web-dev-qa-db-fra.com

Comment générer des données NetFlow à Linux

Nous avons un certain nombre de serveurs Linux pour lesquels je voudrais capturer des données NetFlow à traiter par un analyseur NetFlow. J'ai été gâté par la facilité dans laquelle les routeurs de Mikrotik autorisent la génération de données NetFlow, mais je n'ai pas réussi à trouver un fichier opensource outil capable de générer des données NetFlow pour plusieurs interfaces sur un Linux système.

J'ai rencontré FPRABE Mais cela semble assez buggy. Certes, je n'ai pas encore passé beaucoup de temps avec cela depuis que j'aimerais également évaluer d'autres possibilités. L'autre outil que j'ai vu mentionné est NPROBE, qui semble être GPL, mais n'est pas disponible en tant que téléchargement gratuit car il n'est proposé que moyennant des frais.

Les serveurs sur lesquels je prévois de générer des données NetFlow sont tous des systèmes Gentoo, mais cela ne devrait pas vraiment faire de différence. Au plus, cela signifie que je devrais compiler manuellement un outil de source.

Résumé: Je recherche un générateur OpenSource NetFlow qui fonctionnera sur Linux et permet de capturer des flux pour plusieurs interfaces.

18
Richard Keller

Vous devriez vérifier IPT-Netflow , il semble exactement ce dont vous avez besoin implémenté comme module de noyau pour iptables. Il est activement maintenu et tilisé avec succès dans certains fournisseurs de services Internet afin que cela devrait être assez bon. La documentation pourrait être mieux cependant (regarde dans README Fichier).

16
Ochoto

NTOP le fera, mais n'est probablement pas le meilleur choix. Définitivement vérifier PMACCT ; Il est conçu exactement pour cela. Dans la liste des caractéristiques:

  • Collecte des données via libpcap, NetLink/ULOG, NetFlow V1/V5/V7/V8/- V9, SFLOW V2/V4/V5 et IPFIX
  • Enregistre des données sur un certain nombre de backendsIls Tables de mémoire, MySQL, PostgreSQL, SQLite et BerkeleyDB
  • Exporte des données vers des collecteurs distants via IPFIX, NetFlow V5/V9 Andsflow V5
  • Réplique des paquets IPFIX entrants, NetFlow et Slflow à des collectionneurs distants

Parmi d'autres choses.

9
Wim Kerkhoff

l'avantage de FPRODE est qu'il peut générer des flux NetFlow à l'aide de réguliers - libpcap ou LOGD .

il est un peu plus daté et semble bien bugger, mais il peut être utile de bootstrap une configuration, car il ne nécessite pas de compiler un module de noyau (comme IPT-Netflow ) et n'envoie aucune fonctionnalité supplémentaire (comme - NTOP ou PMACCT ).

0
anarcat