NetFlow es un protocolo de red desarrollado por Cisco que anota e informa sobre todas las conversaciones IP que pasan a través de una interfaz. NetFlow tiene estado y funciona en términos de la abstracción llamada fluir: es decir, una secuencia de paquetes que constituye una conversación entre una fuente y un destino, análoga a una llamada o conexión. Si tiene conmutadores y / o enrutadores inteligentes, pueden ser compatibles con NetFlow y puede agregar software o sondas basadas en dispositivos que exporten NetFlow.
Un dispositivo exportador de NetFlow recopila datos sobre el tráfico IP que ingresa / sale del dispositivo; inspecciona los paquetes y los agrupa en flujos mediante la inspección de campos particulares: las direcciones de origen y destino, protocolos, puertos, etc. Los datos sobre los flujos observados se acumulan de los paquetes y se almacenan en caché localmente (en flujo de caché), luego se exporta periódicamente al recopilador en función de los tiempos de espera activos e inactivos. NetFlow por lo tanto solo maneja IP, enfocándose en las capas 3 y 4 de OSI. Su conocimiento de los protocolos IP le permite interpretar paquetes y trabajar en términos de flujos.
Aquí está nuestra lista de los mejores colectores y analizadores de netFlow:
- SolarWinds Real-Time NetFlow Analyzer (DESCARGA GRATUITA) Una herramienta gratuita para el análisis del tráfico de red con los estándares NetFlow, IPFIX, J-Flow y Netstream.
- SolarWinds NetFlow Traffic Analyzer (PRUEBA GRATUITA) El analizador de tráfico de red líder. Se ejecuta en Windows Server.
- ManageEngine NetFlow Analyzer (PRUEBA GRATUITA) Un analizador de tráfico que se instala en Windows Server y Linux e implementa los estándares NetFlow, IPFIX, J-Flow, NetStream.
- Paessler PRTG Sensores NetFlow, sFlow y J-Flow que forman parte de un monitor de red, servidor y aplicación. Se instala en Windows Server.
- Nprobe y ntopng Un sistema de monitoreo de red sencillo en versiones gratuitas y de pago..
- Analizador Plixer Un monitor de actividad de seguridad cibernética que está disponible para la instalación, como un servicio basado en la nube o como un dispositivo.
- Nagios XI y Core Un extenso sistema de monitoreo de red en versiones gratuitas (Nagios Core) y de pago (Nagios XI).
- Kentik Detect Un servicio basado en la nube que puede analizar su tráfico local.
- WhatsUp Gold Un monitor de red que se ejecuta en Windows Server y tiene un módulo adicional de análisis tr4affic.
- Splunk Un sniffer de paquetes conocido y muy respetado que puede recopilar datos mediante análisis a través de herramientas más sofisticadas.
- Pila elástica Herramientas de recopilación y análisis de archivos de registro que se pueden adaptar para trabajar con NetFlow.
- Pila TICK de Influxdata Telegraf, Influxdb, Chronograf y Kapacitor son herramientas de análisis y recopilación de datos de red que pueden usar sFlow y SNMP.
Tipos y extensiones de NetFlow
NetFlow flexible e IPFIX ofrecen la capacidad de tener plantillas extensibles por el proveedor para ajustar el conjunto de campos de paquetes de interés. NetFlow v9 e IPFIX también agregan la capacidad de monitorear los campos de Capa 2. NetFlow muestreado al azar agrega la opción de hacer un muestreo a NetFlow (el muestreo es obligatorio en sFlow).
Las diferencias entre NetFlow y sFlow
Avi Freedman hace una analogía adecuada para monitorear el tráfico de vehículos: “… mientras que NetFlow puede describirse como observar patrones de tráfico (‘¿Cuántos autobuses iban de aquí para allá?’), Con sFlow solo está tomando instantáneas de cualquier automóvil o autobús que suceda pasar en ese momento en particular “.
Estas son las principales diferencias entre las dos tecnologías..
Exactitud y escalabilidad
Los partidarios de NetFlow han argumentado durante mucho tiempo que NetFlow puede ser más preciso que sFlow. NetFlow agrega datos sobre todos los paquetes en flujos locales en el dispositivo; por lo tanto, por casualidad no puede perder una conversación al no probar los paquetes relevantes. Esta granularidad de NetFlow es atractiva para examinar el tráfico con un host individual. Es fácil ver detalles por host, notar anomalías localizadas e investigar flujos particulares. Pero a medida que aumenta el volumen del tráfico, cada vez es menos factible recoger cada flujo. Si no está haciendo un muestreo, la escalabilidad se convierte en un problema.
Por lo tanto, sFlow es más escalable que NetFlow tradicional. Sin embargo, el muestreo tiene el inconveniente de que puede haber brechas en la visibilidad. Los paquetes muestreados pueden no reflejar todos los flujos (por ejemplo, ráfagas cortas). Para detectar y profundizar para investigar problemas de seguridad, esto puede ser significativo.
Rendimiento del dispositivo a grandes volúmenes
Como se señaló anteriormente, sFlow realiza un trabajo mínimo en el dispositivo de red, en comparación con NetFlow, que utiliza la CPU y la RAM del dispositivo para implementar la memoria caché de flujo. Esto puede convertirse en un problema con los dispositivos de alta velocidad donde muchas conversaciones se concentran en un enlace. La carga de CPU adicional sobre el “trabajo real” que el dispositivo está haciendo aumenta en función del número de flujos por segundo, y puede consumir una fracción significativa de la CPU según un documento técnico de Cisco (PDF). Por el contrario, sFlow generalmente hace su muestreo de paquetes en el ASIC de conmutación / enrutamiento, permitiendo que la CPU del dispositivo de red se concentre en su trabajo principal.
A volúmenes de cientos de gigabits por segundo, como en el enrutamiento de borde y grandes centros de datos, la ingeniería de tráfico se convierte en la preocupación central; La atención se centra en patrones a gran escala y cambios bruscos de volumen. La visibilidad detallada de los hosts individuales se vuelve menos significativa. Ahora el muestreo comienza a convertirse en el claro ganador. Debido a esto, NetFlow ha agregado la opción de Sampled NetFlow, que hace que NetFlow sea escalable, pero pierde esa granularidad precisa de NetFlow tradicional.
Cobertura de protocolo
NetFlow es solo IP (con algo de soporte de Capa 2 agregado recientemente). Por lo tanto, los protocolos heredados (por ejemplo, Appletalk, IPX) y otros protocolos que no son de Internet no aparecen. Por el contrario, sFlow puede cubrir las capas 2 a 7.
Latencia
sFlow puede tener una latencia menor que NetFlow. Un dispositivo que recopila métricas de NetFlow en su caché de flujo las exporta periódicamente en función de los tiempos de espera activos e inactivos. Por lo tanto, los informes sobre conversaciones recientes y en curso pueden retrasarse, dependiendo de los tiempos de espera. Por el contrario, sFlow envía los prefijos y contadores de paquetes recopilados en tiempo real. Si la latencia de menos de un minuto es una preocupación, y sus herramientas de monitoreo / análisis lo respaldan, sFlow puede ser la mejor opción.
Ver también: sFlow: la guía definitiva para los analizadores sFlow y sFlow
Las mejores herramientas de NetFlow gratuitas y de pago para Windows
Cuando su red crece hasta el punto de que ver lo que está sucediendo se ha vuelto complicado, las herramientas que aprovechan NetFlow pueden ser la solución. A continuación, observamos varias herramientas populares de análisis y monitoreo de redes basadas en NetFlow para Windows. Todos son sofisticados, tienen una curva de aprendizaje considerable; así que la capacitación en línea y el buen soporte son importantes.
1. SolarWinds Real-Time NetFlow Analyzer (DESCARGA GRATIS)
SolarWinds produce un conjunto de productos que brindan soporte integral para la supervisión y administración de redes. El analizador de NetFlow en tiempo real es una herramienta gratuita que proporciona información en tiempo real sobre sus flujos actuales. La versión gratuita se centra en mostrar el estado actual y reciente de su uso de ancho de banda. Está limitado a una interfaz NetFlow y 60 minutos de datos. Las tecnologías de flujo admitidas incluyen NetFlow, J-Flow de Juniper, IPFIX y netstream de Huawei.
Analizador de tráfico de red en tiempo real de SolarWinds
El analizador identifica qué dispositivos / direcciones IP, aplicaciones y usuarios consumen la mayor cantidad de ancho de banda. La interfaz de usuario muestra el tráfico entrante y saliente para el exportador de NetFlow elegido; El tráfico se puede ordenar y mostrar de varias maneras. El explorador de árbol de la interfaz de usuario resume el tráfico de NetFlow, analizándolo en aplicaciones, conversaciones, dominios, puntos finales y protocolos. Cada uno se puede ampliar en un gráfico inclusivo para profundizar y explorar aspectos particulares. Las vistas de árbol y los gráficos se actualizan en tiempo real.
La instalación se realiza a través de un asistente de configuración estándar de Windows, y el Configurador NetFlow se incluye para ayudar a configurar el recopilador NetFlow y sus dispositivos que admiten varias variantes de NetFlow.
Si sus dispositivos clave son compatibles con NetFlow, y está buscando una vista clara y clara de su uso de ancho de banda actual y reciente, el analizador NetWlow en tiempo real de SolarWinds cumple con los requisitos.
Para una versión más potente y rica en funciones, la opción de costo SolarWinds, el Network Traffic Analyzer, se cubre a continuación..
SolarWinds Real-Time NetFlow AnalyzerDescargue la edición GRATUITA en SolarWinds.com
Otra herramienta gratuita de análisis de tráfico que puedes probar es la Paquete de herramientas de flujo SolarWinds. Este es un recopilador de muestras de tráfico útil que emplea Cisco NetFlow v5. Además de recopilar muestras de tráfico, la herramienta incluye un simulador de flujo de tráfico, que le permitirá obtener una vista previa de los efectos en la red de volúmenes de tráfico adicionales o cambios en el diseño del hardware..
SolarWinds Flow Tool Bundle Descargue el paquete de herramientas 100% GRATUITO
2. SolarWinds NetFlow Traffic Analyzer (PRUEBA GRATIS)
Los vientos solares NetFlow Traffic Analyzer (NTA) es el aumento de costo de su herramienta gratuita, la Analizador de tráfico NetFlow en tiempo real. NTA es un módulo en el Monitor de rendimiento de red (NPM), por lo que debe acomodar los costos y los requisitos de la plataforma de ambos. NTA y NPM están disponibles en una prueba completamente funcional de 30 días.
NTA bien podría llamarse Network Traffic Analyzer ya que maneja no solo el Cisco Netflow original sino muchas de sus variantes de otros fabricantes, así como la alternativa principal de NetFlow, sFlow.
Una vez instalado, NPM y NTA le ofrecen una amplia gama de sofisticadas instalaciones para administrar redes de múltiples proveedores. Cuenta con monitoreo de ancho de banda, Análisis de tráfico, análisis de rendimiento, alertas, informes personalizables, optimización de políticas, y más.
Las pantallas del analizador de tráfico de NetFlow se enumeran en paneles
El analizador de tráfico NetFlow recopila datos de flujo exportados por los dispositivos con flujo habilitado rastreado por el software de monitoreo de red SolarWinds.
Resumen predeterminado de NTA
El resumen predeterminado de NetFlow Traffic Analyzer tiene varias secciones como Las 5 mejores aplicaciones, Los 5 puntos finales principales, Las 5 mejores conversaciones, Las 10 principales fuentes por% de utilización, etc..
Observando los patrones de tráfico a lo largo del tiempo
Como analizador de flujo, NTA identifica a los usuarios, aplicaciones y protocolos que consumen la mayor cantidad de ancho de banda. Puede ordenar por puertos, origen, destino y protocolos, y ver patrones de tráfico en minutos, días o meses..
NTA y NPM son paquetes de nivel empresarial, por lo que incluso la versión de prueba gratuita consumirá recursos considerables en su sistema. Si tiene una red sofisticada con dispositivos habilitados para NetFlow, vale la pena explorar las capacidades de NTA. Para obtener detalles sobre NTA, consulte nuestro Análisis del analizador de tráfico SolarWinds NetFlow.
SolarWinds NetFlow Traffic AnalyzerDescargue una prueba GRATUITA en SolarWinds.com
3. ManageEngine NetFlow Analyzer (PRUEBA GRATUITA)
los Analizador ManageEngine NetFlow proporciona visibilidad en tiempo real del ancho de banda de la red y los patrones de tráfico. La herramienta visualiza el tráfico por aplicaciones, conversaciones, protocolos, etc.. Las alertas se pueden configurar en función de los umbrales de tráfico. Hay una variedad de informes predefinidos útiles, que van desde la resolución de problemas orientada a la planificación de la capacidad y la facturación. Se pueden crear informes de búsqueda personalizados.
Panel de control de ManageEngine NetFlow Analyzer
NetFlow Analyzer tiene un conjunto de herramientas orientadas a NetFlow para administrar redes complejas. La interfaz de usuario basada en la web tiene un tablero predeterminado con varios gráficos circulares en tiempo real, incluido un mapa de calor que muestra el estado de las interfaces monitoreadas, las principales aplicaciones, los principales protocolos, las principales conversaciones, las alarmas recientes, la QoS principal y más.
Pasar el cursor sobre un gráfico generalmente proporciona una ventana emergente explicativa, y al hacer clic en cualquier gráfico se profundiza para obtener más detalles sobre el elemento seleccionado. Existen pantallas específicas para detectar problemas de seguridad. Los paneles son personalizables.
Administrar alertas de motores y estado de seguridad
Las alertas se muestran como ventanas emergentes en la interfaz de usuario. El tráfico de sitios múltiples puede ser analizado; hay una aplicación para teléfonos inteligentes para monitoreo y alertas móviles.
Las tecnologías de flujo admitidas incluyen NetFlow, IPFIX, J-Flow, NetStream, Y varios otros. La herramienta aprovecha las funciones avanzadas de los dispositivos Cisco, incluida la compatibilidad para ajustar la configuración del tráfico y las políticas de QoS en su red.
El analizador ManageEngine NetFlow proporciona una gama de capacidades para administrar redes complejas haciendo un uso intensivo de NetFlow. La versión gratuita permite un monitoreo ilimitado durante 30 días, pero luego vuelve a monitorear solo dos interfaces. ManageEngine tiene una variedad de productos relacionados para expandirse más allá del análisis orientado al tráfico de NetFlow en un conjunto completo de administración de red. Puede descargar una prueba gratuita de 30 días.
ManageEngine NetFlow Analyzer: descargue una prueba GRATUITA de 30 días
4. Monitor de red Paessler PRTG
los Paessler PRTG Network Monitor es una solución de “baterías incluidas” que monitorea la utilización del ancho de banda, el disponibilidad y el estado de los dispositivos en su red, y más. PRTG puede monitorear múltiples sitios, PÁLIDO, VPN, y servicios en la nube. La versión gratuita proporciona sensores ilimitados durante un mes, y luego se limita a 100 sensores; un sensor es un flujo de datos individual, por lo que cada dispositivo generalmente requerirá varios sensores.
Árbol de dispositivos PRTG
En la interfaz de usuario de PRTG, un La vista principal es el árbol de dispositivos que muestra todos los dispositivos en su red y los sensores que monitorean cada uno. Los dispositivos incluyen firewalls, enrutadores, puntos de acceso, servidores, estaciones de trabajo, servidores virtuales, almacenamiento, etc. El árbol de dispositivos se complementa con vistas de tabla de sensores, registros y alarmas, así como varios cuadros y gráficos para el ancho de banda, etc. Las tablas pueden ser ordenado y filtrado.
La profundización a través de la vista de árbol revela indicadores y métricas en todos los niveles. Configuraciones, como intervalo de escaneo, se heredan y pueden anularse en niveles inferiores en el árbol de dispositivos. Las alertas se pueden configurar de manera similar en todos los niveles, para que pueda coordinarse para recibir notificaciones sobre eventos y transiciones de umbral de un dispositivo crítico en particular, o desde un aspecto general de su red. Las alertas se pueden transmitir de varias maneras, incluido el correo electrónico SMTP y los mensajes de texto SMS..
La abstracción de dispositivos y sensores también da forma a los paneles e informes. Se pueden crear paneles personalizados, incluidos mapas interactivos. Existe una gama de informes predefinidos e instalaciones para diseñar informes personalizados; los informes también se pueden programar.
Sensor PRTG NetFlow
Las instalaciones de análisis de tráfico incluyen soporte incorporado de NetFlow. Para los protocolos de flujo, PRTG admite NetFlow, sFlow y J-Flow. Otros protocolos / mecanismos utilizados incluyen SNMP, WMI y rastreo de paquetes. Paessler llama a estos sistemas de detección, como el colector NetFlow, “sensores”.
La instalación es sencilla. Hay un asistente de configuración, así como un video que proporciona una guía paso a paso. En la instalación, la sonda local del servidor central realiza un descubrimiento automático para identificar dispositivos y configurar sensores. Se pueden agregar sensores adicionales (incluidos los colectores NetFlow) manualmente; un video proporciona instrucciones.
El servidor central es solo Windows. El monitoreo de un solo sitio se puede hacer a través de la aplicación web, pero la vista simultánea de varios servidores centrales requiere el uso de la aplicación empresarial en Windows. También se proporciona una aplicación móvil. Una adición inteligente es que PRTG proporciona códigos QR que se pueden pegar en dispositivos particulares para una búsqueda rápida y un estado en la aplicación móvil. PRTG admite la agrupación en clústeres para la tolerancia a fallos: puede configurar instancias de conmutación por error del monitor.
Aunque PRTG es todo en uno, por lo que no necesita múltiples productos y licencias para obtener un monitoreo integral, una pregunta clave para evaluar es cuántos sensores necesita su red y cuál será el costo a largo plazo del sensor basado modelo de licencia a medida que crece. Para evaluar, puede descargar una versión de prueba de 30 días del software aquí.
5. Nprobe y ntopng
ntopng es una herramienta de análisis de tráfico de código abierto basada en la web que realiza un monitoreo pasivo de la red basado en datos de flujo y estadísticas extraídas del tráfico observado. ntopng hace que el paquete se capture a sí mismo; para recibir datos de flujo depende de nProbe, un exportador / recolector NetFlow / IPFIX. Los protocolos de flujo incluyen NetFlow v9, IPFIX y NetFlow-lite.
La versión comunitaria de ntopng es gratuita. Las versiones profesional (pequeña empresa) y empresarial requieren una licencia paga, pero son gratuitas para organizaciones educativas y sin fines de lucro. nProbe se puede probar de forma gratuita, pero una versión completamente funcional requiere una licencia paga. Por lo tanto, el uso de los datos de NetFlow es limitado (a menos que califique para una licencia gratuita).
ntopng fluye
La interfaz de usuario basada en la web de ntopng acumula datos en tráfico (p. ej., principales conversadores), flujos, hosts, dispositivos e interfaces. La mayoría de las categorías tienen múltiples vistas, una combinación de cuadros, tablas y gráficos; y en cada uno puede profundizar para explorar en profundidad y hacer referencias cruzadas. Las tablas se pueden ordenar, por ejemplo, al seleccionar la columna de rendimiento en la tabla de flujos se muestran los usuarios actuales de ancho de banda superior.
ntopng geolocalización del host
La pantalla de flujo muestra los protocolos de aplicación (por ejemplo, Facebook, YouTube). Se muestran las latencias y las estadísticas de TCP (por ejemplo, pérdida de paquetes). Los hosts / direcciones IP observadas se pueden mostrar en un mapa mediante geolocalización. Las alertas se pueden configurar en los hosts según muchos criterios, y se mostrarán como un icono en la interfaz de usuario.
La versión profesional puede guardar y mostrar estadísticas históricas de uso de aplicaciones, realizar un monitoreo activo a través de SNMP, generar informes de tráfico personalizados y varias otras características adicionales.
El paquete de instalación para ntopng y nProbe es un archivo zip que contiene un asistente de configuración estándar de Windows. El instalador instalará winpcap (para el rastreo de paquetes) si es necesario.
Como ntopng es de código abierto, existe un margen considerable para extenderlo. Los datos se pueden exportar a MySQL, ElasticSearch y LogStash, donde se pueden combinar en los informes almacenados por su servidor Syslog.
6. Analizador Plixer
Analizador Plixer es un sofisticado sistema de análisis de tráfico orientado al flujo con un enfoque particular en el análisis forense de seguridad (se llama “Sistema de respuesta a incidentes de escrutinio”). Es compatible con NetFlow y sFlow.
Escrutador se puede instalar como un dispositivo físico dedicado, como una máquina virtual que se ejecuta en un servidor, o como una solución SaaS que se ejecuta en la nube (público o híbrido). Es un sistema sofisticado, por lo que incluso la prueba gratuita en una máquina virtual requiere recursos considerables (por ejemplo, 16 GB de RAM dedicados).
Panel de control
Scrutinizer está diseñado para un alto rendimiento y escalabilidad de entornos pequeños a muy grandes. Proporciona una amplia gama de funciones de análisis e informes..
La prueba incluye acceso completo durante 30 días. Después de eso, la versión gratuita tiene un límite de 10K flujos recolectados por segundo, se mantienen cinco horas de flujos brutos y se mantiene una semana de resúmenes históricos. La versión paga incluye notificaciones, personalización del tablero, informes personalizados, informes de correo electrónico programados y soporte. El precio de la licencia depende de la plataforma elegida y del número de exportadores de flujo que se admitirán.
7. Nagios XI y Nagios Core
Nagios es un estándar duradero en el monitoreo de redes. Nagios Core es la versión gratuita de código abierto, y Nagios XI es la variante comercial de costo con características adicionales y asistencia automatizada para la configuración. Nagios tiene fama de ser potente, confiable, escalable y extremadamente personalizable, y de ser complejo de configurar.
La versión gratuita tiene una curva de aprendizaje pero también una comunidad activa. Monitorea servidores, servicios y aplicaciones, al igual que la versión comercial. Incluye informes por correo electrónico y SMS, una interfaz de usuario básica (incluido el mapa de red) e informes básicos.
Nagios Core carece de autodescubrimiento, y debe aprender a configurar y mantener configuraciones complejas. En el lado positivo, le brinda mucha flexibilidad para personalizar y extender la herramienta. Los complementos desarrollados por la comunidad pueden realizar descubrimientos y ayudarlo a comenzar con la configuración.
Puedes usar el prueba gratuita de 60 días para evaluar la versión de costo. Si elige usar la versión gratuita cuando finalice la prueba, puede guardar los archivos de configuración generados automáticamente desde / usr / local / nagios / etc antes de desinstalar su copia de evaluación. Luego puede usar esos archivos como punto de partida para la configuración de su nueva instalación.
La versión comercial Nagios XI tiene una gama más amplia de características, que incluyen soporte automatizado para descubrir sus dispositivos y hosts, configurar automáticamente la herramienta y complementos compatibles comercialmente. Tiene una interfaz de usuario mucho más sofisticada e informes más avanzados que cubren tendencias, asistencia de planificación de capacidad, etc..
Nagios XI está diseñado para ejecutarse en Red Hat Linux y CentOS. Para Windows, use un dispositivo VM con Hyper-V o VMware. Incluye una herramienta de descubrimiento automático y un asistente de configuración para agregar un nuevo dispositivo, host o aplicación.
Panel de operaciones de Nagios
Una vez que Nagios XI está instalado y monitoreado, el Pantalla de operaciones le brinda una vista de alto nivel del estado actual de la red, y el Centro de operaciones le permite profundizar en los elementos mencionados.
Estado del host de Nagios
los Estado del host La página muestra un resumen de las métricas para los hosts supervisados. Puede profundizar en un host individual para ver detalles que incluyen gráficos de rendimiento, información de planificación de capacidad, alarmas, etc..
Estado del servicio Nagios
los Estado del servicio la página resume el estado de los servicios monitoreados.
Nagios es una solución bien considerada para el monitoreo de redes. Al igual que con otras herramientas que ofrecen una versión comercial totalmente gratuita frente a una versión comercial, debe decidir si tiene (o desarrollará) la experiencia y el tiempo para usar la herramienta gratuita, o si sería más rentable pagar por la automatización y soporte de la versión comercial.
8. Kentik Detect
Kentik Detect, en contraste con las herramientas del analizador de tráfico anteriores, es un sistema de software como servicio (SaaS) puro. Como tal, ofrece la escalabilidad de la nube.
Las redes están creciendo y los recursos de red fuera de las instalaciones son más vitales para el éxito. Por lo tanto, los datos de tráfico se están convirtiendo en big data, y las soluciones de big data basadas en la nube comienzan a tener sentido.
Kentik tiene como objetivo capturar los detalles de múltiples tipos de datos, proporcionar una vista unificada de todos ellos y proporcionar interfaces para acceder a los datos e integrarse con otros sistemas. Kentick Detect se compone de un almacén de datos personalizado de alta disponibilidad de series temporales (Kentik Data Engine) y una interfaz de usuario (Kentik Portal). Los protocolos incluyen Netflow, IPFIX, sFlow, SNMP y BGP.
Un tablero de Kentik Detect
Kentik Portal es una interfaz basada en web (por supuesto) y proporciona una gama cada vez mayor de paneles configurables.
Panel de información general del tráfico de Kentik
El Explorador de datos permite la exploración ad-hoc de los datos de red recopilados. Puede profundizar y filtrar rápidamente miles de millones de registros, obteniendo vistas en forma de tablas y gráficos..
Establecer políticas para configurar alertas
Las alertas para notificarle sobre condiciones inusuales se pueden configurar mediante la creación de políticas que definan cuándo una alerta entrará en estado de alarma. Las alertas pueden ser enviadas por varios medios, incluido el correo electrónico, Slack, paginación, etc..
9. WhatsUp Gold
WhatsUp Gold es una conocida herramienta de monitoreo de red de IPSwitch que tiene muchas funciones pero es sencilla. Está disponible en una edición de inicio gratuita y una versión de prueba de 30 días para evaluar el pago..
WhatsUp Gold monitorea el tráfico de red, servidores, servidores virtuales, servicios en la nube y aplicaciones. La versión gratuita es una licencia gratuita de cinco puntos para monitorear hasta cinco recursos (por ejemplo, cinco servidores).
WhatsUp Gold debe estar instalado en Windows. La configuración es simple y utiliza el descubrimiento automático. La interfaz de usuario proporciona múltiples vistas con un mapa de red interactivo y la capacidad de profundizar para investigar problemas..
Vista de lista de WhatsUp Gold
La vista de lista de WhatsUp Gold muestra los hosts y dispositivos descubiertos, resumiendo sus características y estado.
Vista del mapa de WhatsUp Gold
La vista de mapa es un mapa interactivo para visualizar los componentes de su red y sus estados. Puede profundizar para inspeccionar la disponibilidad y el rendimiento de nodos individuales.
Las instalaciones de análisis de tráfico funcionan con una amplia gama de dispositivos habilitados para flujo, incluidos NetFlow, sFlow, NetFlow-Lite, IPFIX y J-Flow.
Panel de análisis de tráfico de WhatsUp Gold
Los paneles son personalizables. WhatsUp Gold proporciona muchos informes enlatados, incluidos informes de ancho de banda y utilización; también puede diseñar informes personalizados.
La vista de los 10 mejores de WhatsUp Gold
La vista superior 10 muestra estados críticos en su red.
Puede configurar alertas para que le notifiquen cuando los remitentes o receptores exceden los umbrales de ancho de banda, cuando las interfaces exceden los umbrales de utilización, etc. Existen varios métodos posibles para la notificación, incluidos correo electrónico y SMS. Las acciones activadas brindan la capacidad de ejecutar acciones automáticamente como respuestas a alertas.
La edición gratuita de WhatsUp Gold es una herramienta sencilla y con todas las funciones para monitorear y administrar una pequeña tienda. Graduarse a la versión gratuita le permite pasar a cubrir redes grandes.
10. Ruede el suyo
Quizás ninguno de los analizadores NetFlow preempaquetados anteriores sea lo suficientemente personalizable o lo suficientemente potente como para satisfacer sus necesidades. Tal vez esté seguro de que puede hacerlo mejor o simplemente desee experimentar con el análisis de los datos usted mismo. Hay varios paquetes disponibles para la captura de datos y análisis de series de tiempo que lo hacen bastante factible. Varios son software libre de código abierto; algunos no lo son. Algunos pueden integrarse con analizadores preenvasados, como Plixer y ntopng.
Aquí hay algunas posibilidades para ver.
Splunk
Splunk es un paquete de costo para buscar, monitorear y analizar / visualizar grandes datos. Splunk captura datos en tiempo real y proporciona instalaciones basadas en web para el análisis y la visualización. Splunk tiene un complemento para NetFlow y uno para IPFIX.
El ELK / Pila elástica
los ALCE Pila – Elasticsearch, Logstash y Kibana – es un conjunto de herramientas de análisis de código abierto que generalmente se usa con datos que se parecen a los mensajes de registro. Elasticsearch es un popular motor distribuido de búsqueda y análisis. Logstash es un motor de recopilación de datos y análisis de registros. Kibana es un panel de visualización de datos basado en navegador para análisis y búsqueda. Logstash incluye un códec para procesar múltiples versiones de datos de NetFlow.
Varios grupos han usado ELK Stack con NetFlow. Cisco tiene una guía para hacerlo, y hay varios otros artículos en línea. La gente ha construido sistemas que utilizan la pila ELK con otros componentes populares, como la herramienta de monitoreo y alerta del sistema distribuido de Riemann. Una alternativa a logstash es fluida.
Telegraf, Influxdb, Chronograf, Kapacitor
TICK Stack de Influxdata – Telegraf, Influxdb, Chronograf y Kapacitor – es un conjunto de herramientas de código abierto basadas en Go para capturar, monitorear y analizar / visualizar datos de métricas de series temporales. Telegraf recopila métricas de rendimiento; InfluxDB es una base de datos de series de tiempo; Chronograf realiza la visualización en tiempo real de los datos de InfluxDB; y Kapacitor es un motor de procesamiento de datos de transmisión / lote que puede monitorear y alertar las vistas de datos de InfluxDB. TICK Stack se ha utilizado con estadísticas de red de sFlow y SNMP.
Otra herramienta poderosa, a veces utilizada con Influxdb es Grafana, un paquete de código abierto para análisis y visualización de series temporales. Grafana es análogo a Kibana, pero donde Kibana está orientado a mensajes de registro, Grafana está orientado a métricas.
Elegir un analizador de NetFlow
La siguiente tabla muestra un resumen de cada una de estas opciones..
| 1. SolarWinds Real-Time NetFlow Analyzer | Descarga gratis | Ventanas | SOHO | |
| 2. SolarWinds NetFlow Traffic Analyzer | Prueba gratis | Ventanas | PYMES a grandes empresas | |
| 3. Analizador ManageEngine NetFlow | Prueba gratis Herramienta gratuita con edición de inicio gratuita para pequeñas tiendas | Windows, Linux | PYMES a grandes empresas | |
| 4. Paessler PRTG | Prueba gratis Herramienta gratuita con edición de inicio gratuita para pequeñas tiendas | Ventanas | PYMES a grandes empresas | |
| 5. Nprobe y ntopng | Por costo (a menos que sea sin fines de lucro) | Windows, Linux | PYMES a grandes empresas | |
| 6. Analizador Plixer | Herramienta gratuita con edición de inicio gratuita para pequeñas tiendas | Dispositivo de hardware, Windows o Linux VM, SaaS | PYMES a grandes empresas | |
| 7. Nagios XI y Core | Herramienta gratuita de código abierto o herramienta gratuita con soporte / mejoras | Linux o en Windows en un dispositivo VM | PYMES a grandes empresas | |
| 8. Kentik Detect | Herramienta de costo | SaaS | PYMES a grandes empresas | |
| 9. WhatsUp Gold | Herramienta gratuita con edición de inicio gratuita para pequeñas tiendas | Ventanas | PYMES a grandes empresas | |
| 10. Ruede el suyo | Componentes, código abierto de pago o gratuito | Varía | PYMES a grandes empresas |
Múltiples herramientas excelentes para monitoreo de red y análisis de tráfico están disponibles. Las organizaciones pequeñas tienen una variedad de opciones gratuitas, y las organizaciones grandes o en crecimiento tienen muchas opciones de costo.
En los últimos años, las soluciones de código abierto se han implementado ampliamente para muchos tipos de software de red y también para aplicaciones comerciales y de seguridad. Un beneficio de los proyectos de código abierto es que cualquiera puede leer el código que impulsa el software. Mediante esa consulta, puede estar seguro de que no hay código malicioso oculto dentro del programa.
Por lo general, los proyectos de código abierto son mantenidos por voluntarios. El beneficio del software desarrollado por entusiastas es que se puede regalar de forma gratuita. La desventaja de esta configuración es que las herramientas gratuitas no se administran profesionalmente y pueden contener errores. La falta de ingresos del software libre significa que las organizaciones que lo mantienen no tienen los fondos para mantenerse al día con los estándares de seguridad o solucionar problemas con el código.
Cuando considere utilizar software de código abierto para el monitoreo y análisis de redes, consulte los paquetes que le interesan y pruébelos a fondo antes de comprometer la red. Considere pagar por las herramientas de análisis de red para obtener un rendimiento garantizado y también el apoyo de las organizaciones comerciales que proporcionan ese software pagado.
Cualquiera que quiera contribuir con el esfuerzo de aprender tiene una caja de herramientas de componentes poderosos que puede usar para desarrollar su propia solución. Su elección final depende del tamaño y la complejidad de su red, la experiencia que aporta (o desea desarrollar) y cómo espera que su red evolucione en el futuro.
NetFlow es un protocolo muy útil para monitorear el tráfico de red y obtener información valiosa sobre las conversaciones IP que pasan a través de una interfaz. Es interesante saber que NetFlow se enfoca en las capas 3 y 4 de OSI y que su conocimiento de los protocolos IP le permite interpretar paquetes y trabajar en términos de flujos. Además, existen diversas herramientas de NetFlow gratuitas y de pago para Windows que pueden ayudar a analizar y recopilar datos de tráfico de red. En general, NetFlow es una herramienta muy útil para administrar y optimizar el rendimiento de la red.