Cara menghasilkan data netflow di linux

17

Kami memiliki sejumlah server Linux yang ingin saya tangkap data netflow untuk diproses oleh penganalisa netflow. Saya telah dimanjakan oleh kemudahan di mana router Mikrotik memungkinkan pembuatan data netflow, tetapi saya belum berhasil menemukan alat opensource yang mampu menghasilkan data netflow untuk banyak antarmuka pada sistem Linux.

Saya telah menemukan fprobe tetapi tampaknya cukup bermasalah . Memang saya belum menghabiskan banyak waktu dengan itu karena saya juga ingin mengevaluasi beberapa kemungkinan lain. Alat lain yang saya lihat sebutkan adalah nprobe , yang tampaknya adalah GPL, tetapi tidak tersedia sebagai unduhan gratis karena hanya ditawarkan dengan biaya.

Server yang saya rencanakan untuk menghasilkan data netflow semuanya adalah sistem Gentoo, tetapi ini seharusnya tidak membuat perbedaan. Paling-paling itu berarti saya harus secara manual mengkompilasi alat dari sumber.

Rangkuman: Saya mencari generator netflow opensource yang akan bekerja di Linux dan memungkinkan menangkap aliran untuk banyak antarmuka.

linux networking monitoring linux-networking netflow Richard Keller
sumber

Jawaban:

16

Anda harus memeriksa IPT-NETFLOW , tampaknya persis apa yang Anda butuhkan diimplementasikan sebagai modul kernel untuk IPTABLES. Ini dipelihara secara aktif dan digunakan dengan sukses di beberapa ISP sehingga harus cukup baik. Dokumentasi bisa lebih baik (lihat file README).

Ochoto
sumber
Saya tidak suka gagasan harus mengompilasi modul kernel kustom - yang dapat mempengaruhi stabilitas, kecuali memang itu modul yang sangat teruji dan stabil ...
Wim Kerkhoff
Ini bukan freebsd di mana perangkat lunak tersebut dapat dikembangkan terhadap fitur kernel yang sudah ada seperti netgraph. Hampir tidak ada cara untuk melakukan ini tanpa modul khusus. Hal yang baik (dan itulah sebabnya saya berkomentar) adalah bahwa sumbernya sekarang ada di github dan juga memiliki dukungan dkms sekarang. Terlihat bagus. github.com/aabc/ipt-netflow
Florian Heigl
8

ntop akan melakukannya, tetapi mungkin bukan pilihan terbaik. Pasti melihat pmacct ; itu dirancang persis untuk ini. Dari daftar fitur:

  • Mengumpulkan data melalui libpcap, Netlink / ULOG, NetFlow v1 / v5 / v7 / v8 / - v9, sFlow v2 / v4 / v5 dan IPFIX
  • Menyimpan data ke sejumlah backends termasuk tabel memori, MySQL, PostgreSQL, SQLite dan BerkeleyDB
  • Mengekspor data ke kolektor jarak jauh melalui IPFIX, NetFlow v5 / v9 dansFlow v5
  • Mereplikasi paket IPFIX, NetFlow dan sFlow yang masuk ke kolektor jarak jauh

Di antara banyak hal lainnya.

Wim Kerkhoff
sumber
0

keuntungan dari fprobe adalah dapat menghasilkan aliran Netflow menggunakan libpcap atau ulogd biasa .

ini sedikit lebih tua, dan tampaknya memang buggier, tetapi mungkin berguna untuk mem- bootstrap setup, karena tidak memerlukan kompilasi modul kernel (seperti ipt-netflow ) dan tidak mengirimkan fitur tambahan (seperti ntop atau pmacct ).

anarcat
sumber