Solution de surveillance de réseau

Je cherche à surveiller mon utilisation du réseau (au niveau des paquets). Tout. La journalisation est une exigence stricte. Je dois pouvoir enregistrer les requêtes HTTP et DNS, pour le stockage, au fil du temps.

Oui, j'ai la configuration du réseau en place pour capturer cela. J'utilise Colasoft Capsa, mais je recherche différentes solutions en raison de problèmes de stabilité.

Oui, j'ai essayé Wireshark. Je n'arrive pas à le faire pour me débarrasser des paquets et me concentrer sur l'enregistrement de ce que je veux d'une manière saine. En outre, une forme de graphique ou de rapport des points d'extrémité (principaux interlocuteurs, points d'extrémité courants, ventilation de l'utilisation et filtrage par type de trafic) est une exigence. Si quelque chose me manque, faites-le-moi savoir. Mais je ne pense pas que Wireshark travaillera pour moi.

Évidemment, avec Capsa, je suis dans un environnement Windows mais je peux très bien passer à Linux si besoin est. J'ai passé pas mal de temps à chercher mais je ne trouve pas d'alternative.

Le graphisme SNMP et la vérification des services sont déjà couverts, pour ce que cela vaut.

Je ne suis pas contre une solution payante, mais préférerais tout ce qui est open source. N'importe laquelle de vos pensées et suggestions serait hautement appréciée!

Toutes les mises en œuvre que j'ai vues où il était nécessaire de consigner tous les paquets ou certains paquets étaient effectuées avec un équipement par point de contrôle. Je pense que vous aurez toujours besoin d’autres outils de graphisme.

Une autre solution consiste à utiliser un intermédiaire Linux pour consigner tous les paquets et les transmettre à Splunk. Splunk est un très bon outil pour créer des graphiques et générer automatiquement des rapports.

Jetez un coup d’œil à ntop (paquet Linux), il enregistre à peu près tout ce qui ressort de ma propre expérience et peut produire des rapports selon les besoins.

BTW cela peut être fait très facilement avec Wireshark en utilisant le filtre suivant

tcp.srcport == 443 or tcp.srcport == 80 or udp.srcport ==53

Vous pouvez supprimer le tcp.srcport == 443 si les paquets HTTPS ne vous intéressent pas.

Wireshark peut également générer des rapports sur les points de terminaison (Statistiques> Points de terminaison), ainsi que le temps de réponse. liste de conversation, hiérarchie de protocole, etc.

Je donnerais une autre chance à Wireshark.