LinuxルーターでのNetflowの生成とキャプチャ
現在、データセンターには、パブリックネットワークとISP間のゲートウェイルーターとして機能するデュアルNICUbuntuサーバーがあります。 ISPに面したNICに/ 30クロスコネクトネットワークがあり、内部に面したNICに接続された3つのネットワークのそれぞれから1つのIPがあります。
CiscoのNetflowプロトコルを使用して、このサーバーでネットワークトラフィック統計の生成と収集を構成したいと思います。これにより、ISPの請求と、ネットワーク内のデータフローの内訳を確認できます。
トラフィック統計を受動的にキャプチャし、後で処理するために記録するために、どのツールまたはパッケージをお勧めしますか? NetflowコレクターにMySQLデータストアコネクターがある場合の追加ポイント。
Nprobeやfprobeのようなツールを生成するには、他の人が述べているようにうまく機能します。
収集にはnfdump/nfsenが好きです。 mysqlは使用しませんが、機械可読形式でデータを操作して取得するのは非常に簡単です。
Mysqlに完全なnetflowデータが必要ない場合は、通常、集計クエリを実行して要約をmysqlにロードする方が理にかなっています。 mysqlに10,000,000のレコードがあると、作業が面白くなりませんが、(ip、合計フロー、合計バイト、合計パケット)の日次または時間ごとの要約を挿入する方がはるかに効果的です。
nprobe NetFlowジェネレーター
そして私は個人的に flow-tools を使用してフローをディスクに保存し、レポートを生成します。
よろしくK
編集: ここ mysqlにログを記録したり、チャートを作成したりするためのツールは他にもたくさんあります。
argus はnetflowデータを読み取って処理でき、ネットワークフローデータを単独で収集して処理するのに非常に優れています。
通常はデータをネイティブに収集して処理するために使用するか、さまざまなフロータイプ(tcpdumpキャプチャ、netflowなど)を取得して集計と要約にargusを使用するため、netflowデータの作成に使用したことはありません。と分析。
Damien Miller のツール Softflowd と flowd をチェックすることをお勧めします。これらはそれぞれソフトウェアベースのNetFlowエクスポーターとコレクターです。
ソースは利用可能であり、SQLデータベースにデータを格納するためのいくつかの例も含まれています(ツールディレクトリの下のflowinsert.plを参照)。
これらは、特定のタスクを実行するために作成された優れたツールであり、必要に応じてカスタマイズできます。 NetFlow分析を開始するのに適した場所としてそれらをお勧めします。
大量のトラフィック(1Gbitに近づくかそれ以上)がある場合は、 ipt-netflow (構成可能で、NetFlow v6/v9/ipfixをサポート)。 Nprobe、「GPL」および「オープンソース」と記載されていても、以前は推奨されていました商用( 'buyable'のように)。他のソリューションでは、高いパケットレートを処理できない場合があります。