NetFlow est un protocole réseau développé par Cisco qui note et rend compte de toutes les conversations IP passant par une interface. NetFlow est dynamique et fonctionne en termes d’abstraction appelée couler: c’est-à-dire une séquence de paquets qui constitue une conversation entre une source et une destination, analogue à un appel ou une connexion. Si vous avez des commutateurs et / ou des routeurs intelligents, ils peuvent prendre en charge NetFlow et vous pouvez ajouter des sondes basées sur des logiciels ou des appliances qui exportent NetFlow.
Un périphérique d’exportation NetFlow collecte des données sur le trafic IP entrant / sortant du périphérique; il inspecte les paquets et les regroupe en flux en inspectant des champs particuliers: les adresses source et de destination, les protocoles, les ports, etc. Les données sur les flux observés sont cumulées à partir des paquets et mises en cache localement (dans le cache de flux), puis il est périodiquement exporté vers le collecteur en fonction des délais d’attente actifs et inactifs. NetFlow ne gère donc que l’IP, en se concentrant sur les couches OSI 3 et 4. Sa connaissance des protocoles IP lui permet d’interpréter les paquets et de travailler en termes de flux.
Voici notre liste des meilleurs collecteurs et analyseurs netFlow:
- Analyseur NetFlow en temps réel de SolarWinds (TÉLÉCHARGEMENT GRATUIT) Un outil gratuit pour l’analyse du trafic réseau avec les normes NetFlow, IPFIX, J-Flow et Netstream.
- SolarWinds NetFlow Traffic Analyzer (ESSAI GRATUIT) L’analyseur de trafic réseau leader. Fonctionne sur Windows Server.
- ManageEngine NetFlow Analyzer (ESSAI GRATUIT) Un analyseur de trafic qui s’installe sur Windows Server et Linux et déploie les normes NetFlow, IPFIX, J-Flow, NetStream.
- Paessler PRTG Capteurs NetFlow, sFlow et J-Flow qui font partie d’un réseau, d’un serveur et d’un moniteur d’application. Installe sur Windows Server.
- Nprobe et ntopng Un système de surveillance réseau simple en versions gratuite et payante.
- Scrutinisateur Plixer Un moniteur d’activité de cybersécurité disponible pour l’installation, en tant que service cloud ou en tant qu’appliance.
- Nagios XI et Core Un système de surveillance de réseau étendu en versions gratuite (Nagios Core) et payante (Nagios XI).
- Kentik Detect Un service basé sur le cloud qui peut analyser votre trafic local.
- WhatsUp Gold Un moniteur réseau qui s’exécute sur Windows Server et dispose d’un module complémentaire d’analyse tr4affic.
- Splunk Un renifleur de paquets bien connu et très respecté qui peut collecter des données par analyse grâce à des outils plus sophistiqués.
- Pile élastique Outils de collecte et d’analyse de fichiers journaux pouvant être adaptés pour fonctionner avec NetFlow.
- TICK Stack d’Influxdata Telegraf, Influxdb, Chronograf et Kapacitor sont des outils de collecte et d’analyse de données réseau qui peuvent utiliser sFlow et SNMP.
Types et extensions NetFlow
Flexible NetFlow et IPFIX offrent la possibilité d’avoir des modèles extensibles par le fournisseur pour peaufiner l’ensemble des champs de paquets d’intérêt. NetFlow v9 et IPFIX ajoutent également la possibilité de surveiller les champs de couche 2. Random Sampled NetFlow ajoute l’option de faire l’échantillonnage à NetFlow (l’échantillonnage est obligatoire dans sFlow).
Les différences entre NetFlow et sFlow
Avi Freedman fait une analogie avec la surveillance du trafic automobile: «… alors que NetFlow peut être décrit comme l’observation des modèles de trafic (« Combien de bus sont allés d’ici à là? »), Avec sFlow, vous prenez simplement des instantanés de toutes les voitures ou bus passer à ce moment-là. “
Voici les principales différences entre les deux technologies.
Précision et évolutivité
Les partisans de NetFlow soutiennent depuis longtemps que NetFlow peut être plus précis que sFlow. NetFlow regroupe les données de tous les paquets en flux localement sur le périphérique; par conséquent, il ne peut pas, par hasard, rater une conversation en omettant d’échantillonner les paquets pertinents. Cette granularité de NetFlow est intéressante pour examiner le trafic avec un hôte individuel. Il est facile de voir les détails par hôte, de remarquer des anomalies localisées et d’étudier des flux particuliers. Mais comme le volume du trafic augmente, il devient de moins en moins possible de collecter chaque flux. Si vous ne faites pas d’échantillonnage, l’évolutivité devient un problème.
sFlow est ainsi plus évolutif que NetFlow traditionnel. Cependant, l’échantillonnage a l’inconvénient qu’il peut y avoir des lacunes de visibilité. Les paquets échantillonnés peuvent ne pas refléter chaque flux (par exemple, de courtes rafales). Pour détecter et analyser les problèmes de sécurité, cela peut être important.
Performances de l’appareil à des volumes élevés
Comme indiqué ci-dessus, sFlow effectue un travail minimal sur le périphérique réseau, par rapport à NetFlow qui utilise le processeur et la RAM du périphérique pour implémenter le cache de flux. Cela peut devenir un problème avec les appareils à haut débit où de nombreuses conversations sont concentrées sur un lien. La charge supplémentaire du processeur en plus du «travail réel» que l’appareil effectue augmente en fonction du nombre de flux par seconde, et peut consommer une fraction importante du processeur par livre blanc Cisco (PDF). En revanche, sFlow effectue généralement son échantillonnage de paquets dans l’ASIC de commutation / routage, permettant au processeur du périphérique réseau de se concentrer sur son travail de base.
À des volumes de centaines de gigabits par seconde, comme dans le routage de périphérie et les grands centres de données, l’ingénierie du trafic devient la préoccupation centrale; l’accent est mis sur les modèles à grande échelle et les changements brusques de volume. La visibilité à grain fin sur les hôtes individuels devient moins importante. L’échantillonnage commence maintenant à devenir le gagnant incontesté. Pour cette raison, NetFlow a ajouté l’option de Sampled NetFlow, ce qui rend NetFlow évolutif – mais perd la granularité élevée et précise de NetFlow traditionnel.
Couverture du protocole
NetFlow est uniquement IP (avec une prise en charge de la couche 2 récemment ajoutée). Ainsi, les protocoles hérités (par exemple, Appletalk, IPX) et d’autres protocoles non Internet n’apparaissent pas. En revanche, sFlow peut couvrir les couches 2 à 7.
Latence
sFlow peut avoir une latence plus faible que NetFlow. Un appareil collectant des métriques NetFlow dans son cache de flux les exporte périodiquement en fonction des délais d’expiration actifs et inactifs. Ainsi, les rapports sur les conversations récentes et en cours peuvent être retardés, en fonction des délais. En revanche, sFlow envoie les préfixes et les compteurs de paquets collectés en temps réel. Si la latence d’une minute est un problème – et que vos outils de surveillance / analyse le prennent en charge – sFlow peut être le meilleur choix.
Voir également: sFlow – Guide ultime des analyseurs sFlow et sFlow
Les meilleurs outils NetFlow gratuits et payants pour Windows
Lorsque votre réseau se développe au point qu’il est devenu difficile de voir ce qui se passe, les outils utilisant NetFlow peuvent être la solution. Ci-dessous, nous examinons plusieurs outils de surveillance et d’analyse de réseau basés sur NetFlow pour Windows. Tous sont sophistiqués, ayant une courbe d’apprentissage considérable; la formation en ligne et un bon support sont donc importants.
1. Analyseur NetFlow en temps réel de SolarWinds (TÉLÉCHARGEMENT GRATUIT)
SolarWinds produit une suite de produits fournissant un support complet pour la surveillance et la gestion du réseau. L’analyseur NetFlow en temps réel est un outil gratuit qui fournit un aperçu en temps réel de vos flux actuels. La version gratuite se concentre sur l’affichage de l’état actuel et récent de votre utilisation de la bande passante. Il est limité à une interface NetFlow et à 60 minutes de données. Les technologies de flux prises en charge incluent NetFlow, J-Flow de Juniper, IPFIX et netstream de Huawei.
Analyseur de trafic réseau en temps réel SolarWinds
L’analyseur identifie les appareils / adresses IP, les applications et les utilisateurs qui consomment le plus de bande passante. L’interface utilisateur affiche le trafic entrant et sortant pour l’exportateur NetFlow choisi; le trafic peut être trié et affiché de différentes manières. L’explorateur d’arborescence de l’interface utilisateur résume le trafic NetFlow, en l’analysant en applications, conversations, domaines, points de terminaison et protocoles. Chacun peut être développé dans un graphique inclusif pour explorer en profondeur des aspects particuliers. Les vues arborescentes et les graphiques sont mis à jour en temps réel.
L’installation se fait via un assistant de configuration standard de Windows et Configurateur NetFlow est inclus pour vous aider à configurer le collecteur NetFlow et vos appareils qui prennent en charge diverses variantes de NetFlow.
Si vos principaux appareils prennent en charge NetFlow et que vous recherchez une fenêtre claire et claire sur votre utilisation actuelle et récente de la bande passante, l’analyseur NetWlow en temps réel de SolarWinds convient parfaitement.
Pour une version plus puissante et riche en fonctionnalités, l’option SolarWinds à prix coûtant, l’analyseur de trafic réseau, est décrite ci-dessous.
SolarWinds NetFlow Analyzer en temps réelTéléchargez l’édition GRATUITE sur SolarWinds.com
Un autre outil gratuit d’analyse du trafic que vous pouvez essayer est le Ensemble d’outils SolarWinds Flow. Il s’agit d’un collecteur d’échantillons de trafic utile qui utilise Cisco NetFlow v5. En plus de collecter des échantillons de trafic, l’outil comprend un simulateur de flux de trafic, qui vous permettra de prévisualiser les effets sur le réseau de volumes de trafic supplémentaires ou de changements dans la configuration matérielle.
Ensemble d’outils SolarWinds FlowTélécharger l’ensemble d’outils 100% GRATUIT
2. SolarWinds NetFlow Traffic Analyzer (ESSAI GRATUIT)
Les SolarWinds Analyseur de trafic NetFlow (NTA) est le pas en avant de leur outil gratuit, le Analyseur de trafic NetFlow en temps réel. NTA est un module du Moniteur de performances réseau (NPM), vous devez donc tenir compte des coûts et des exigences de plate-forme des deux. NTA et NPM sont tous deux disponibles dans un essai entièrement fonctionnel de 30 jours.
NTA pourrait bien être appelé l’analyseur de trafic réseau car il gère non seulement le Cisco Netflow d’origine, mais bon nombre de ses variantes d’autres fabricants, ainsi que l’alternative principale de NetFlow, sFlow.
Une fois installés, NPM et NTA vous offrent une large gamme d’installations sophistiquées pour la gestion de réseaux multi-fournisseurs. Il comporte surveillance de la bande passante, analyse du trafic, analyse de performance, alertes, rapports personnalisables, optimisation des politiques, et plus.
Les affichages de NetFlow Traffic Analyzer sont répertoriés sous Tableaux de bord
L’analyseur de trafic NetFlow rassemble les données de flux exportées par les appareils à flux activé suivi par le logiciel de surveillance du réseau SolarWinds.
Résumé par défaut NTA
Le résumé de l’analyseur de trafic NetFlow par défaut comporte plusieurs sections comme Top 5 des applications, 5 principaux critères d’évaluation, Top 5 des conversations, 10 principales sources par% d’utilisation, etc.
Examiner les modèles de trafic au fil du temps
En tant qu’analyseur de flux, NTA identifie les utilisateurs, les applications et les protocoles consommant le plus de bande passante. Vous pouvez trier par ports, source, destination et protocoles et afficher les modèles de trafic sur plusieurs minutes, jours ou mois.
NTA et NPM sont des packages de niveau entreprise, donc même l’essai gratuit consommera des ressources considérables sur votre système. Si vous disposez d’un réseau sophistiqué avec des appareils compatibles NetFlow, les capacités de NTA méritent d’être explorées. Pour plus de détails sur NTA, consultez notre Test de SolarWinds NetFlow Traffic Analyzer.
SolarWinds NetFlow Traffic AnalyzerTéléchargez la version d’essai GRATUITE sur SolarWinds.com
3. Analyzer ManageEngine NetFlow (ESSAI GRATUIT)
le ManageEngine NetFlow Analyzer offre une visibilité en temps réel sur la bande passante du réseau et les modèles de trafic. L’outil visualise le trafic par applications, conversations, protocoles, etc.. Les alertes peuvent être définies en fonction des seuils de trafic. Il existe une variété de rapports prédéfinis utiles, allant du dépannage orienté à la planification de la capacité et à la facturation. Des rapports de recherche personnalisés peuvent être créés.
Tableau de bord ManageEngine NetFlow Analyzer
L’analyseur NetFlow dispose d’une suite d’outils orientés NetFlow pour gérer des réseaux complexes. L’interface utilisateur basée sur le Web possède un tableau de bord par défaut avec plusieurs graphiques circulaires en temps réel, y compris une carte thermique indiquant l’état des interfaces surveillées, les applications les plus performantes, les protocoles les plus performants, les conversations les plus performantes, les alarmes récentes, la QoS la plus performante, etc..
Passer la souris sur un graphique fournit généralement une fenêtre contextuelle explicative et cliquer sur n’importe quel graphique pour accéder à plus de détails sur l’élément sélectionné. Il y a écrans spécifiques pour détecter les problèmes de sécurité. Les tableaux de bord sont personnalisables.
Alertes ManageEngine et état de sécurité
Les alertes s’affichent sous forme de fenêtres contextuelles sur l’interface utilisateur. Le trafic multisite peut être analysé; il existe une application pour smartphone pour la surveillance et les alertes mobiles.
Les technologies de flux prises en charge incluent NetFlow, IPFIX, J-Flow, NetStream, et plusieurs autres. L’outil exploite les fonctionnalités avancées des appareils Cisco, notamment la prise en charge de l’ajustement de la mise en forme du trafic et des politiques de QoS sur votre réseau.
L’analyseur ManageEngine NetFlow fournit une gamme de capacités pour gérer des réseaux complexes faisant un usage intensif de NetFlow. La version gratuite permet une surveillance illimitée pendant 30 jours, puis revient à la surveillance de seulement deux interfaces. ManageEngine dispose d’une variété de produits connexes pour s’étendre au-delà de l’analyse orientée trafic NetFlow en une suite complète de gestion de réseau. Vous pouvez télécharger un essai gratuit de 30 jours.
ManageEngine NetFlow AnalyzerDownload Essai gratuit de 30 jours
4. Moniteur réseau Paessler PRTG
le Moniteur réseau Paessler PRTG est une solution «piles incluses» qui surveille l’utilisation de la bande passante, le disponibilité et l’intégrité des appareils sur votre réseau, et plus encore. PRTG peut surveiller plusieurs sites, BLÊME, VPN, et services cloud. La version gratuite fournit un nombre illimité de capteurs pendant un mois, puis est limitée à 100 capteurs; un capteur est un flux de données individuel, donc chaque appareil nécessitera généralement plusieurs capteurs.
Arborescence des appareils PRTG
Dans l’interface utilisateur de PRTG, un la vue principale est l’arborescence des appareils montrant tous les appareils de votre réseau et les capteurs qui les surveillent. Les périphériques comprennent des pare-feu, des routeurs, des points d’accès, des serveurs, des postes de travail, des serveurs virtuels, du stockage, etc. L’arborescence des périphériques est complétée par des vues de tableau des capteurs, des journaux et des alarmes, ainsi que divers tableaux et graphiques pour la bande passante, etc. être trié et filtré.
L’exploration dans l’arborescence révèle des indicateurs et des mesures à tous les niveaux. Paramètres, comme intervalle de balayage, sont hérités et peuvent être remplacés à des niveaux inférieurs dans l’arborescence des périphériques. Les alertes peuvent également être définies à tous les niveaux, afin que vous puissiez prendre des dispositions pour être averti des événements et des transitions de seuil d’un périphérique critique particulier, ou regroupés à partir d’un aspect global de votre réseau. Les alertes peuvent être transmises de plusieurs manières, notamment par e-mail SMTP et SMS.
L’abstraction des appareils et capteurs façonne également les tableaux de bord et les rapports. Des tableaux de bord personnalisés peuvent être créés, y compris des cartes interactives. Il existe une gamme de rapports prédéfinis et des fonctionnalités pour la conception de rapports personnalisés; les rapports peuvent également être planifiés.
Capteur PRTG NetFlow
Les fonctions d’analyse du trafic incluent la prise en charge NetFlow intégrée. Pour les protocoles de flux, PRTG prend en charge NetFlow, sFlow et J-Flow. Les autres protocoles / mécanismes utilisés incluent SNMP, WMI et le reniflage de paquets. Paessler appelle ces systèmes de détection, tels que le collecteur NetFlow, des «capteurs».
L’installation est simple. Il y a un assistant de configuration, ainsi qu’une vidéo fournissant des instructions pas à pas. Lors de l’installation, la sonde locale du serveur principal effectue une détection automatique pour identifier les périphériques et configurer les capteurs. Des capteurs supplémentaires (y compris les collecteurs NetFlow) peuvent être ajoutés manuellement; une vidéo fournit des instructions.
Le serveur principal est Windows uniquement. La surveillance d’un seul site peut être effectuée via l’application Web, mais la vue simultanée de plusieurs serveurs principaux nécessite l’utilisation de l’application d’entreprise sous Windows. Une application mobile est également fournie. Un ajout intelligent est que PRTG fournit des codes QR qui peuvent être collés sur des appareils particuliers pour une recherche et un statut rapides dans l’application mobile. PRTG prend en charge le clustering pour la tolérance aux pannes: vous pouvez configurer des instances de basculement du moniteur.
Bien que PRTG soit tout-en-un, vous n’avez donc pas besoin de plusieurs produits et licences pour obtenir une surveillance complète, une question clé à évaluer est le nombre de capteurs dont votre réseau a besoin et quel sera le coût à long terme du capteur basé sur les capteurs. modèle de licence à mesure que vous grandissez. Pour évaluer, vous pouvez télécharger un essai de 30 jours du logiciel ici.
5. Nprobe et ntopng
ntopng est un outil d’analyse de trafic Web open source qui effectue une surveillance passive du réseau basée sur les données de flux et les statistiques extraites du trafic observé. ntopng le paquet se capture-t-il; pour recevoir des données de flux, cela dépend de nProbe, un exportateur / collecteur NetFlow / IPFIX. Les protocoles de flux incluent NetFlow v9, IPFIX et NetFlow-lite.
La version communautaire de ntopng est gratuite. Les versions professionnelle (petite entreprise) et entreprise nécessitent une licence payante, mais sont gratuites pour les organisations éducatives et à but non lucratif. nProbe peut être testé gratuitement, mais une version pleinement fonctionnelle nécessite une licence payante. Ainsi, l’utilisation des données NetFlow est limitée (sauf si vous êtes admissible à une licence gratuite).
flux ntopng
L’interface utilisateur Web de ntopng regroupe les données dans le trafic (par exemple, les principaux orateurs), les flux, les hôtes, les appareils et les interfaces. La plupart des catégories ont plusieurs vues, un mélange de graphiques, de tableaux et de graphiques; et dans chacun, vous pouvez explorer en profondeur et faire des références croisées. Les tables peuvent être triées – ainsi, par exemple, la sélection de la colonne de débit sur la table des flux affiche les utilisateurs actuels de bande passante supérieure.
géolocalisation de l’hôte ntopng
L’affichage du flux affiche les protocoles d’application (par exemple Facebook, YouTube). Les latences et les statistiques TCP (par exemple la perte de paquets) sont affichées. Les hôtes / adresses IP observés peuvent être affichés sur une carte via la géolocalisation. Les alertes peuvent être définies sur les hôtes en fonction de nombreux critères et s’affichent sous forme d’icône dans l’interface utilisateur.
La version professionnelle peut enregistrer et afficher les statistiques historiques d’utilisation des applications, effectuer une surveillance active via SNMP, générer des rapports de trafic personnalisés et plusieurs autres fonctionnalités supplémentaires.
Le package d’installation pour ntopng et nProbe est un fichier zip contenant un assistant d’installation Windows standard. Le programme d’installation installera winpcap (pour renifler les paquets) si nécessaire.
Étant donné que ntopng est open source, il est possible de l’étendre considérablement. Les données peuvent être exportées vers MySQL, ElasticSearch et LogStash, où elles peuvent être fusionnées dans les rapports stockés par votre serveur Syslog.
6. Plixer Scrutinizer
Scrutinisateur Plixer est un système sophistiqué d’analyse du trafic orienté flux avec un accent particulier sur la criminalistique de la sécurité (il est appelé “Scrutinizer Incident Response System”). Il prend en charge NetFlow et sFlow.
Scrutinisateur peut être installé en tant qu’appliance physique dédiée, comme une machine virtuelle fonctionnant sur un serveur, ou en tant que solution SaaS fonctionnant dans le cloud (public ou hybride). C’est un système sophistiqué, donc même l’essai gratuit sur une machine virtuelle nécessite des ressources considérables (par exemple, 16 Go de RAM dédiés).
Tableau de bord Scrutinizer
Scrutinizer est conçu pour des performances et une évolutivité élevées, des petits aux très grands environnements. Il fournit une large gamme de fonctionnalités d’analyse et de reporting.
L’essai comprend un accès complet pendant 30 jours. Après cela, la version gratuite a une limite de 10 000 flux collectés par seconde, cinq heures de flux bruts conservés et une semaine de résumés historiques maintenus. La version payante comprend des notifications, la personnalisation du tableau de bord, des rapports personnalisés, des rapports par e-mail planifiés et une assistance. Le prix des licences dépend de la plateforme choisie et du nombre d’exportateurs de flux à prendre en charge.
7. Nagios XI et Nagios Core
Nagios est une norme durable dans la surveillance de réseau. Nagios Core est la version gratuite open-source, et Nagios XI est la variante commerciale à prix coûtant avec des fonctionnalités supplémentaires et une assistance automatisée pour la configuration. Nagios a la réputation d’être puissant, fiable, évolutif et extrêmement personnalisable – et d’être complexe à configurer.
La version gratuite a une courbe d’apprentissage mais aussi une communauté active. Il surveille les serveurs, les services et les applications, tout comme la version commerciale. Il comprend des rapports par e-mail et SMS, une interface utilisateur de base (y compris la carte du réseau) et des rapports de base.
Nagios Core manque de détection automatique et vous devez apprendre à configurer et à maintenir des configurations complexes. Du côté positif, cela vous donne beaucoup de flexibilité pour personnaliser et étendre l’outil. Les modules complémentaires développés par la communauté peuvent effectuer la découverte et vous aider à démarrer la configuration.
Vous pouvez utiliser le essai gratuit de 60 jours pour évaluer la version à prix coûtant. Si vous choisissez d’utiliser la version gratuite lorsque l’essai est terminé, vous pouvez enregistrer les fichiers de configuration générés automatiquement à partir de / usr / local / nagios / etc avant de désinstaller votre copie eval. Vous pouvez ensuite utiliser ces fichiers comme point de départ pour la configuration de votre nouvelle installation.
La version commerciale Nagios XI dispose d’une gamme de fonctionnalités plus riche, y compris une prise en charge automatisée pour la découverte de vos appareils et hôtes, la configuration automatique de l’outil et des modules complémentaires pris en charge commercialement. Il a une interface utilisateur beaucoup plus sophistiquée et des rapports plus avancés qui couvrent les tendances, l’aide à la planification des capacités, etc..
Nagios XI est conçu pour fonctionner sur Red Hat Linux et CentOS. Pour Windows, utilisez une appliance VM avec Hyper-V ou VMware. Il comprend un outil de détection automatique et un assistant de configuration pour ajouter un nouveau périphérique, hôte ou application.
Tableau de bord des opérations de Nagios
Une fois Nagios XI installé et surveillé, le Écran des opérations vous donne une vue d’ensemble de l’état actuel du réseau, et Centre d’opérations vous permet d’accéder aux éléments mentionnés.
Statut d’hôte Nagios
le Statut d’hôte La page affiche un résumé des mesures pour les hôtes surveillés. Vous pouvez accéder à un hôte individuel pour afficher des détails, notamment des graphiques de performances, des informations sur la planification de la capacité, des alarmes, etc..
Statut du service Nagios
le État du service La page résume l’état des services surveillés.
Nagios est une solution réputée pour la surveillance de réseau. Comme avec les autres outils qui offrent un compromis entre la version entièrement gratuite et la version commerciale, vous devez décider si vous avez (ou développerez) l’expertise et le temps nécessaires pour utiliser l’outil gratuit, ou s’il serait plus rentable de payer pour l’automatisation. et support de la version commerciale.
8. Détection Kentik
Kentik Detect, contrairement aux outils d’analyseur de trafic ci-dessus, il s’agit d’un pur système Software-as-a-Service (SaaS). En tant que tel, il offre l’évolutivité du cloud.
Les réseaux se développent et les ressources réseau hors site sont plus essentielles au succès. Ainsi, les données de trafic deviennent des mégadonnées, et les solutions de mégadonnées basées sur le cloud commencent à prendre tout leur sens.
Kentik vise à capturer les détails de plusieurs types de données, à fournir une vue unifiée de toutes ces données et à fournir des interfaces pour accéder aux données et s’intégrer à d’autres systèmes. Kentick Detect est composé d’un magasin de données chronologiques à haute disponibilité personnalisé (Kentik Data Engine) et d’une interface utilisateur (Kentik Portal). Les protocoles incluent Netflow, IPFIX, sFlow, SNMP et BGP.
Un tableau de bord Kentik Detect
Kentik Portal est une interface Web (bien sûr) et fournit une gamme croissante de tableaux de bord configurables.
Tableau de bord de présentation du trafic Kentik
L’Explorateur de données permet une exploration ad hoc des données réseau collectées. Vous pouvez explorer et filtrer rapidement des milliards d’enregistrements, obtenant des vues sous forme de tableaux et de graphiques.
Définition de stratégies pour configurer les alertes
Une alerte pour vous avertir de conditions inhabituelles peut être configurée en créant des politiques qui définissent quand une alerte entrera en état d’alarme. Les alertes peuvent être envoyées par divers médias, y compris le courrier électronique, Slack, la pagination, etc..
9. WhatsUp Gold
WhatsUp Gold est un outil de surveillance réseau bien connu d’IPSwitch qui est pourtant riche en fonctionnalités. Il est disponible à la fois dans une édition de démarrage gratuite et dans un essai de 30 jours pour évaluer celui payé.
WhatsUp Gold surveille le trafic réseau, les serveurs, les serveurs virtuels, les services cloud et les applications. La version gratuite est une licence gratuite en cinq points pour surveiller jusqu’à cinq ressources (par exemple, cinq serveurs).
WhatsUp Gold doit être installé sur Windows. La configuration est simple et utilise la découverte automatique. L’interface utilisateur fournit plusieurs vues avec une carte de réseau interactive et la possibilité d’explorer pour enquêter sur les problèmes.
Affichage de la liste de WhatsUp Gold
La vue de liste de WhatsUp Gold montre les hôtes et appareils découverts, résumant leurs caractéristiques et leur état.
Vue cartographique de WhatsUp Gold
La vue Carte est une carte interactive pour visualiser les composants de votre réseau et leurs statuts. Vous pouvez effectuer un zoom avant pour inspecter la disponibilité et les performances des nœuds individuels.
Les installations d’analyse du trafic fonctionnent avec une large gamme d’appareils à débit compatible, notamment NetFlow, sFlow, NetFlow-Lite, IPFIX et J-Flow.
Tableau de bord d’analyse du trafic de WhatsUp Gold
Les tableaux de bord sont personnalisables. WhatsUp Gold fournit de nombreux rapports prédéfinis, notamment des rapports sur la bande passante et l’utilisation; vous pouvez également concevoir des rapports personnalisés.
Top 10 des vues de WhatsUp Gold
La vue du top 10 montre les états critiques de votre réseau.
Vous pouvez configurer des alertes pour vous avertir lorsque les expéditeurs ou les récepteurs dépassent les seuils de bande passante, lorsque les interfaces dépassent les seuils d’utilisation, etc. Il existe plusieurs méthodes possibles de notification, notamment les e-mails et les SMS. Les actions déclenchées donnent la possibilité d’exécuter des actions automatiquement en tant que réponses aux alertes.
L’édition gratuite de WhatsUp Gold est un outil simple et complet pour surveiller et gérer une petite boutique. Passer à la version économique vous permet de passer à la couverture de grands réseaux.
10. Roulez le vôtre
Peut-être qu’aucun des analyseurs NetFlow préemballés ci-dessus n’est suffisamment personnalisable ou suffisamment puissant pour répondre à vos besoins. Peut-être êtes-vous sûr de pouvoir faire mieux, ou vous voulez simplement expérimenter vous-même l’analyse des données. Il existe plusieurs packages pour la capture et l’analyse des données de séries chronologiques qui rendent cela tout à fait réalisable. Plusieurs sont des logiciels libres et open source; certains ne le sont pas. Certains peuvent être intégrés à des analyseurs préemballés, tels que Plixer et ntopng.
Voici quelques possibilités pour vérifier.
Splunk
Splunk est un package à prix coûtant pour la recherche, la surveillance et l’analyse / visualisation des mégadonnées. Splunk capture des données en temps réel et fournit des fonctionnalités Web d’analyse et de visualisation. Splunk a un module complémentaire pour NetFlow et un pour IPFIX.
La pile ELK / élastique
le WAPITI Pile – Elasticsearch, Logstash et Kibana – est un ensemble d’outils d’analyse open source généralement utilisé avec des données qui ressemblent à des messages de journal. Elasticsearch est un moteur de recherche et d’analyse distribué populaire. Logstash est un moteur de collecte de données et d’analyse de journaux. Kibana est un tableau de bord de visualisation de données basé sur un navigateur pour l’analyse et la recherche. Logstash inclut un codec pour traiter plusieurs versions des données NetFlow.
Plusieurs groupes ont utilisé la pile ELK avec NetFlow. Cisco a un guide pour le faire, et il y a plusieurs autres articles en ligne. Les gens ont construit des systèmes utilisant ELK Stack avec d’autres composants populaires, tels que l’outil de surveillance et d’alerte de système distribué Riemann. Une alternative à logstash est couramment.
Telegraf, Influxdb, Chronograf, Kapacitor
La pile TICK d’Influxdata – Telegraf, Influxdb, Chronograf et Kapacitor – est un ensemble d’outils open source basés sur Go pour capturer, surveiller et analyser / visualiser les données des mesures de séries chronologiques. Telegraf collecte des mesures de performance; InfluxDB est une base de données de séries chronologiques; Chronograf effectue une visualisation en temps réel des données InfluxDB; et Kapacitor est un moteur de traitement de données en continu / par lots qui peut effectuer la surveillance et l’alerte des vues des données InfluxDB. La pile TICK a été utilisée avec les statistiques de réseau de sFlow et SNMP.
Un autre outil puissant, parfois utilisé avec Influxdb est Grafana, un package open source pour l’analyse et la visualisation de séries chronologiques. Grafana est analogue à Kibana, mais là où Kibana est orienté message de journal, Grafana est orienté métrique.
Choisir un analyseur NetFlow
Le tableau ci-dessous présente un résumé de chacune de ces options.
| 1. Analyseur NetFlow en temps réel de SolarWinds | Téléchargement Gratuit | les fenêtres | SOHO | |
| 2. SolarWinds NetFlow Traffic Analyzer | Essai gratuit | les fenêtres | PME aux grandes entreprises | |
| 3. Analyseur ManageEngine NetFlow | Essai gratuit Outil à prix abordable avec édition de démarrage gratuite pour les petits magasins | Windows, Linux | PME aux grandes entreprises | |
| 4. Paessler PRTG | Essai gratuit Outil à prix abordable avec édition de démarrage gratuite pour les petits magasins | les fenêtres | PME aux grandes entreprises | |
| 5. Nprobe et ntopng | À prix coûtant (sauf sans but lucratif) | Windows, Linux | PME aux grandes entreprises | |
| 6. Plixer Scrutinizer | Outil à prix abordable avec édition de démarrage gratuite pour les petits magasins | Appliance matérielle, VM Windows ou Linux, SaaS | PME aux grandes entreprises | |
| 7. Nagios XI et Core | Outil open-source gratuit ou outil payant avec support / améliorations | Linux ou Windows dans une appliance VM | PME aux grandes entreprises | |
| 8. Détection Kentik | Outil à prix coûtant | SaaS | PME aux grandes entreprises | |
| 9. WhatsUp Gold | Outil à prix abordable avec édition de démarrage gratuite pour les petits magasins | les fenêtres | PME aux grandes entreprises | |
| 10. Roulez le vôtre | Composants, open source payant ou gratuit | Varie | PME aux grandes entreprises |
Plusieurs excellents outils pour la surveillance du réseau et l’analyse du trafic sont disponibles. Les petites organisations ont un éventail de choix gratuits, et les grandes organisations ou en croissance ont de nombreuses options à moindre coût.
Ces dernières années, les solutions open source ont été largement mises en œuvre pour de nombreux types de logiciels de mise en réseau ainsi que pour les applications commerciales et de sécurité. Un avantage des projets open source est que n’importe qui peut lire le code qui pilote le logiciel. Par cette demande, vous pouvez être sûr qu’aucun code malveillant n’est caché à l’intérieur du programme.
Habituellement, les projets open source sont maintenus par des bénévoles. L’avantage d’un logiciel développé par des passionnés est qu’il peut être offert gratuitement. L’inconvénient de cette configuration est que les outils gratuits ne sont pas gérés de manière professionnelle et peuvent contenir des bogues. Le manque de revenus du logiciel libre signifie que les organisations qui l’entretiennent n’ont pas les fonds pour se conformer aux normes de sécurité ou résoudre les problèmes avec le code.
Lorsque vous envisagez d’utiliser un logiciel open source pour la surveillance et l’analyse du réseau, consultez les packages qui vous intéressent et testez-les soigneusement avant de vous y engager. Envisagez de payer pour les outils d’analyse de réseau afin d’obtenir des performances garanties et également le soutien des organisations commerciales qui fournissent ce logiciel payant.
Quiconque souhaite contribuer à l’effort d’apprentissage dispose d’une boîte à outils de composants puissants que vous pouvez utiliser pour lancer votre propre solution. Votre choix final dépend de la taille et de la complexité de votre réseau, de l’expertise que vous apportez (ou souhaitez développer) et de la façon dont vous vous attendez à ce que votre réseau évolue à l’avenir.
NetFlow es un protocolo de red desarrollado por Cisco que registra y reporta todas las conversaciones IP que pasan por una interfaz. NetFlow es dinámico y funciona en términos de abstracción llamada flujo: es decir, una secuencia de paquetes que constituyen una conversación entre una fuente y un destino, similar a una llamada o conexión. Si tienes switches y/o routers inteligentes, pueden soportar NetFlow y puedes agregar sondas basadas en software o appliances que exporten NetFlow. Un dispositivo de exportación NetFlow recopila datos sobre el tráfico IP entrante/saliente del dispositivo; inspecciona los paquetes y los agrupa en flujos al inspeccionar campos particulares: direcciones de origen y destino, protocolos, puertos, etc. Los datos sobre los flujos observados se acumulan a partir de los paquetes y se almacenan en caché localmente (en la caché de flujo), luego se exporta periódicamente al colector según los tiempos de espera activos e inactivos. NetFlow solo maneja IP, enfocándose en las capas OSI 3 y 4. Su conocimiento de los protocolos IP le permite interpretar los paquetes y trabajar en términos de flujos. Aquí está nuestra lista de los mejores colectores y analizadores de NetFlow: Analizador de NetFlow en tiempo real de SolarWinds (DESCARGA GRATUITA) Una herramienta gratuita para el análisis de tráfico de red con los estándares NetFlow, IPFIX, J-Flow y Netstream. SolarWinds NetFlow Traffic Analyzer (PRUEBA GRATUITA) El analizador de tráfico de red líder. Funciona en Windows Server. ManageEngine NetFlow Analyzer (PRUEBA GRATUITA) Un analizador de tráfico que se instala en Windows Server y Linux y despliega los estándares NetFlow, IPFIX, J-Flow, NetStream. Sensores de NetFlow, sFlow y J-Flow de Paessler PRTG que forman parte de un monitor de red, servidor y aplicación. Se instala en Windows Server. Nprobe y ntopng Un sistema de monitoreo de red simple en versiones