Comment générer des données netflow sous Linux

17

Nous avons un certain nombre de serveurs Linux pour lesquels je voudrais capturer des données netflow à traiter par un analyseur netflow. J'ai été gâté par la facilité avec laquelle les routeurs Mikrotik permettent la génération de données netflow, mais je n'ai pas réussi à trouver un outil opensource capable de générer des données netflow pour plusieurs interfaces sur un système Linux.

Je suis tombé sur fprobe mais il semble assez buggé. Certes, je n'y ai pas encore passé beaucoup de temps car j'aimerais également évaluer d'autres possibilités. L'autre outil que j'ai vu mentionné est nprobe , qui semble être de la GPL, mais n'est pas disponible en téléchargement gratuit car il n'est offert que moyennant des frais.

Les serveurs sur lesquels je prévois de générer des données netflow sont tous des systèmes Gentoo, mais cela ne devrait pas vraiment faire de différence. Tout au plus, cela signifie que je devrais compiler manuellement un outil à partir de la source.

Résumé: Je recherche un générateur de flux net open source qui fonctionnera sur Linux et permettra de capturer des flux pour plusieurs interfaces.

linux networking monitoring linux-networking netflow Richard Keller
la source

Réponses:

16

Vous devriez vérifier IPT-NETFLOW , il semble exactement ce dont vous avez besoin implémenté en tant que module de noyau pour IPTABLES. Il est activement entretenu et utilisé avec succès dans certains FAI et devrait donc être suffisant. La documentation pourrait être meilleure cependant (regardez dans le fichier README).

Ochoto
la source
Je n'aime pas l'idée de devoir compiler des modules de noyau personnalisés - qui peuvent affecter la stabilité, à moins qu'il ne s'agisse en effet d'un module très bien testé et stable ...
Wim Kerkhoff
Ce n'est pas freebsd où de tels logiciels peuvent être développés contre des fonctionnalités de noyau déjà en place comme netgraph. Presque aucun moyen de le faire sans module personnalisé. La bonne chose (et c'est pourquoi je commente) est que les sources sont maintenant sur github et qu'il prend également en charge dkms maintenant. Ça a l'air bien. github.com/aabc/ipt-netflow
Florian Heigl
8

ntop le fera, mais ce n'est probablement pas le meilleur choix. Vérifiez certainement pmacct ; il est conçu exactement pour cela. Dans la liste des fonctionnalités:

  • Collecte des données via libpcap, Netlink / ULOG, NetFlow v1 / v5 / v7 / v8 / - v9, sFlow v2 / v4 / v5 et IPFIX
  • Enregistre les données sur un certain nombre de backends, y compris les tables mémoire, MySQL, PostgreSQL, SQLite et BerkeleyDB
  • Exporte les données vers des collecteurs distants via IPFIX, NetFlow v5 / v9 etsFlow v5
  • Réplique les paquets IPFIX, NetFlow et sFlow entrants vers des collecteurs distants

Entre beaucoup d'autres choses.

Wim Kerkhoff
la source
0

l'avantage de fprobe est qu'il peut générer des flux Netflow en utilisant libpcap ou ulogd .

il est un peu plus daté et semble en effet plus bogué, mais il peut être utile d'amorcer une configuration, car il ne nécessite pas de compiler un module de noyau (comme ipt-netflow ) et ne fournit pas de fonctionnalités supplémentaires (comme ntop ou pmacct ).

anarcat
la source