Como gerar dados do netflow no linux

17

Temos vários servidores Linux para os quais gostaria de capturar dados de netflow para serem processados ​​por um analisador de netflow. Fiquei estragado com a facilidade com que os roteadores Mikrotik permitem a geração de dados do netflow, mas não consegui encontrar uma ferramenta de código -fonte capaz de gerar dados do netflow para várias interfaces em um sistema Linux.

Eu me deparei com o fprobe, mas parece bastante incorreto . É certo que ainda não passei muito tempo com isso, pois também gostaria de avaliar algumas outras possibilidades. A outra ferramenta que vi mencionada é o nprobe , que parece ser GPL, mas não está disponível para download gratuito, pois é oferecido apenas por uma taxa.

Os servidores nos quais pretendo gerar dados de fluxo de rede são todos os sistemas Gentoo, mas isso realmente não deve fazer nenhuma diferença. No máximo, isso significa que eu teria que compilar manualmente uma ferramenta da fonte.

Resumo: Estou procurando um gerador de fluxo de rede de código aberto que funcione no Linux e permita capturar fluxos para várias interfaces.

linux networking monitoring linux-networking netflow Richard Keller
fonte

Respostas:

16

Você deve verificar o IPT-NETFLOW , parece exatamente o que você precisa implementado como um módulo do kernel para IPTABLES. Ele é mantido ativamente e usado com êxito em alguns ISPs, portanto deve ser bom o suficiente. A documentação poderia ser melhor (consulte o arquivo README).

Ochoto
fonte
Eu não gosto da idéia de ter que compilar os módulos do kernel personalizado - que podem afetar a estabilidade, a menos que na verdade é um módulo muito bem testado e estável ...
Wim Kerkhoff
Não é no freebsd onde esse software pode ser desenvolvido com base em recursos do kernel já existentes, como o netgraph. Quase nenhuma maneira de fazer isso sem um módulo personalizado. A coisa boa (e é por isso que estou comentando) é que as fontes agora estão no github e também têm suporte para dkms agora. Parece muito bom. github.com/aabc/ipt-netflow
Florian Heigl
8

O ntop fará isso, mas provavelmente não é a melhor escolha. Definitivamente, verifique o pmacct ; foi projetado exatamente para isso. Na lista de recursos:

  • Coleta dados através da libpcap, Netlink / ULOG, NetFlow v1 / v5 / v7 / v8 / - v9, sFlow v2 / v4 / v5 e IPFIX
  • Salva dados em várias infra-estruturas, incluindo tabelas de memória, MySQL, PostgreSQL, SQLite e BerkeleyDB
  • Exporta dados para coletores remotos por IPFIX, NetFlow v5 / v9 e sFlow v5
  • Duplica pacotes IPFIX, NetFlow e sFlow recebidos para coletores remotos

Entre muitas outras coisas.

Wim Kerkhoff
fonte
0

a vantagem de fprobe é que ele pode gerar Netflow fluxos usando regulares libpcap ou ulogd .

é um pouco mais datada, e parece de fato buggier, mas pode ser útil para inicializar uma instalação, uma vez que não requer a compilação de um módulo do kernel (como IPT-netflow ) e não é fornecido todos os recursos adicionais (como o ntop ou pmacct )

anarcat
fonte