране.

Безплатната версия има крива на обучение, но и активна общност. Той следи сървърите, услугите и приложенията, точно както комерсиалната версия. Тя включва отчитане по имейл и SMS, основен потребителски интерфейс (включително мрежовата карта) и основни отчети.

На Nagios Core липсва автоматично откриване и трябва да се научите да настройвате и поддържате сложни конфигурации. От плюс, той ви дава много гъвкавост за персонализиране и разширяване на инструмента. Разработените от Общността добавки могат да извършат откриване и да ви помогнат да започнете с конфигурирането.

Можете да използвате безплатен 60-дневен пробен период за оценка на версията за разходи. Ако решите да отидете с безплатната версия, когато пробното приключи, можете да запишете автоматично генерираните конфигурационни файлове от / usr / local / nagios / и т.н., преди да деинсталирате вашето копие eval. След това можете да използвате тези файлове като начална точка за конфигурацията на вашата нова инсталация.

Комерсиалната версия Nagios XI има по-богат набор от функции, включително автоматизирана поддръжка за откриване на вашите устройства и хостове, автоматично конфигуриране на инструмента и поддържани от търговската мрежа добавки. Той има много по-сложен потребителски интерфейс и по-усъвършенствано отчитане, което обхваща тенденциите, помощ при планиране на капацитет и др.

Nagios XI е създаден да работи на Red Hat Linux и CentOS. За Windows използвайте VM уред с Hyper-V или VMware. Той включва инструмент за автоматично откриване и съветник за конфигуриране за добавяне на ново устройство, хост или приложение.

Екранна снимка, показваща таблото за операции, което може да бъде показано в операционен центърТабло за управление на Nagios

След като Nagios XI е инсталиран и наблюдава, Екран за операции ви предоставя високо ниво на текущото състояние на мрежата и Оперативен център ви позволява да разгледате посочените елементи.

Екранна снимка, показваща екрана за състоянието на хоста на Nagios, обобщаващ състоянията на хостоветеСъстояние на хоста на Nagios

Най- Състояние на хоста страница показва обобщение на показателите за наблюдаваните хостове. Можете да проверите до отделен хост, за да видите подробности, включително графики за ефективност, информация за планиране на капацитет, аларми и т.н..

Екранна снимка на Nagios, показваща състоянието на услугите, които се наблюдаватСъстояние на услугата Nagios

Най- Състояние на услугата страница обобщава състоянието на наблюдаваните услуги.

Nagios е добре разглеждано решение за мониторинг на мрежата. Както и при други инструменти, които предлагат напълно безплатна срещу комерсиална версия tradeoff, трябва да решите дали имате (или ще развиете) опит и време за използване на безплатния инструмент, или дали би било по-изгодно да платите за автоматизацията и поддръжка на търговската версия.

8. Kentik Detect

Kentik Detect, за разлика от инструментите за анализатор на трафика по-горе, е чиста софтуерна система като услуга (SaaS). Като такъв, той предлага мащабируемостта на облака.

Мрежите се разрастват, а външните мрежови ресурси са по-жизненоважни за успеха. По този начин данните за трафика се превръщат в големи данни и решенията за големи данни, базирани на облаци, започват да имат смисъл.

Kentik има за цел да улови детайлите на множество видове данни, да предостави единен изглед на всички него и да предостави интерфейси за достъп до данните и интегриране с други системи. Kentick Detect се състои от персонализирано хранилище за данни от времеви серии с висока наличност (Kentik Data Engine) и потребителски интерфейс (Kentik Portal). Протоколите включват Netflow, IPFIX, sFlow, SNMP и BGP.

Снимка на табло в уеб базиран потребителски интерфейс на Kentik DetectТабло за управление на Kentik Detect

Порталът Kentik е уеб-базиран интерфейс (разбира се) и осигурява нарастваща гама от конфигурируеми табла за управление.

Екранна снимка, показваща таблото за преглед на трафика на Kentik DetectТабло за преглед на трафика на Kentik

Data Explorer позволява ad-hoc проучване на събраните мрежови данни. Можете бързо да проверите и филтрирате върху потенциално милиарди записи, получавайки изгледи под формата на таблици и графики.

Екранна снимка, показваща таблото за управление на Kentik Detect за задаване на политика, която може да задейства предупреждение.Задаване на правила за конфигуриране на сигнали

Предупреждението за известяване за необичайни условия може да се настрои чрез създаване на правила, които определят кога даден сигнал ще влезе в състояние на аларма. Сигнали могат да бъдат изпращани от различни медии, включително имейл, Slack, пейджинг и т.н..

9. WhatsUp Gold

WhatsUp Gold е добре познат мрежов инструмент за мониторинг от IPSwitch, който все още е богат на функции, но е ясен. Той е достъпен както в безплатно издание за начинаещи, така и в 30-дневен пробен период за оценка на платеното.

WhatsUp Gold следи мрежовия трафик, сървърите, виртуалните сървъри, облачните услуги и приложенията. Безплатната версия е безплатен петточков лиценз за наблюдение на до пет ресурса (например пет сървъра).

WhatsUp Gold трябва да бъде инсталиран на Windows. Настройката е проста и използва автоматично откриване. Потребителският интерфейс предоставя множество изгледи с интерактивна мрежова карта и възможност за подробно проучване на проблеми.

Снимка на екрана на WhatsUp Gold, показващ списък на устройствата в мрежатаПреглед на списъка на WhatsUp Gold

Изгледът на списъка на WhatsUp Gold показва откритите хостове и устройства, обобщавайки техните характеристики и състояние.

Снимка на екрана на WhatsUp Gold, показващ изглед на картата на устройствата и техните връзкиКартографски изглед на WhatsUp Gold

Изгледът на карта е интерактивна карта за визуализиране на компонентите на вашата мрежа и техните състояния. Можете да проучите наличността и работата на отделните възли.

Съоръженията за анализ на трафика работят с широк спектър устройства с активиран поток, включително NetFlow, sFlow, NetFlow-Lite, IPFIX и J-Flow.

Екранна снимка на WhatsUp Gold, показваща таблото за анализ на трафика.WhatsUp Gold табло за анализ на трафика

Таблата за управление са адаптивни. WhatsUp Gold предоставя много доклади за консерви, включително доклади за честотна лента и използване; можете също да проектирате персонализирани отчети.

Екранна снимка на WhatsUp Gold, показваща топ-10 изглед на използване, грешки, трафик и т.н.WhatsUp Gold's top 10 view

Изгледът в топ 10 показва критични състояния във вашата мрежа.

Можете да конфигурирате сигнали, за да ви уведомяват, когато изпращачите или приемниците надвишават праговете на честотна лента, когато интерфейсите надвишават праговете на използване и т.н. Има множество възможни методи за уведомяване, включително имейл и SMS. Задействаните действия дават възможност за автоматично изпълнение на действия като отговори на сигнали.

Безплатното издание на WhatsUp Gold е просто и пълнофункционално средство за наблюдение и управление на малък магазин. Преминаването към версията за разходи ви позволява да преминете към покриване на големи мрежи.

10. Навийте своя собствена

Може би никой от горните предварително опаковани анализатори на NetFlow не е достатъчно персонализиран или мощен, за да отговори на вашите нужди. Може би сте сигурни, че можете да се справите по-добре или просто искате да експериментирате сами с анализирането на данните. Има множество пакети за събиране на данни от времеви серии и анализи, които правят това доста възможно. Няколко са безплатен софтуер с отворен код; някои не са. Някои от тях могат да бъдат интегрирани с предварително пакетирани анализатори, като Plixer и ntopng.

Ето няколко възможности за проверка.

Splunk

Splunk е пакет разходи за търсене, наблюдение и анализ / визуализиране на големи данни. Splunk улавя данни в реално време и предоставя уеб-базирани съоръжения за анализ и визуализация. Splunk има добавка за NetFlow и един за IPFIX.

ELK / ластик

Най- ELK Стека - Elasticsearch, Logstash и Kibana - е набор от инструменти за анализи с отворен код, който обикновено се използва с данни, наподобяващи съобщения в журнала. Elasticsearch е популярна машина за търсене и анализи за разпространение. Logstash е двигател за събиране на данни и анализ на дневника. Kibana е базирана на браузъра табло за визуализация на данни за анализи и търсене. Logstash включва кодек за обработка на множество версии на данни от NetFlow.

Няколко групи са използвали ELK Stack с NetFlow. Cisco има ръководство за това и има няколко други статии онлайн. Хората са изградили системи, използващи ELK Stack с други популярни компоненти, като например инструмента за наблюдение и сигнализиране на разпределената система Riemann. Алтернатива на logstash е свободно.

Telegraf, Influxdb, Chronograf, Kapacitor

TICK Stack на Influxdata - Telegraf, Influxdb, Chronograf и Kapacitor - е набор от Go-базирани инструменти с отворен код за заснемане, наблюдение и анализ / визуализиране на данните от метриките от времеви серии. Telegraf събира показатели за ефективността; InfluxDB е база данни от времеви серии; Chronograf извършва визуализация в реално време на данните на InfluxDB; и Kapacitor е двигател за обработка на поточни / пакетни данни, който може да извършва наблюдение и сигнализиране на изгледи на данни от InfluxDB. TICK стека е използван с мрежови статистики от sFlow и SNMP.

Друг мощен инструмент, използван понякога с Influxdb, е Grafana, пакет с отворен код за анализи и визуализация на времеви серии. Графана е аналог на Кибана, но където Кибана е ориентирана към лог-съобщение, Графана е ориентирана към показатели.

Избор на анализатор на NetFlow

Таблицата по-долу показва обобщение на всяка от тези опции.

ToolTypePlatformsScalability
1. SolarWinds NetFlow анализатор в реално време Безплатно сваляне Windows SOHO
2. SolarWinds NetFlow анализатор на трафика Безплатен пробен период Windows SMB към големи предприятия
3. ManageEngine NetFlow Analyzer Безплатен пробен период

Инструмент за разходи с безплатна версия за начинаещи за малки магазини

Windows, Linux SMB към големи предприятия
4. Paessler PRTG Безплатен пробен период

Инструмент за разходи с безплатна версия за начинаещи за малки магазини

Windows SMB към големи предприятия
5. Nprobe и ntopng Цената (освен с нестопанска цел) Windows, Linux SMB към големи предприятия
6. Plixer Scrutinizer Инструмент за разходи с безплатна версия за начинаещи за малки магазини Хардуерен уред, Windows или Linux VM, SaaS SMB към големи предприятия
7. Nagios XI и Core Безплатен инструмент с отворен код или инструмент за разходи с поддръжка / подобрения Linux или на Windows в VM уред SMB към големи предприятия
8. Kentik Detect Инструмент за разходи SaaS SMB към големи предприятия
9. WhatsUp Gold Инструмент за разходи с безплатна версия за начинаещи за малки магазини Windows SMB към големи предприятия
10. Навийте своя Компоненти, платен или безплатен отворен код Варира SMB към големи предприятия

Налични са множество отлични инструменти за мониторинг на мрежата и анализ на трафика. Малките организации имат набор от безплатни възможности за избор, а големите или разрастващите се организации разполагат с много опции за разходи.

През последните години решенията с отворен код станаха широко внедрени за много видове мрежов софтуер, както и за бизнес и приложения за сигурност. Предимство на проектите с отворен код е, че всеки може да прочете кода, който управлява софтуера. Чрез това запитване можете да сте сигурни, че в програмата няма скрит злонамерен код.

Обикновено проектите с отворен код се поддържат от доброволци. Предимството на разработения от ентусиазъм софтуер е, че той може да се раздаде безплатно. Недостатъкът на тази настройка е, че безплатните инструменти не се управляват професионално и могат да съдържат грешки. Липсата на доходи от безплатен софтуер означава, че организациите, които го поддържат, нямат средства да поддържат стандартите за сигурност или да отстраняват проблеми с кода.

Когато обмисляте да използвате софтуер с отворен код за мониторинг и анализ на мрежата, проверете пакетите, които ви интересуват, и ги тествайте старателно, преди да ангажирате мрежата за него. Помислете за заплащане на инструменти за анализ на мрежата, за да получите гарантирана ефективност, а също и подкрепа от търговските организации, които предоставят този платен софтуер.

Всеки, който иска да допринесе за усилията да научи, разполага с инструментариум от мощни компоненти, които можете да използвате, за да превърнете своето собствено решение. Вашият окончателен избор зависи от размера и сложността на вашата мрежа, експертния опит, който носите (или искате да развиете) и как очаквате вашата мрежа да се развива в бъдеще..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

1 + 7 =

Adblock
detector