sFlow – Guide ultime des analyseurs sFlow et sFlow

sFlow est un protocole d’échantillonnage de paquets sans état qui vise à surveiller les réseaux à haut débit. Le «s» du nom est significatif: échantillonnage. Cependant, la partie «Flow» peut être trompeuse: sFlow fonctionne uniquement en termes de paquets, il n’a aucune notion d’agrégation de paquets en «flux» de niveau supérieur.

Voici notre liste de les meilleurs collecteurs et analyseurs sFlow:

1. SolarWinds sFlow Collector and Analyzer (ESSAI GRATUIT) – Un moniteur sFlow qui fait partie de Solarwinds NetFlow Traffic Analyzer. Fonctionne sur Windows Server.
2. Moniteur réseau Paessler PRTG (ESSAI GRATUIT) – Un outil d’analyse du trafic qui fait partie d’un système de surveillance de réseau beaucoup plus large. Fonctionne sur Windows Server.
3. inMon sFlowTrend – En version gratuite et payante, cet outil de surveillance réseau est produit par les créateurs de la norme sFlow.
4. ManageEngine NetFlow Analyzer – Un système de surveillance du trafic qui couvre les normes NetFlow et IPFIX. Fonctionne sur Windows Server et Linux.
5. ntopng et nProbe – Deux outils d’analyse du trafic réseau qui utilisent les normes NetFlow et sFlow.
6. Scrutinisateur Plixer – Un analyseur de flux de trafic qui se concentre sur les problèmes de sécurité. Disponible pour un accès en ligne ou une installation sur site.

La norme sFlow a été créée par InMon Corporation et a été rendue publique en 2001 par la publication de la RFC 3176. InMon a confié la gestion de la norme à un consortium industriel, appelé sFlow.org en 2003. Aujourd’hui, de nombreux fournisseurs prennent en charge sFlow dans leurs appareils. . sFlow fournit un échantillonnage de paquets à usage général, couvrant les couches 2 à 7, et est conçu pour être intégré à n’importe quel périphérique réseau. Un exportateur sFlow collecte simplement les préfixes d’un sous-ensemble des paquets passant par le périphérique. L’exportateur échantillonne un paquet sur n, où «n» est le taux d’échantillonnage choisi; il sélectionne également certains paquets aléatoires à inclure. Il rassemble les octets initiaux de tous les paquets échantillonnés dans des datagrammes sFlow, ainsi que des compteurs de périphériques, et envoie les datagrammes UDP résultants au collecteur. Il n’y a donc pas de cache de flux sur l’appareil. Une caractéristique clé de sFlow est que la stratégie d’échantillonnage est extensible aux réseaux à haut débit; plus sur ci-dessous.

Utilisation de sFlow pour la surveillance du trafic réseau

Lorsque le réseau de votre organisation se comporte étrangement, comment savez-vous ce qui se passe à l’intérieur? Si vous n’avez que quelques segments connectés par une poignée de commutateurs ou de routeurs – comme un simple réseau de petit bureau / bureau à domicile (SOHO) – vous pourriez être bien avec les outils de surveillance de réseau de base, tels que les plus simples parmi nos listes des meilleurs renifleurs de paquets et analyseurs de réseau et du meilleur logiciel gratuit de surveillance de la bande passante. Lorsque votre organisation s’appuie sur un réseau complexe hautes performances et le développe, vous avez besoin d’une aide plus puissante.

En quoi sFlow est-il différent de NetFlow?

La norme de messagerie réseau sFlow est gérée et développée par une organisation indépendante à but non lucratif qui est supervisée par un certain nombre de producteurs d’équipements et de logiciels de réseau. L’éthique derrière cette administration vise à briser la domination d’un fournisseur d’équipement réseau et à créer une norme universelle – NetFlow appartient à Cisco Systems. Le système de messagerie sFlow est similaire à NetFlow en ce qu’il crée un format pour les notifications qui sont générées par l’équipement réseau et peuvent être récupérées par un logiciel de surveillance.

Pourquoi utiliser un outil sFlow?

Lorsque vous êtes responsable de maintenir le réseau en place et de bien fonctionner, cela ne peut pas être une boîte noire pour vous. Vous avez besoin de visibilité. Si votre réseau s’agrandit ou se complexifie, vous aurez peut-être besoin d’outils de surveillance du réseau et d’analyse du trafic. Les outils de surveillance et d’analyse vous aident à diagnostiquer et à résoudre les problèmes. Ils vous avertissent rapidement des problèmes et fournissent la visibilité et les informations historiques dont vous avez besoin pour la planification du réseau. Les périphériques réseau de qualité professionnelle, ainsi que de nombreux systèmes d’exploitation hôtes, disposent d’installations de surveillance de réseau intégrées qui rassemblent les métriques clés pour vous et les transmettent aux outils d’analyse. Les protocoles les plus courants sont NetFlow et sFlow. Nous examinons les meilleurs analyseurs et collecteurs NetFlow gratuits dans un autre article. Dans cet article, nous examinerons les meilleurs collecteurs et analyseurs sFlow gratuits. Connexes: NetFlow – Guide ultime des analyseurs NetFlow et NetFlow

À quoi sert un analyseur sFlow?

Le composant de surveillance de sFlow se concentre sur l’échantillonnage des paquets réseau plutôt que sur la collecte de tout le trafic passant pendant une période. La logique derrière cette stratégie est que tout trafic excessif sera tout aussi visible à intervalles réguliers que dans une copie continue du trafic réseau. L’administrateur sélectionne la fréquence d’échantillonnage. Si une application génère 50% de tout le trafic réseau, cette statistique sera toujours dérivée si vous ne récupérez que tous les dixièmes ou tous les centièmes paquets. Les données collectées par sFlow prennent moins de stockage, utilisent moins de mémoire et sont plus rapides à trier que les vidages de données utilisés pour NetFlow. La technique sFlow est préférable pour les réseaux à haut débit. En plus de copier des versions tronquées de paquets voyageant sur le réseau, un analyseur sFlow collecte des compteurs et des données statistiques générées par l’équipement réseau.

Types et extensions sFlow

sFlow v5 ajoute la possibilité d’exporter les données liées à l’hôte et à l’application ainsi que les préfixes et les compteurs de paquets. Toutes les extensions dépendent du matériel qui les prend en charge, du logiciel système approprié et des consoles d’analyseurs qui fonctionneront avec elles.

Les meilleurs capteurs et analyseurs sFlow

1. Capteur et analyseur SolarWinds sFlow (ESSAI GRATUIT)

SolarWinds produit une suite de produits pour une surveillance et une gestion complètes du réseau. Pour NetFlow, ils offrent un outil gratuit, l’analyseur de trafic NetFlow en temps réel, que nous avons examiné dans le cadre des meilleurs analyseurs NetFlow gratuits. SolarWinds ne propose pas d’outil sFlow gratuit parallèle. Le collecteur et analyseur SolarWinds sFlow est une fonction de l’analyseur de trafic NetFlow (NTA) qui est un module du Network Performance Monitor (NPM). NTA et NPM ne sont pas gratuits, mais les deux sont disponibles dans un essai entièrement fonctionnel de 30 jours. LIEN: ESSAI GRATUIT DU MONITEUR DE PERFORMANCE DU RÉSEAU SOLARWINDS Une fois installés, NPM et NTA vous offrent un large éventail de fonctionnalités sophistiquées pour gérer les réseaux multi-fournisseurs: surveillance de la bande passante, analyse du trafic réseau, analyse des performances, alertes, rapports personnalisables, optimisation des politiques, etc.. Les écrans de NetFlow Traffic Analyzer sont répertoriés sous Tableaux de bord. Malgré son nom, NetFlow Traffic Analyzer peut gérer à la fois NetFlow et sFlow. En tant que collecteur sFlow, il rassemble les données de flux exportées par les appareils compatibles sFlow suivis par le logiciel de surveillance réseau SolarWinds.

Résumé par défaut NTA.

Le résumé de l’analyseur de trafic NetFlow par défaut comporte plusieurs sections comme Top 5 des applications, 5 principaux critères d’évaluation, Top 5 des conversations, 10 principales sources par% d’utilisation, etc.

Examiner les modèles de trafic au fil du temps.

En tant qu’analyseur sFlow, NTA identifie les utilisateurs, les applications et les protocoles consommant le plus de bande passante. Vous pouvez trier par ports, source, destination et protocoles et afficher les modèles de trafic réseau sur plusieurs minutes, jours ou mois. NTA et NPM sont des packages de niveau entreprise, donc même l’essai gratuit consommera des ressources considérables sur votre système. Si vous avez un réseau sophistiqué avec des appareils compatibles sFlow, les capacités sFlow de NTA méritent d’être explorées. PLUS D’INFORMATIONS SUR LE SITE OFFICIEL SOLARWINDS: www.solarwinds.com/netflow-traffic-analyzer/ SolarWinds NetFlow Traffic AnalyzerTéléchargez la version d’essai gratuite de 30 jours sur SolarWinds.com

2. Moniteur réseau Paessler PRTG (ESSAI GRATUIT)

Le moniteur réseau Paessler PRTG est une solution «piles incluses» qui surveille le trafic réseau, l’utilisation de la bande passante, la disponibilité et la santé des appareils sur votre réseau, et plus encore. La version gratuite fournit un nombre illimité de capteurs pendant un mois, puis est limitée à 100 capteurs; un capteur est un flux de données individuel, donc chaque appareil de votre réseau aura généralement besoin de plusieurs capteurs.

Vue de l’arborescence des appareils de PRTG

Dans l’interface utilisateur de PRTG, une vue principale est l’arborescence des appareils montrant tous les appareils et les capteurs qui les surveillent. Les périphériques comprennent des pare-feu, des routeurs, des points d’accès, des serveurs, des postes de travail, des serveurs virtuels, du stockage, etc. L’arborescence des périphériques est complétée par des vues de tableau des capteurs, des journaux et des alarmes, ainsi que divers tableaux et graphiques pour la bande passante, etc. être trié et filtré. L’exploration dans l’arborescence révèle des indicateurs et des mesures à tous les niveaux. Les alertes peuvent être définies à tous les niveaux, vous pouvez donc vous arranger pour être averti des événements et des transitions de seuil d’un périphérique critique particulier, ou être cumulées à partir d’un aspect global de votre réseau. Les alertes peuvent être transmises de plusieurs manières, notamment par e-mail SMTP et SMS. sFlow sensorLes fonctions d’analyse du trafic incluent la prise en charge intégrée de NetFlow. Pour les protocoles de flux, PRTG prend en charge NetFlow, sFlow et J-Flow. Les autres protocoles / mécanismes utilisés incluent SNMP, WMI et le reniflage de paquets.

Exemple de carte personnalisée pour les données de flux.

L’abstraction des appareils et capteurs façonne également les tableaux de bord et les rapports. Des tableaux de bord personnalisés peuvent être créés, y compris des cartes interactives. Il existe une gamme de rapports prédéfinis et des fonctionnalités pour la conception de rapports personnalisés; des rapports peuvent également être planifiés. L’installation est simple. Il y a un assistant de configuration, ainsi qu’une vidéo fournissant des instructions pas à pas. Lors de l’installation, la sonde locale du serveur principal effectue une détection automatique pour identifier les périphériques et configurer les capteurs. Bien que PRTG soit tout-en-un, vous n’avez donc pas besoin de plusieurs produits et licences pour obtenir une surveillance complète, une question clé à évaluer est le nombre de capteurs dont votre réseau a besoin et quel sera le coût à long terme du capteur basé sur les capteurs. modèle de licence à mesure que vous grandissez. Moniteur réseau PRTG de PaesslerTéléchargez la version d’essai gratuite de 30 jours sur Paessler.com

3. inMon sFlowTrend

sFlowTrend est un outil de surveillance de réseau et de serveur basique mais capable de inMon, les créateurs de sFlow. La version gratuite de sFlowTrend accepte les données sFlow de jusqu’à cinq commutateurs / routeurs ou hôtes et ne conserve qu’une heure d’historique dans la RAM. La version pro ne limite pas le nombre d’hôtes et de commutateurs surveillés et stocke l’historique sur le disque. L’outil est implémenté en Java et fournit une interface utilisateur basée sur Java ou sur le Web. L’aide en ligne vous donne des instructions pas à pas pour configurer l’outil.

Tableau de bord de sFlowTrend avec onglets clés.

le Tableau de bord L’onglet donne un aperçu de l’état actuel du réseau et des hôtes surveillés, y compris les seuils de niveau supérieur et les interfaces avec des erreurs potentielles. Sur le Réseau Dans l’onglet, sflowTrend affiche les statistiques de performances sous forme de résumés et de détails du trafic au niveau du réseau ou de l’appareil. Vous pouvez définir Seuils pour recevoir des alertes lorsque des niveaux anormaux de trafic réseau ou des erreurs se produisent. Sur le Réseau > Cause première onglet, vous pouvez explorer la cause d’une anomalie du trafic telle qu’une violation de seuil. le Hôtes tab fournit des données de performances tabulaires et graphiques sur le réseau, le processeur, le disque, etc., pour les serveurs – y compris les serveurs virtuels – qui exportent des données sFlow. le Prestations de service L’onglet fournit des mesures de performances pour les applications (y compris divers serveurs Web) qui exportent des données sFlow.

L’affichage de l’hôte peut montrer les performances du réseau.

le Événements L’onglet fournit un journal des événements tels que les seuils franchis ou les erreurs détectées. le Rapports L’onglet donne accès aux rapports prédéfinis, prend en charge la définition de rapports personnalisés et vous permet d’exécuter des rapports et d’afficher les résultats. sFlowTrend est un outil simple qui offre beaucoup aux petites organisations dont les périphériques réseau, les hôtes et les services sont compatibles avec sFlow.

4. Analyseur ManageEngine NetFlow

Nous avons examiné en détail les fonctionnalités de NetFlow Analyzer de ManageEngine auparavant. NetFlow Analyzer vous donne une visibilité sur le trafic réseau et la bande passante par application, conversation, protocole, etc.; il vous permet de définir des alertes en fonction des seuils de trafic réseau; et il dispose d’une variété de rapports prédéfinis utiles, allant de la prise en charge du dépannage à la planification de la capacité et à la facturation, ainsi que des fonctionnalités pour créer des rapports personnalisés. L’analyseur ManageEngine NetFlow peut également gérer sFlow. Vous pouvez activer sFlow sur les interfaces des appareils compatibles sFlow et l’analyseur NetFlow collectera et analysera les informations sFlow. Le tableau de bord par défaut basé sur le Web comprend une carte thermique montrant l’état des interfaces surveillées et plusieurs graphiques circulaires en temps réel résumant les principales applications, les meilleurs protocoles, les meilleures conversations, les alarmes récentes, la meilleure qualité de service, etc. Il existe des affichages spécifiques d’anomalies de sécurité détectées.

Tableau de bord de l’analyseur ManageEngine NetFlow.

La version gratuite permet une surveillance illimitée pendant 30 jours, puis revient à la surveillance de seulement deux interfaces. Vous pouvez passer à une variété de produits connexes pour aller au-delà de l’analyse du trafic dans une suite complète de gestion de réseau.

5. ntopng et nProbe

L’outil d’analyse de trafic réseau open source ntopng effectue une surveillance réseau passive basée sur les données de flux et la capture de paquets; il utilise nProbe pour collecter les données de flux à partir des appareils et des hôtes qui les exportent. Nous avons déjà examiné les capacités de ntopng et nProbe pour la surveillance et l’analyse de NetFlow. Ils peuvent également gérer sFlow. L’interface utilisateur basée sur le Web de ntopng regroupe les données dans le trafic réseau (par exemple, les principaux orateurs), les flux, les hôtes, les périphériques et les interfaces. L’affichage du flux affiche les protocoles d’application (par exemple Facebook, YouTube) et peut répertorier les latences et les statistiques TCP (par exemple la perte de paquets). Vous pouvez définir des alertes en fonction de nombreux critères.

affichage des flux de courant par ntopng.

nProbe peut être testé gratuitement, mais est limité à 25 000 flux exportés. Vous pouvez obtenir les versions moins restreintes de ntopng et nProbe en achetant des licences. Les organisations éducatives et à but non lucratif peuvent bénéficier de licences gratuites.

6. Plixer Scrutinizer

Plixer Scrutinizer (R) est un système sophistiqué d’analyse du trafic réseau orienté flux avec un accent particulier sur la criminalistique de la sécurité (il est appelé “Scrutinizer Incident Response System”). Il prend en charge NetFlow et sFlow. Scrutinizer peut être installé en tant qu’appliance physique dédiée, en tant que machine virtuelle exécutée sur un serveur ou en tant que solution SaaS exécutée dans le cloud (public ou hybride). C’est un système sophistiqué, donc même l’essai gratuit sur une machine virtuelle nécessite des ressources considérables (par exemple, 16 Go de RAM dédiés).

Tableau de bord Scrutinizer.

Scrutinizer est conçu pour des performances et une évolutivité élevées, des petits aux très grands environnements. Il fournit une large gamme de fonctionnalités d’analyse et de génération de rapports. L’essai comprend un accès complet pendant 30 jours. Après cela, la version gratuite a une limite de 10 000 flux collectés par seconde, cinq heures de flux bruts conservés et une semaine de résumés historiques maintenus. La version payante comprend des notifications, la personnalisation du tableau de bord, des rapports personnalisés, des rapports par e-mail planifiés et une assistance. Le prix des licences dépend de la plateforme choisie et du nombre d’exportateurs de flux à prendre en charge.

Conclusion

Si vos appareils installés prennent principalement en charge sFlow, il existe plusieurs excellents outils pour la surveillance du réseau et l’analyse du trafic, y compris des options gratuites. Comme d’habitude, votre choix final dépend de la taille et de la complexité de votre réseau et de la façon dont vous vous attendez à ce qu’il évolue à l’avenir.