NetFlow ist ein von Cisco entwickeltes Netzwerkprotokoll, das alle IP-Gespräche, die über eine Schnittstelle geführt werden, aufzeichnet und darüber berichtet. NetFlow ist statusbehaftet und arbeitet in Bezug auf die Abstraktion, die als a bezeichnet wird fließen: Das heißt, eine Folge von Paketen, die eine Konversation zwischen einer Quelle und einem Ziel darstellt, analog zu einem Anruf oder einer Verbindung. Wenn Sie über intelligente Switches und / oder Router verfügen, unterstützen diese möglicherweise NetFlow, und Sie können Software- oder Appliance-basierte Probes hinzufügen, die NetFlow exportieren.
Ein NetFlow-Exportgerät sammelt Daten über den IP-Verkehr, der in das Gerät eintritt bzw. aus dem Gerät austritt. Es prüft Pakete und gruppiert sie in Flows, indem es bestimmte Felder prüft: Quell – und Zieladressen, Protokolle, Ports usw. Daten zu beobachteten Flows werden aus den Paketen gerollt und lokal zwischengespeichert (im Flow-Cache), dann wird es basierend auf aktiven und inaktiven Timeouts regelmäßig in den Collector exportiert. NetFlow verarbeitet daher nur IP und konzentriert sich auf die OSI-Schichten 3 und 4. Durch die Kenntnis der IP-Protokolle kann NetFlow Pakete interpretieren und in Bezug auf den Datenfluss arbeiten.
Hier ist unsere Liste der besten NetFlow-Sammler und -Analysatoren:
- SolarWinds NetFlow Analyzer in Echtzeit (KOSTENLOSER DOWNLOAD) Ein kostenloses Tool zur Analyse des Netzwerkverkehrs mit den Standards NetFlow, IPFIX, J-Flow und Netstream.
- SolarWinds NetFlow Traffic Analyzer (KOSTENLOSE TESTVERSION) Der führende Netzwerkverkehrsanalysator. Läuft auf Windows Server.
- ManageEngine NetFlow Analyzer (KOSTENLOSE TESTVERSION) Ein Traffic Analyzer, der auf Windows Server und Linux installiert wird und die Standards NetFlow, IPFIX, J-Flow und NetStream verwendet.
- Paessler PRTG NetFlow-, sFlow- und J-Flow-Sensoren, die Teil eines Netzwerk-, Server- und Anwendungsmonitors sind. Wird auf Windows Server installiert.
- Nprobe und ntopng Ein unkompliziertes Netzwerküberwachungssystem in kostenloser und kostenpflichtiger Version.
- Plixer Scrutinizer Ein Aktivitätsmonitor für Cybersicherheit, der zur Installation, als Cloud-basierter Dienst oder als Appliance verfügbar ist.
- Nagios XI und Core Ein umfangreiches Netzwerküberwachungssystem in der kostenlosen (Nagios Core) und der kostenpflichtigen (Nagios XI) Version.
- Kentik Detect Ein Cloud-basierter Dienst, der Ihren lokalen Datenverkehr analysieren kann.
- WhatsUp Gold Ein Netzwerkmonitor, der unter Windows Server ausgeführt wird und über ein Add-On-Modul für die tr4affic-Analyse verfügt.
- Splunk Ein bekannter und hoch angesehener Paket-Sniffer, der Daten durch Analyse mit komplexeren Tools sammeln kann.
- Elastischer Stapel Tools zur Erfassung und Analyse von Protokolldateien, die für die Arbeit mit NetFlow angepasst werden können.
- Influxdata-TICK-Stack Telegraf, Influxdb, Chronograf und Kapacitor sind Tools zur Netzwerkdatenerfassung und -analyse, die sFlow und SNMP verwenden können.
NetFlow-Typen und -Erweiterungen
Flexibel NetFlow und IPFIX bieten die Möglichkeit, vom Hersteller erweiterbare Vorlagen für die Anpassung der relevanten Paketfelder bereitzustellen. NetFlow 9 und IPFIX bieten außerdem die Möglichkeit, Layer 2-Felder zu überwachen. NetFlow mit zufälliger Stichprobe erweitert NetFlow um die Option, Stichproben zu erstellen (Stichproben sind in sFlow obligatorisch)..
Die Unterschiede zwischen NetFlow und sFlow
Avi Freedman macht eine passende Analogie zur Überwachung des Fahrzeugverkehrs: „… während NetFlow als Beobachtung von Verkehrsmustern beschrieben werden kann (‚ Wie viele Busse sind von hier nach dort gefahren? ‘), Machen Sie mit sFlow nur Momentaufnahmen von allen Autos oder Bussen, die passieren in diesem besonderen Moment vorbeigehen. “
Hier sind die Hauptunterschiede zwischen den beiden Technologien.
Genauigkeit und Skalierbarkeit
Die Partisanen von NetFlow haben lange argumentiert, dass NetFlow genauer sein kann als sFlow. NetFlow fasst Daten zu allen Paketen lokal auf dem Gerät zu Flows zusammen. Daher kann es nicht vorkommen, dass Sie eine Konversation verpassen, indem Sie die relevanten Pakete nicht abtasten. Diese Granularität von NetFlow ist attraktiv für die Untersuchung des Datenverkehrs mit einem einzelnen Host. Es ist einfach, Details pro Host zu sehen, lokalisierte Anomalien zu erkennen und bestimmte Abläufe zu untersuchen. Als Verkehrspilze wird es jedoch immer weniger machbar, jeden Strom zu sammeln. Wenn Sie keine Stichprobenerfassung durchführen, wird die Skalierbarkeit zu einem Problem.
sFlow ist somit skalierbarer als herkömmlicher NetFlow. Die Stichprobenentnahme hat jedoch den Nachteil, dass es möglicherweise Lücken in der Sichtbarkeit gibt. Die abgetasteten Pakete reflektieren möglicherweise nicht jeden Fluss (zum Beispiel kurze Bursts). Dies kann für das Erkennen und Untersuchen von Sicherheitsproblemen von Bedeutung sein.
Geräteleistung bei hohen Lautstärken
Wie oben erwähnt, erledigt sFlow nur minimale Arbeit auf dem Netzwerkgerät, im Gegensatz zu NetFlow, das die CPU und den RAM des Geräts verwendet, um den Flow-Cache zu implementieren. Dies kann bei Hochgeschwindigkeitsgeräten zu einem Problem werden, bei denen viele Gespräche auf eine Verbindung konzentriert sind. Die zusätzliche CPU-Auslastung gegenüber der eigentlichen Arbeit, die das Gerät leistet, erhöht sich je nach Anzahl der Flows pro Sekunde und kann einen erheblichen Teil der CPU pro Cisco Whitepaper (PDF) verbrauchen. Im Gegensatz dazu führt sFlow die Paketabtastung im Allgemeinen im Switching / Routing-ASIC durch, sodass sich die CPU des Netzwerkgeräts auf ihre Kernaufgabe konzentrieren kann.
Bei Datenmengen von Hunderten von Gigabit pro Sekunde, wie z. B. beim Edge-Routing und in großen Rechenzentren, wird die Verkehrstechnik zum zentralen Thema. Der Fokus liegt auf großflächigen Mustern und plötzlichen Lautstärkeveränderungen. Feinkörnige Einblicke in einzelne Hosts verlieren an Bedeutung. Jetzt wird das Sampling zum klaren Gewinner. Aus diesem Grund hat NetFlow die Option “Sampled NetFlow” hinzugefügt, mit der NetFlow skalierbar wird – die genaue hohe Granularität von herkömmlichem NetFlow geht jedoch verloren.
Protokollabdeckung
NetFlow ist nur IP (mit einer kürzlich hinzugefügten Layer 2-Unterstützung). Daher werden Legacy-Protokolle (z. B. Appletalk, IPX) und andere Nicht-Internet-Protokolle nicht angezeigt. Im Gegensatz dazu kann sFlow die Ebenen 2 bis 7 abdecken.
Latenz
sFlow kann eine geringere Latenz haben als NetFlow. Ein Gerät, das NetFlow-Messdaten in seinem Flow-Cache sammelt, exportiert diese regelmäßig basierend auf aktiven und inaktiven Timeouts. Auf diese Weise können sich Berichte über aktuelle und laufende Konversationen in Abhängigkeit von den Zeitüberschreitungen verzögern. Im Gegensatz dazu sendet sFlow gesammelte Paketpräfixe und Zähler in Echtzeit. Wenn es um Latenz von weniger als einer Minute geht – und Ihre Überwachungs- / Analysetools dies unterstützen – ist sFlow möglicherweise die bessere Wahl.
Siehe auch: sFlow – Ultimativer Leitfaden für sFlow- und sFlow-Analysatoren
Die besten kostenlosen und kostenpflichtigen NetFlow-Tools für Windows
Wenn Ihr Netzwerk so weit wächst, dass es schwierig geworden ist, zu erkennen, was vor sich geht, sind Tools, die NetFlow nutzen, möglicherweise die Lösung. Im Folgenden sehen Sie einige beliebte NetFlow-basierte Tools zur Netzwerküberwachung und -analyse für Windows. Alle sind anspruchsvoll und haben eine beträchtliche Lernkurve. Deshalb sind Online-Schulungen und gute Unterstützung wichtig.
1. SolarWinds Real-Time NetFlow Analyzer (KOSTENFREIER DOWNLOAD)
SolarWinds stellt eine Reihe von Produkten her, die umfassende Unterstützung für die Netzwerküberwachung und -verwaltung bieten. Der Real-Time NetFlow Analyzer ist ein kostenloses Tool, mit dem Sie in Echtzeit einen Einblick in Ihre aktuellen Datenflüsse erhalten. Die kostenlose Version zeigt den aktuellen und den letzten Stand Ihrer Bandbreitennutzung an. Es ist auf eine NetFlow-Schnittstelle und 60 Minuten Daten beschränkt. Zu den unterstützten Flow-Technologien gehören NetFlow, J-Flow, IPFIX von Juniper und Netstream von Huawei.
SolarWinds Echtzeit-Netzwerkverkehrsanalysator
Der Analysator erkennt, welche Geräte / IP-Adressen, Apps und Benutzer die meiste Bandbreite verbrauchen. Die Benutzeroberfläche zeigt eingehenden und ausgehenden Datenverkehr für den ausgewählten NetFlow-Exporter an. Verkehr kann auf verschiedene Arten sortiert und angezeigt werden. Der Tree Explorer der Benutzeroberfläche fasst den NetFlow-Datenverkehr zusammen und analysiert ihn in Anwendungen, Konversationen, Domänen, Endpunkte und Protokolle. Jedes kann zu einem umfassenden Diagramm erweitert werden, um bestimmte Aspekte zu untersuchen. Die Baumansichten und Diagramme werden in Echtzeit aktualisiert.
Die Installation erfolgt über einen Standard-Windows-Setup-Assistenten NetFlow-Konfigurator wird mitgeliefert, um Sie bei der Konfiguration des NetFlow-Kollektors und Ihrer Geräte zu unterstützen, die verschiedene NetFlow-Varianten unterstützen.
Wenn Ihre wichtigsten Geräte NetFlow unterstützen und Sie nach einem übersichtlichen und übersichtlichen Bild Ihrer aktuellen und aktuellen Bandbreitennutzung suchen, ist der SolarWinds Real-Time NetFlow Analyzer genau das Richtige für Sie.
Für eine leistungsstärkere und funktionsreichere Version wird die kostenpflichtige SolarWinds-Option Network Traffic Analyzer weiter unten beschrieben.
SolarWinds NetFlow Analyzer in EchtzeitDownload FREE Edition bei SolarWinds.com
Ein weiteres kostenloses Tool zur Verkehrsanalyse, das Sie ausprobieren können, ist das SolarWinds Flow Tool Bundle. Dies ist ein nützlicher Traffic Sample Collector, der Cisco NetFlow v5 verwendet. Das Tool sammelt nicht nur Verkehrsproben, sondern enthält auch einen Verkehrsflusssimulator, mit dem Sie eine Vorschau der Auswirkungen von zusätzlichen Verkehrsvolumina oder Änderungen im Hardwarelayout auf das Netzwerk anzeigen können.
SolarWinds Flow Tool BundleDownloaden Sie das 100% KOSTENLOSE Tool Bundle
2. SolarWinds NetFlow Traffic Analyzer (KOSTENLOSE TESTPHASE)
Die SolarWinds NetFlow Traffic Analyzer (NTA) ist der kostenpflichtige Schritt von ihrem kostenlosen Tool, dem Echtzeit NetFlow Traffic Analyzer. NTA ist ein Modul in der Netzwerkleistungsüberwachung (NPM), Sie müssen also die Kosten und Plattformanforderungen von beiden berücksichtigen. NTA und NPM sind beide in einer 30-tägigen, voll funktionsfähigen Testversion verfügbar.
NTA kann seitdem auch als Network Traffic Analyzer bezeichnet werden verarbeitet nicht nur den ursprünglichen Cisco Netflow, sondern viele seiner Varianten von anderen Herstellern sowie die primäre Alternative von NetFlow, sFlow.
Einmal installiert, bieten Ihnen NPM und NTA eine breite Palette von hochentwickelten Funktionen für die Verwaltung von Netzwerken mehrerer Anbieter. Es verfügt über Bandbreitenüberwachung, Verkehrsanalyse, Performance-Analyse, Warnungen, anpassbare Berichte, Richtlinienoptimierung, und mehr.
Die Anzeigen des NetFlow Traffic Analyzer werden unter Dashboards aufgelistet
Der NetFlow Traffic Analyzer sammelt die von den flussfähigen Geräten exportierten Flussdaten Verfolgt von der SolarWinds-Netzwerküberwachungssoftware.
NTA-Standardzusammenfassung
Die standardmäßige NetFlow Traffic Analyzer-Zusammenfassung enthält mehrere Abschnitte wie Top 5 Anwendungen, Top 5 Endpunkte, Top 5 Gespräche, Top 10 Quellen nach% Auslastung, etc.
Blick auf Verkehrsmuster im Laufe der Zeit
Als Durchflussanalysator identifiziert NTA die Benutzer, Anwendungen und Protokolle, die die meiste Bandbreite verbrauchen. Sie können nach Ports, Quelle, Ziel und Protokollen sortieren und Verkehrsmuster über Minuten, Tage oder Monate hinweg anzeigen.
NTA und NPM sind Pakete der Enterprise-Klasse, sodass selbst für die kostenlose Testversion erhebliche Ressourcen auf Ihrem System verbraucht werden. Wenn Sie über ein ausgeklügeltes Netzwerk mit NetFlow-fähigen Geräten verfügen, sollten Sie die Funktionen von NTA kennenlernen. Einzelheiten zu NTA finden Sie auf unserer Überprüfung von SolarWinds NetFlow Traffic Analyzer.
SolarWinds NetFlow Traffic AnalyzerDownload KOSTENLOSE Testversion bei SolarWinds.com
3. ManageEngine NetFlow Analyzer (KOSTENLOSE TESTVERSION)
Das ManageEngine NetFlow Analyzer Bietet Echtzeit-Einblick in Netzwerkbandbreite und Verkehrsmuster. Das Tool visualisiert den Datenverkehr anhand von Anwendungen, Gesprächen, Protokollen usw. Warnungen können basierend auf Verkehrsschwellenwerten festgelegt werden. Es gibt eine Vielzahl nützlicher vordefinierter Berichte, die von der Fehlersuche über die Kapazitätsplanung bis zur Abrechnung reichen. Benutzerdefinierte Suchberichte können erstellt werden.
Dashboard von ManageEngine NetFlow Analyzer
Der NetFlow Analyzer verfügt über eine Reihe von NetFlow-orientierten Tools zur Verwaltung komplexer Netzwerke. Die webbasierte Benutzeroberfläche verfügt über ein Standard-Dashboard mit mehreren Echtzeit-Tortendiagrammen, einschließlich einer Heatmap, die den Status von überwachten Schnittstellen, Top-Anwendungen, Top-Protokollen, Top-Gesprächen, aktuellen Alarmen, Top-QoS und mehr anzeigt.
Wenn Sie den Mauszeiger über eine Grafik halten, wird in der Regel ein erklärendes Popup angezeigt. Wenn Sie auf eine Grafik klicken, werden weitere Details zum ausgewählten Element angezeigt. Es gibt spezifische Anzeigen zur Erkennung von Sicherheitsproblemen. Dashboards sind anpassbar.
ManageEngine-Warnungen und Sicherheitsstatus
Warnungen werden als Popups auf der Benutzeroberfläche angezeigt. Multi-Site-Verkehr kann analysiert werden; Es gibt eine Smartphone-App für die mobile Überwachung und Alarmierung.
Zu den unterstützten Strömungstechnologien gehören NetFlow, IPFIX, J-Flow, NetStream, und einige andere. Das Tool nutzt die erweiterten Funktionen von Cisco-Geräten, einschließlich der Unterstützung für die Anpassung der Traffic-Shaping- und QoS-Richtlinien in Ihrem Netzwerk.
Der ManageEngine NetFlow Analyzer bietet eine Reihe von Funktionen zum Verwalten komplexer Netzwerke, die NetFlow stark nutzen. Die kostenlose Version ermöglicht eine uneingeschränkte Überwachung für 30 Tage. Anschließend werden nur zwei Schnittstellen überwacht. ManageEngine bietet eine Vielzahl verwandter Produkte, die über die verkehrsorientierte Analyse von NetFlow hinaus zu einer vollständigen Netzwerkverwaltungssuite erweitert werden können. Sie können eine kostenlose 30-Tage-Testversion herunterladen.
ManageEngine NetFlow Analyzer 30-tägige KOSTENLOSE Testversion herunterladen
4. Paessler PRTG Network Monitor
Das Paessler PRTG Netzwerk Monitor ist eine “Batterien enthalten” Lösung, die überwacht die Bandbreitennutzung, das Verfügbarkeit und der Zustand von Geräten in Ihrem Netzwerk und mehr. PRTG kann mehrere Standorte überwachen, WAN, VPN, und Cloud-Services. Die kostenlose Version bietet einen Monat lang unbegrenzt viele Sensoren und ist danach auf 100 Sensoren beschränkt. Ein Sensor ist ein individueller Datenstrom, sodass für jedes Gerät in der Regel mehrere Sensoren erforderlich sind.
PRTG-Gerätebaum
In der PRTG-Benutzeroberfläche wird a Die primäre Ansicht ist der Gerätebaum, in dem alle Geräte in Ihrem Netzwerk und die jeweils überwachten Sensoren angezeigt werden. Zu den Geräten gehören Firewalls, Router, Access Points, Server, Workstations, virtuelle Server, Speicher usw. Die Gerätestruktur wird durch Tabellenansichten von Sensoren, Protokollen und Alarmen sowie verschiedene Diagramme und Grafiken für die Bandbreite usw. ergänzt sortiert und gefiltert werden.
Ein Drilldown durch die Baumansicht zeigt Indikatoren und Metriken auf jeder Ebene. Einstellungen, wie Scan-Intervall, werden vererbt und können auf niedrigeren Ebenen in der Gerätestruktur überschrieben werden. Alarme können auf jeder Ebene gleichermaßen gesetzt werden, Auf diese Weise können Sie festlegen, dass Sie über Ereignisse und Schwellenwertübergänge eines bestimmten kritischen Geräts benachrichtigt oder von einem Gesamtaspekt Ihres Netzwerks aufgerollt werden. Warnungen können auf verschiedene Arten übertragen werden, einschließlich SMTP-E-Mail und SMS-Textnachrichten.
Die Geräte- und Sensorabstraktion prägt auch die Dashboards und Berichte. Es können benutzerdefinierte Dashboards erstellt werden, einschließlich interaktiver Karten. Es gibt eine Reihe vordefinierter Berichte und Funktionen zum Entwerfen benutzerdefinierter Berichte. Berichte können auch geplant werden.
PRTG NetFlow Sensor
Zu den Verkehrsanalysefunktionen gehört die integrierte NetFlow-Unterstützung. Für Flow-Protokolle unterstützt PRTG NetFlow, sFlow und J-Flow. Andere verwendete Protokolle / Mechanismen umfassen SNMP, WMI und Packet Sniffing. Paessler nennt diese Erkennungssysteme wie den NetFlow-Kollektor „Sensoren“.
Die Installation ist unkompliziert. Es gibt einen Einrichtungsassistenten sowie ein Video mit schrittweisen Anleitungen. Bei der Installation führt die lokale Sonde des Core Servers eine automatische Erkennung durch, um Geräte zu identifizieren und Sensoren einzurichten. Zusätzliche Sensoren (einschließlich NetFlow-Kollektoren) können manuell hinzugefügt werden. Ein Video enthält Anweisungen.
Der Hauptserver ist nur Windows. Die Überwachung einer einzelnen Site kann über die Webanwendung erfolgen. Für die gleichzeitige Anzeige mehrerer Core Server ist jedoch die Verwendung der Unternehmensanwendung unter Windows erforderlich. Eine mobile App ist ebenfalls verfügbar. Eine clevere Ergänzung ist, dass PRTG QR-Codes bereitstellt, die auf bestimmten Geräten eingefügt werden können, um eine schnelle Suche und Statuserfassung in der mobilen App zu ermöglichen. PRTG unterstützt Clustering für Fehlertoleranz: Sie können Failover-Instanzen des Monitors einrichten.
Obwohl PRTG ein All-in-One-System ist, benötigen Sie nicht mehrere Produkte und Lizenzen, um eine umfassende Überwachung zu erhalten. Eine wichtige Frage ist jedoch, wie viele Sensoren Ihr Netzwerk benötigt und wie hoch die langfristigen Kosten für sensorgestützte Systeme sind Lizenzmodell, wenn Sie wachsen. Zur Evaluierung können Sie hier eine 30-Tage-Testversion der Software herunterladen.
5. Nprobe und ntopng
ntopng ist ein webbasiertes Open-Source-Tool zur Verkehrsanalyse, das die passive Netzwerküberwachung auf der Grundlage von Flussdaten und Statistiken durchführt, die aus dem beobachteten Verkehr extrahiert wurden. ntopng erfasst das Paket selbst; Für den Empfang von Flow-Daten ist nProbe, ein NetFlow / IPFIX-Exporteur / Collector, erforderlich. Flow-Protokolle umfassen NetFlow v9, IPFIX und NetFlow-lite.
Die Community-Version von ntopng ist kostenlos. Die Professional- (Kleinunternehmen) und Enterprise-Versionen erfordern eine kostenpflichtige Lizenz, sind jedoch für Bildungs- und gemeinnützige Organisationen kostenlos. nProbe kann kostenlos getestet werden, für eine voll funktionsfähige Version ist jedoch eine kostenpflichtige Lizenz erforderlich. Daher ist die Verwendung von NetFlow-Daten beschränkt (es sei denn, Sie haben Anspruch auf eine kostenlose Lizenz)..
ntopng fließt
Über die webbasierte Benutzeroberfläche von ntopng werden Daten in Datenverkehr (z. B. Top-Talker), Datenflüsse, Hosts, Geräte und Schnittstellen zusammengefasst. Die meisten Kategorien haben mehrere Ansichten, eine Mischung aus Diagrammen, Tabellen und Grafiken. und in jedem können Sie einen Drilldown durchführen, um ausführliche Informationen und Querverweise zu erhalten. Tabellen können sortiert werden. Wenn Sie beispielsweise die Durchsatzspalte in der Flusstabelle auswählen, werden die aktuellen Benutzer mit der höchsten Bandbreite angezeigt.
Geolocation für ntopng-Hosts
Die Flussanzeige zeigt Anwendungsprotokolle (z. B. Facebook, YouTube). Latenzen und TCP-Statistiken (z. B. Paketverlust) werden angezeigt. Beobachtete Hosts / IP-Adressen können per Geolocation auf einer Karte angezeigt werden. Warnungen können auf Hosts basierend auf vielen Kriterien festgelegt werden und werden in der Benutzeroberfläche als Symbol angezeigt.
Die Professional-Version kann historische Nutzungsstatistiken von Anwendungen speichern und anzeigen, eine aktive Überwachung über SNMP durchführen, benutzerdefinierte Verkehrsberichte erstellen und verschiedene andere zusätzliche Funktionen bereitstellen.
Das Installationspaket für ntopng und nProbe ist eine ZIP-Datei, die einen Standard-Windows-Setup-Assistenten enthält. Das Installationsprogramm installiert bei Bedarf winpcap (für das Paket-Sniffing).
Da es sich bei ntopng um Open Source handelt, besteht erheblicher Spielraum für eine Erweiterung. Daten können nach MySQL, ElasticSearch und LogStash exportiert werden, wo sie in die von Ihrem Syslog-Server gespeicherten Berichte eingefügt werden können.
6. Plixer Scrutinizer
Plixer Scrutinizer ist ein ausgeklügeltes flussorientiertes Verkehrsanalysesystem mit besonderem Schwerpunkt auf der Sicherheitsforensik (das sogenannte “Scrutinizer Incident Response System”). Es unterstützt sowohl NetFlow als auch sFlow.
Scrutinizer kann als dedizierte physische Appliance installiert werden, als virtuelle Maschine auf einem Server ausgeführt, oder als SaaS-Lösung in der Cloud (öffentlich oder hybride). Da es sich um ein hoch entwickeltes System handelt, sind selbst für die kostenlose Testversion auf einer virtuellen Maschine erhebliche Ressourcen erforderlich (z. B. dedizierte 16 GB RAM)..
Scrutinizer-Dashboard
Scrutinizer wurde für hohe Leistung und Skalierbarkeit in kleinen bis sehr großen Umgebungen entwickelt. Es bietet eine Vielzahl von Analyse- und Berichtsfunktionen.
Die Testversion bietet 30 Tage lang uneingeschränkten Zugriff. Danach werden in der kostenlosen Version maximal 10 KByte Flows pro Sekunde erfasst, fünf Stunden Raw-Flows beibehalten und eine Woche historische Zusammenfassungen beibehalten. Die kostenpflichtige Version enthält Benachrichtigungen, Dashboard-Anpassungen, benutzerdefinierte Berichte, geplante E-Mail-Berichte und Support. Die Lizenzpreise hängen von der ausgewählten Plattform und der Anzahl der zu unterstützenden Flow-Exporteure ab.
7. Nagios XI und Nagios Core
Nagios ist ein dauerhafter Standard in der Netzwerküberwachung. Nagios Core ist die Open-Source-freie Version, und Nagios XI ist die kommerzielle kostenpflichtige Variante mit zusätzlichen Funktionen und automatisierter Unterstützung bei der Konfiguration. Nagios hat den Ruf, leistungsstark, zuverlässig, skalierbar und extrem anpassbar zu sein – und komplex zu konfigurieren.
Die kostenlose Version hat eine Lernkurve, aber auch eine aktive Community. Es überwacht Server, Dienste und Anwendungen genau wie die kommerzielle Version. Es enthält Berichte per E-Mail und SMS, eine grundlegende Benutzeroberfläche (einschließlich der Netzwerkkarte) und grundlegende Berichte.
In Nagios Core fehlt die automatische Erkennung, und Sie müssen lernen, komplexe Konfigurationen einzurichten und zu verwalten. Positiv zu vermerken ist, dass Sie das Tool sehr flexibel anpassen und erweitern können. Von der Community entwickelte Addons können eine Ermittlung durchführen und Sie beim Einstieg in die Konfiguration unterstützen.
Du kannst den … benutzen kostenlose 60-Tage-Testversion die kostenpflichtige Version auszuwerten. Wenn Sie sich nach Abschluss der Testversion für die kostenlose Version entscheiden, können Sie die automatisch generierten Konfigurationsdateien in / usr / local / nagios / etc speichern, bevor Sie Ihre Testversion deinstallieren. Sie können diese Dateien dann als Ausgangspunkt für die Konfiguration Ihrer neuen Installation verwenden.
Die kommerzielle Version von Nagios XI bietet eine größere Auswahl an Funktionen, einschließlich automatisierter Unterstützung für die Erkennung Ihrer Geräte und Hosts, automatische Konfiguration des Tools und kommerziell unterstützter Addons. Es verfügt über eine viel ausgefeiltere Benutzeroberfläche und ein erweitertes Berichtswesen, das Trends, Unterstützung bei der Kapazitätsplanung usw.
Nagios XI kann unter Red Hat Linux und CentOS ausgeführt werden. Verwenden Sie unter Windows eine VM-Appliance mit Hyper-V oder VMware. Es enthält ein Auto-Discovery-Tool und einen Konfigurationsassistenten zum Hinzufügen eines neuen Geräts, Hosts oder einer neuen Anwendung.
Nagios Operations Dashboard
Sobald Nagios XI installiert ist und überwacht wird, wird der Betriebsbildschirm gibt Ihnen einen allgemeinen Überblick über den aktuellen Status des Netzwerks Operations Center Hiermit können Sie einen Drilldown zu den genannten Elementen durchführen.
Nagios-Hoststatus
Das Host-Status Seite zeigt eine Zusammenfassung der Metriken für die überwachten Hosts. Sie können einen Drilldown zu einem einzelnen Host durchführen, um Details anzuzeigen, einschließlich Leistungsdiagramme, Kapazitätsplanungsinformationen, Alarme usw.
Nagios-Servicestatus
Das Service Status Seite fasst den Status der überwachten Dienste zusammen.
Nagios ist eine bekannte Lösung für die Netzwerküberwachung. Wie bei anderen Tools, die einen vollständigen Kompromiss zwischen einer kostenlosen und einer kommerziellen Version bieten, müssen Sie entscheiden, ob Sie über das Fachwissen und die erforderliche Zeit für die Verwendung des kostenlosen Tools verfügen (oder diese entwickeln werden) oder ob die Kosten für die Automatisierung günstiger wären und Unterstützung der kommerziellen Version.
8. Kentik Detect
Kentik Detect, Im Gegensatz zu den oben genannten Traffic-Analyzer-Tools handelt es sich um ein reines Software-as-a-Service-System (SaaS). Als solches bietet es die Skalierbarkeit der Cloud.
Netzwerke wachsen und externe Netzwerkressourcen sind für den Erfolg von größerer Bedeutung. Verkehrsdaten werden somit zu Big Data, und cloudbasierte Big Data-Lösungen machen langsam Sinn.
Kentik ist bestrebt, die Details mehrerer Datentypen zu erfassen, eine einheitliche Ansicht aller Daten bereitzustellen und Schnittstellen für den Zugriff auf die Daten und die Integration in andere Systeme bereitzustellen. Kentick Detect besteht aus einem benutzerdefinierten Hochverfügbarkeits-Zeitreihendatenspeicher (Kentik Data Engine) und einer Benutzeroberfläche (Kentik Portal). Zu den Protokollen gehören Netflow, IPFIX, sFlow, SNMP und BGP.
Ein Kentik Detect-Dashboard
Das Kentik Portal ist (natürlich) eine webbasierte Oberfläche und bietet eine wachsende Auswahl an konfigurierbaren Dashboards.
Kentik Verkehrsübersicht Dashboard
Der Daten-Explorer ermöglicht eine Ad-hoc-Untersuchung der gesammelten Netzwerkdaten. Sie können schnell einen Drilldown durchführen und nach potenziellen Milliarden von Datensätzen filtern und Ansichten in Form von Tabellen und Diagrammen erhalten.
Festlegen von Richtlinien zum Konfigurieren von Warnungen
Sie können Warnungen erstellen, um Sie über ungewöhnliche Zustände zu benachrichtigen, indem Sie Richtlinien erstellen, die festlegen, wann eine Warnung in den Alarmstatus wechselt. Benachrichtigungen können über verschiedene Medien gesendet werden, einschließlich E – Mail, Slack, Paging usw.
9. WhatsUp Gold
WhatsUp Gold ist ein bekanntes Netzwerküberwachungs-Tool von IPSwitch, das viele Funktionen bietet und dennoch unkompliziert ist. Es ist sowohl in einer kostenlosen Starter-Edition als auch in einer 30-Tage-Testversion verfügbar, um die bezahlte Version zu testen.
WhatsUp Gold überwacht den Netzwerkverkehr, Server, virtuelle Server, Cloud-Dienste und Anwendungen. Die kostenlose Version ist eine kostenlose Fünf-Punkte-Lizenz für die Überwachung von bis zu fünf Ressourcen (z. B. fünf Servern)..
WhatsUp Gold muss unter Windows installiert sein. Das Setup ist einfach und verwendet die automatische Erkennung. Die Benutzeroberfläche bietet mehrere Ansichten mit einer interaktiven Netzwerkkarte und der Möglichkeit, einen Drilldown durchzuführen, um Probleme zu untersuchen.
WhatsUp Gold-Listenansicht
In der Listenansicht von WhatsUp Gold werden die erkannten Hosts und Geräte mit einer Zusammenfassung ihrer Merkmale und ihres Status angezeigt.
Kartenansicht von WhatsUp Gold
Die Kartenansicht ist eine interaktive Karte zur Visualisierung der Netzwerkkomponenten und ihrer Status. Sie können einen Drilldown durchführen, um die Verfügbarkeit und Leistung einzelner Knoten zu überprüfen.
Verkehrsanalysefunktionen können mit einer Vielzahl von Geräten verwendet werden, die den Datenfluss unterstützen, darunter NetFlow, sFlow, NetFlow-Lite, IPFIX und J-Flow.
Verkehrsanalyse-Dashboard von WhatsUp Gold
Dashboards sind anpassbar. WhatsUp Gold bietet viele vordefinierte Berichte, einschließlich Berichten zu Bandbreite und Auslastung. Sie können auch benutzerdefinierte Berichte erstellen.
WhatsUp Golds Top-10-Ansicht
Die Top-10-Ansicht zeigt kritische Status in Ihrem Netzwerk.
Sie können Warnungen konfigurieren, um Sie zu benachrichtigen, wenn Absender oder Empfänger Bandbreitenschwellenwerte überschreiten, wenn Schnittstellen Nutzungsschwellenwerte überschreiten usw. Es gibt mehrere Benachrichtigungsmethoden, einschließlich E-Mail und SMS. Ausgelöste Aktionen ermöglichen die automatische Ausführung von Aktionen als Reaktion auf Warnungen.
Die kostenlose Version von WhatsUp Gold ist ein einfaches und voll ausgestattetes Tool zur Überwachung und Verwaltung eines kleinen Shops. Wenn Sie zur kostenpflichtigen Version wechseln, können Sie große Netzwerke abdecken.
10. Rollen Sie Ihre eigenen
Möglicherweise ist keiner der oben genannten vorgefertigten NetFlow-Analysatoren an Ihre Anforderungen anpassbar oder leistungsstark genug. Vielleicht sind Sie sicher, dass Sie es besser machen können, oder Sie möchten einfach nur mit der Analyse der Daten experimentieren. Es gibt mehrere Pakete für die Erfassung und Analyse von Zeitreihendaten, die dies möglich machen. Einige sind freie Open-Source-Software; manche nicht. Einige können in vorgefertigte Analysegeräte wie Plixer und ntopng integriert werden.
Hier sind einige Möglichkeiten zum Auschecken.
Splunk
Splunk ist ein kostenpflichtiges Paket zum Suchen, Überwachen und Analysieren / Visualisieren von Big Data. Splunk erfasst Echtzeitdaten und bietet webbasierte Funktionen zur Analyse und Visualisierung. Splunk verfügt über ein Add-On für NetFlow und ein Add-On für IPFIX.
Der ELK / Elastic Stack
Das ELCH Stapel – Elasticsearch, Logstash und Kibana – ist ein Open-Source-Analyse-Toolset, das normalerweise für Daten verwendet wird, die Protokollnachrichten ähneln. Elasticsearch ist eine beliebte verteilte Such- und Analyse-Engine. Logstash ist eine Datenerfassungs- und Protokollanalyse-Engine. Kibana ist ein browserbasiertes Dashboard zur Datenvisualisierung für Analysen und Suchvorgänge. Logstash enthält einen Codec für die Verarbeitung mehrerer Versionen von NetFlow-Daten.
Mehrere Gruppen haben den ELK Stack mit NetFlow verwendet. Cisco hat eine Anleitung dafür, und es gibt mehrere andere Artikel online. Die Anwender haben mithilfe des ELK-Stacks Systeme mit anderen gängigen Komponenten erstellt, z. B. dem Riemann-Tool zur Überwachung und Warnung verteilter Systeme. Eine Alternative zu Logstash ist fließend.
Telegraf, Influxdb, Chronograf, Kapacitor
Influxdatas TICK Stack – Telegraf, Influxdb, Chronograf und Kapacitor – ist eine Sammlung von Open-Source-Tools auf Go-Basis zum Erfassen, Überwachen und Analysieren / Visualisieren von Zeitreihen-Messdaten. Telegraf sammelt Leistungskennzahlen. InfluxDB ist eine Zeitreihendatenbank; Chronograf führt eine Echtzeitvisualisierung der InfluxDB-Daten durch. und Kapacitor ist eine Streaming- / Batch-Datenverarbeitungs-Engine, mit der Ansichten von InfluxDB-Daten überwacht und alarmiert werden können. Der TICK Stack wurde mit Netzwerkstatistiken von sFlow und SNMP verwendet.
Ein weiteres leistungsstarkes Tool, das manchmal mit Influxdb verwendet wird, ist Grafana, ein Open-Source-Paket für die Analyse und Visualisierung von Zeitreihen. Grafana ist analog zu Kibana, aber wo Kibana lognachrichtenorientiert ist, ist Grafana metrikorientiert.
NetFlow Analyzer auswählen
In der folgenden Tabelle sind die einzelnen Optionen zusammengefasst.
1. SolarWinds Real-Time NetFlow Analyzer | Kostenfreier Download | Windows | SOHO | |
2. SolarWinds NetFlow Traffic Analyzer | Kostenlose Testphase | Windows | KMU zu großen Unternehmen | |
3. ManageEngine NetFlow Analyzer | Kostenlose Testphase Kostengünstiges Tool mit kostenloser Starter-Edition für kleine Läden | Windows, Linux | KMU zu großen Unternehmen | |
4. Paessler PRTG | Kostenlose Testphase Kostengünstiges Tool mit kostenloser Starter-Edition für kleine Läden | Windows | KMU zu großen Unternehmen | |
5. Nprobe und ntopng | For-Cost (sofern nicht gemeinnützig) | Windows, Linux | KMU zu großen Unternehmen | |
6. Plixer Scrutinizer | Kostengünstiges Tool mit kostenloser Starter-Edition für kleine Läden | Hardware-Appliance, Windows- oder Linux-VM, SaaS | KMU zu großen Unternehmen | |
7. Nagios XI und Core | Kostenloses Open-Source-Tool oder kostenpflichtiges Tool mit Support / Verbesserungen | Linux oder Windows in einer VM-Appliance | KMU zu großen Unternehmen | |
8. Kentik Detect | Kostengünstiges Tool | SaaS | KMU zu großen Unternehmen | |
9. WhatsUp Gold | Kostengünstiges Tool mit kostenloser Starter-Edition für kleine Läden | Windows | KMU zu großen Unternehmen | |
10. Rollen Sie Ihre eigenen | Komponenten, kostenpflichtig oder kostenlos Open Source | Variiert | KMU zu großen Unternehmen |
Es stehen mehrere hervorragende Tools zur Netzwerküberwachung und Verkehrsanalyse zur Verfügung. Kleine Unternehmen haben eine Reihe von Möglichkeiten zur freien Verfügung, und große oder wachsende Unternehmen haben viele kostenpflichtige Möglichkeiten.
In den letzten Jahren wurden Open Source-Lösungen für viele Arten von Netzwerksoftware sowie für Geschäfts- und Sicherheitsanwendungen in großem Umfang implementiert. Ein Vorteil von Open Source-Projekten ist, dass jeder den Code lesen kann, der die Software steuert. Durch diese Abfrage können Sie sicher sein, dass im Programm kein bösartiger Code versteckt ist.
In der Regel werden Open Source-Projekte von Freiwilligen betreut. Der Vorteil von von Enthusiasten entwickelter Software ist, dass sie kostenlos abgegeben werden kann. Der Nachteil dieses Setups ist, dass die kostenlosen Tools nicht professionell verwaltet werden und Fehler enthalten können. Der Mangel an Einkommen durch freie Software bedeutet, dass die Organisationen, die sie verwalten, nicht über die Mittel verfügen, um Sicherheitsstandards einzuhalten oder Probleme mit dem Code zu beheben.
Wenn Sie Open Source-Software für die Netzwerküberwachung und -analyse in Betracht ziehen, überprüfen Sie die für Sie interessanten Pakete und testen Sie sie gründlich, bevor Sie das Netzwerk darauf festlegen. Erwägen Sie, für Netzwerkanalysetools zu zahlen, um eine garantierte Leistung und Unterstützung von den kommerziellen Organisationen zu erhalten, die diese kostenpflichtige Software bereitstellen.
Jeder, der die Lernanstrengungen unterstützen möchte, verfügt über eine Toolbox mit leistungsstarken Komponenten, mit denen Sie Ihre eigene Lösung entwickeln können. Ihre endgültige Entscheidung hängt von der Größe und Komplexität Ihres Netzwerks, dem Know-how ab, das Sie mitbringen (oder entwickeln möchten), und davon, wie sich Ihr Netzwerk in Zukunft weiterentwickeln wird.
NetFlow ist ein sehr nützliches Netzwerkprotokoll, das von Cisco entwickelt wurde. Es ermöglicht die Aufzeichnung und Berichterstattung aller IP-Gespräche, die über eine Schnittstelle geführt werden. NetFlow ist statusbehaftet und arbeitet in Bezug auf die Abstraktion, die als Fluss bezeichnet wird. Es ist großartig, dass es intelligente Switches und Router gibt, die NetFlow unterstützen, und dass es Software- oder Appliance-basierte Probes gibt, die NetFlow exportieren können. Es ist auch großartig, dass es viele NetFlow-Sammler und -Analysatoren gibt, die uns helfen können, den IP-Verkehr zu überwachen und zu analysieren. Ich denke, dass SolarWinds NetFlow Analyzer in Echtzeit und SolarWinds NetFlow Traffic Analyzer sehr nützlich sind, da sie auf Windows Server laufen und die Standards NetFlow, IPFIX, J-Flow und Netstream unterstützen. Ich denke auch, dass ManageEngine NetFlow Analyzer, Paessler PRTG, Nprobe und ntopng, Plixer Scrutinizer, Nagios XI und Core, Kentik Detect, WhatsUp Gold, Splunk und der ELK / Elastic Stack großartige Optionen sind. Es ist wichtig, den richtigen NetFlow Analyzer auszuwählen, der unseren Anforderungen entspricht.