Cách tạo dữ liệu netflow trong linux

17

Chúng tôi có một số máy chủ Linux mà tôi muốn thu thập dữ liệu luồng được xử lý bởi bộ phân tích luồng. Tôi đã bị làm hỏng bởi sự dễ dàng trong đó các bộ định tuyến Mikrotik cho phép tạo dữ liệu luồng, nhưng tôi đã không tìm thấy một công cụ mã nguồn mở có thể tạo dữ liệu luồng cho nhiều giao diện trên hệ thống Linux.

Tôi đã đi qua fprobe nhưng nó có vẻ khá lỗi. Phải thừa nhận rằng tôi chưa dành nhiều thời gian cho nó vì tôi cũng muốn đánh giá một số khả năng khác. Công cụ khác mà tôi đã đề cập là nprobe , có vẻ là GPL, nhưng không có sẵn dưới dạng tải xuống miễn phí vì nó chỉ được cung cấp với một khoản phí.

Các máy chủ mà tôi dự định tạo dữ liệu netflow đều là các hệ thống Gentoo, nhưng điều này thực sự không tạo ra sự khác biệt nào. Nhiều nhất nó có nghĩa là tôi sẽ phải tự biên dịch một công cụ từ nguồn.

Tóm tắt: Tôi đang tìm kiếm một trình tạo luồng mạng nguồn mở sẽ hoạt động trên Linux và cho phép nắm bắt các luồng cho nhiều giao diện.

linux  networking  monitoring  linux-networking  netflow 
Richard Keller
nguồn

Câu trả lời:

16

Bạn nên kiểm tra IPT-NETFLOW , có vẻ như chính xác những gì bạn cần triển khai như một mô-đun hạt nhân cho IPTABLES. Nó được tích cực duy trì và sử dụng thành công trong một số ISP vì vậy nên đủ tốt. Tài liệu có thể tốt hơn mặc dù (nhìn vào tệp README).

Ochoto
nguồn
Tôi không thích ý tưởng phải biên dịch các mô-đun hạt nhân tùy chỉnh - có thể ảnh hưởng đến sự ổn định, trừ khi thực sự đó là mô-đun ổn định và được thử nghiệm rất tốt ...
Wim Kerkhoff
Đây không phải là freebsd nơi phần mềm như vậy có thể được phát triển dựa trên các tính năng kernel đã có sẵn như netgraph. Hầu như không có cách nào để làm điều này mà không có một mô-đun tùy chỉnh. Điều tốt (và đó là lý do tại sao tôi đang bình luận) là các nguồn hiện đang có trên github và hiện tại nó cũng có hỗ trợ dkms. Trông khá tốt. github.com/aabc/ipt-netflow
Florian Heigl
8

ntop sẽ làm điều đó, nhưng có lẽ không phải là sự lựa chọn tốt nhất. Chắc chắn kiểm tra pmacct ; nó được thiết kế chính xác cho việc này. Từ danh sách tính năng:

  • Thu thập dữ liệu thông qua libpcap, Netlink / ULOG, NetFlow v1 / v5 / v7 / v8 / - v9, sFlow v2 / v4 / v5 và IPFIX
  • Lưu dữ liệu vào một số bảng phụ trợ bao gồm các bảng bộ nhớ, MySQL, PostgreSQL, SQLite và BerkeleyDB
  • Xuất dữ liệu cho người thu thập từ xa thông qua IPFIX, NetFlow v5 / v9 vàsFlow v5
  • Tái tạo các gói IPFIX, NetFlow và sFlow đến cho các bộ thu từ xa

Trong số nhiều thứ khác.

Wim Kerkhoff
nguồn
0

lợi thế của fprobe là nó có thể tạo ra các luồng Netflow bằng libpcap hoặc ulogd thông thường .

nó hơi cũ hơn một chút và có vẻ như là buggier, nhưng có thể hữu ích để khởi động một thiết lập, vì nó không yêu cầu biên dịch một mô-đun hạt nhân (như ipt-netflow ) và không cung cấp bất kỳ tính năng bổ sung nào (như ntop hoặc pmacct ).

mèo
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.