2021年のLinux用の5つのベストNetFlowコレクター

ネットワークを管理するには、すべてが常にスムーズに実行されるようにするために必要な可視性を提供する専用ツールを使用する必要があります。速度低下や障害物を簡単に特定できる道路交通とは異なり、ネットワーク交通は見やすいものではありません。これが、NetFlowなどのツールが役立つ理由です。NetFlowテクノロジーは、トラフィックの量だけでなく、ネットワークを通過しているトラフィックに関する洞察を提供します。Linux用の最高のNetFlowコレクターとアナライザーのいくつかをレビューしながら読んでください。

まず、ネットワーク管理者がネットワークを監視し、実際の問題になる前に問題を特定して修正するために使用できるさまざまな方法について説明します。次に、NetFlowとは何か、NetFlowを活用するために必要なものについて説明します。そして、そこにいる間に、興味深いと思われるいくつかのNetFlowの代替案についても説明します。次に、問題の核心に飛び込み、Linuxプラットフォームで利用可能な最高のNetFlowコレクターとアナライザーのいくつかを確認します。Linuxのオープンソース哲学に従って、無料で利用できるものもあれば、購入またはサブスクリプションが必要なものもあります。

監視ネットワーク

ネットワーク管理者としての責任の1つは、すべてがスムーズに実行されていること、速度低下がないこと、およびすべてのネットワークトラフィックが許容可能な時間内に宛先に到達することを確認することです。残念ながら、ネットワークで発生することは、ケーブル、ルーター、スイッチ、およびその他の機器の内部で発生します。これらの機器では、通常、何が起こっているのかを確認するのが非常に困難です。これが、ネットワーク監視の概念の由来です。管理者は、さまざまなツールを使用して、ネットワーク内で何が起こっているかをある程度把握できます。

コマンドラインユーティリティ

管理者がネットワークを監視するために使用できるツールがいくつかあります。最も基本的なツールは、コマンドライン診断ツールです。あなたはおそらくそれらを知っていて、それらを絶えず使用しています。たとえば、pingを使用すると、特定のIPアドレスに到達できることを検証し、ラウンドトリップ遅延とパケット損失に関する統計情報を提供できます。Tracert（OSによってはtraceroute）は、2つのデバイス間の完全なネットワークパスをトレースします。Nmapは、特定のサブネット上に存在するすべてのデバイスを一覧表示します。

パケットキャプチャおよび分析ツール

次に、特定の場所を通過するトラフィックをキャプチャし、パケットをデコードして分析できるネットワーク監視ツールがあります。これらは、アプリケーション層の問題を解決しようとするときに非常に役立ちますが、ネットワークの実際のパフォーマンスに関する多くの情報を提供しないことがよくあります。非常に一般的になっているそのようなツールの1つは、Wiresharkと呼ばれます。Tcpdumpは、GUIではなくコマンドラインインターフェイスを使用する別の同様のツールです。

フロー分析ソフトウェア

何が起こっているかを最も正確に把握するには、必要なものをフロー分析します。ネットワークデバイスに依存してトラフィック情報を送信するため、コレクターやアナライザーと呼ばれるシステムがフローデータを解釈し、意味のある方法で表示できます。これを許可するプロトコルはNetFlowと呼ばれます。これは数年前にシスコシステムズによって作成されましたが、現在ではほとんどの主要メーカーのネットワーク機器で何らかの形で一般的に使用されています。

NetFlowとは何ですか？

NetFlowはシスコシステムズによって開発され、インターフェイスに出入りするときにIPネットワークトラフィックを収集する機能を提供するためにルータに導入されました。収集されたデータは、ネットワーク管理者によって分析され、トラフィックの送信元と宛先、サービスのクラス、および輻輳の原因を特定するのに役立ちます。

フローエクスポータフローと輸出への集約パケットは、一の以上のフローコレクターに向けたレコードを流し。これは、監視対象デバイスで実行されているコンポーネントです。

流れのコレクタは、フローエクスポータから受信したフローデータの受信、記憶及び前処理する責任があります。

最後に、流れはANALY ZER受信したフローデータを分析するために使用されるアプリケーションです。分析は、トラフィックのプロファイリングまたはネットワークのトラブルシューティングに使用できます。

NetFlowのしくみ

NetFlowをサポートするルーター、スイッチ、およびその他のデバイスは、フローデータをフローレコードの形式で出力し、それらをNetFlowコレクターに送信するように構成できます。フローは、IPの意味での完全な会話です。フローレコードを準備するデバイスは、通常、フローがエージングによって終了したと判断した場合（特定のタイムアウト内にトラフィックがなかった場合）、またはTCPセッションの終了を確認した場合に、コレクタに送信します。

フローレコードには、フローに関する多くの情報が含まれています。これには、入力インターフェイスと出力インターフェイス、フローの開始タイムスタンプと終了タイムスタンプ、フローに含まれるバイト数とパケット数、レイヤー3ヘッダー、送信元と宛先のIPアドレスとポート番号、IPプロトコル、およびTOS値が含まれます。 。フローレコードには、フローを構成する実際のデータは含まれていません。フローに関する情報のみが含まれています。これはセキュリティの観点から重要です。

巨大なマルチサイト環境を除いて、レコードが送信されるフローコレクターは多くの場合フローアナライザーでもあります。フローレコードに含まれる情報を使用して、ネットワーク管理者に役立つ方法でネットワークトラフィックに関するデータを表示します。NetFlowコレクターとアナライザーが異なれば、データを表示する方法も異なります。ここで、最高のNetFlowコレクターとアナライザーのリストが役に立ちます。

NetFlowのいくつかの代替案

すでに示唆したように、NetFlowはいくつかの異なる名前で存在します。ただし、NetFlowの代替手段もあります。最もよく知られているのは、sFlowとIPFIXの2つです。後者は、IETF標準であることを除いて、NetFlowの最新バージョンに大きく基づいています。シスコが最終的にNetFlowをIPFIXに置き換える可能性さえあると私たちは考えています。

sFlowに関しては、これは別の競合するシステムです。その目標と操作の一般原則は似ていますが、異なります。一部のNetFlowアナライザーはsFlowでも動作しますが、一般的に、一方のユーザーはもう一方を使用しません。

Linuxに最適なNetFlowコレクター

Linux用の最高のNetFlowコレクターとアナライザーを市場で検索しました。私たちがあなたのために持っているのは、リストの一番上にある私たちのお気に入りから優先順に、私たちが見つけることができる最高の製品の5つです。それぞれを確認し、ニーズに最適なパッケージを選択できるようにすることを目的として、主な機能を調べてみましょう。

1. ManageEngineNetFlowアナライザー

ManageEngine NetFlow Analyzerは、ネットワーク管理者にネットワーク帯域幅使用率とトラフィックパターンの詳細なビューを提供します。この製品は、Webベースのインターフェイスによって制御され、ネットワーク上に印象的な数の異なるビューを提供します。

たとえば、アプリケーション別、会話別、プロトコル別、およびその他のいくつかのオプションでトラフィックを表示できます。潜在的な問題を警告するアラートを設定することもできます。たとえば、特定のインターフェイスにトラフィックのしきい値を設定し、トラフィックがそれを超えるたびにアラートを受け取ることができます。

しかし、製品の強みのほとんどは、レポートとダッシュボードにあります。このツールには、トラブルシューティング、容量計画、請求などの特定の目的に合わせて特別に調整された、非常に便利な作成済みレポートがいくつか付属しています。ただし、このツールを使用すると、管理者は好みに合わせてカスタムレポートを作成できるため、組み込みのレポートにとらわれることはありません。

私たちが言及したツールのダッシュボードに関しては、それはそのレポートと同じくらい印象的です。これには、上位のアプリケーション、上位のプロトコル、上位の会話などを含むいくつかの円グラフが含まれています。また、監視対象のインターフェイスのステータスを示すヒートマップを表示することもできます。ご想像のとおり、ダッシュボードは、役立つと思われる情報のみを含めるようにカスタマイズできます。ダッシュボードは、アラートがポップアップ形式で表示される場所でもあります。また、外出中のネットワーク管理者向けに、ダッシュボードとレポートにアクセスできるスマートフォンアプリがあります。

ManageEngine NetFlow Analyzerは、NetFlow（もちろん）、IPFIX、J-flow、NetStreamなどのほとんどのフローテクノロジーをサポートしています。ボーナスとして、ツールから直接トラフィックシェーピングやQoSポリシーを調整することをサポートする、シスコデバイスとの優れた統合もあります。

多くの競合製品と同様に、ManageEngine NetFlowAnalyzerには2つのバージョンがあります。無料版は最初の30日間は有料版と同じですが、その後はフローの2つのインターフェースのみの監視に戻ります。これはそれほど多くはありませんが、必要なのはそれだけかもしれません。

有料版が必要な場合、ライセンスは100〜2500のインターフェイスまたはフローのいくつかのサイズで利用でき、価格は約600〜5万ドル以上と年間保守料金の間で変動します。

2.精査者

PlixerのScrutinizerは、もう1つの優れたNetFlowアナライザーです。実際、それはそれ以上のものであり、多くの人がそれを完全なインシデント対応システムと見なしています。NetFlow、J-flow、NetStream、IPFIXなどのさまざまなフロータイプを監視する機能により、Ciscoデバイスのみを監視することに限定されません。

階層設計により、Scrutinizerは合理化された効率的なデータ収集を提供し、1秒あたり数百万フローまで小規模で簡単にスケールアップできるようにします。多くの場合、ネットワークは、問題が発生したときに最初に非難されます。Scrutinizerを使用すると、ほとんどのネットワーク問題の本当の原因をすばやく見つけることができます。Scrutinizerは、物理環境と仮想環境の両方で機能し、高度なレポート機能を備えています。

Scrutinizerには、基本的な無料バージョンから、1秒あたり1,000万フローを超えるまで拡張できる本格的なSCRレベルまでの4つのライセンス階層があります。無料版は1秒あたり1万フローに制限されており、生のフローデータを5時間しか保持しませんが、ネットワークの問題をトラブルシューティングするには十分すぎるはずです。また、任意のライセンス階層を30日間試してから、無料バージョンに戻すこともできます。このツールは、ハードウェアアプライアンスとして、またはKVMを介してLinuxホスト上で実行できる仮想アプライアンスとして利用できます。

3.nProbeとntopng

nProbeとntopngは、やや高度で、より複雑なオープンソースツールです。Ntopngはフローデータに基づいてネットワークを監視するためのWebベースのトラフィック分析ツールであり、nProbeはNetFlowおよびIPFIXのエクスポーターおよびコレクターです。一緒に、それらは非常に柔軟な分析パッケージを作ります。以前にLinuxネットワークを管理したことがある場合は、ntopに精通している可能性があります。ntopngは、この時代を超越したツールの次世代GUIバージョンです。

ntopngの無料のコミュニティバージョンがあり、エンタープライズバージョンを購入することもできます。それらは高価になる可能性がありますが、教育機関や非営利団体は無料で利用できます。nProbeについては、無料で試すことができますが、エクスポートされるフローの合計は25,000に制限されています。それを超えるには、ライセンスを購入する必要があります。

最新のネットワーク分析ツールと同様に、ntopngは、トップトーカー、フロー、ホスト、デバイス、インターフェイスなどのトラフィックごとにデータを表示できるWebベースのユーザーインターフェイスを備えています。チャート、表、グラフが混在しています。ほとんどの機能は、より深く探索できるドリルダウンオプションです。インターフェイスは非常に柔軟で、多くのカスタマイズが可能です。

4. FlowScan

FlowScanは、Netflowデータを分析してレポートするために使用できる一種の視覚化ツールです。ネットワーク上で何が起こっているかを示す、ほぼリアルタイムの視覚的なグラフを作成できます。FlowScanは、GNU / LinuxまたはBSDシステムにデプロイできます。フローを正しく収集して処理するために、他のいくつかのパッケージを使用します。たとえば、Cflowdはフローコレクターとして使用されます。FlowScanは、実際にはソフトウェアパッケージの大部分を構成するPerlスクリプトです。このコンポーネントは、レポートのロードと実行を担当します。最後の主要なコンポーネントの1つは、ラウンドロビンデータベースにデータを格納し、そのデータをグラフにプロットするための一般的なツールであるRRDtoolです。これは、フロー情報を格納し、有用なグラフを作成するために使用されます。

ネットワーク管理者は、収集したデータが少なすぎるか多すぎることに気付くことがよくあります。FlowScanによって提供されるフロープロファイリングは、データ収集におけるそのような両極端の間の実用的な妥協点を提供します。フローは、パケットが特定のポートまたはインターフェイスを通過するときに収集されたデータを集約するため、対象のエンドポイント間を移動する一連のパケットの一種の省略形として使用できます。ただし、この機能だけでは、信頼性の高い継続的な使用には不十分です。これらのフローを定義、解析、および分析するには、追加のソフトウェアツールが必要です。これらの追加ツールはFlowScanに含まれています。

5. inMon sFlowTrend（特別な言及）

NetFlowコレクターおよびアナライザーではなく、sFlowを処理するものですが、sFlowTrendがこのリストに含まれるに値すると感じました。Linuxで実行でき、ネットワークのコンポーネントがNetFlowではなくsFlowを使用している場合、これは利用可能な最高のツールの1つです。このツールは、sFlowの背後にある会社であるinMonからのものです。これは基本的でやや制限されていますが、非常に有能なツールです。このソフトウェアの無料バ​​ージョンでは、最大5つのsFlow対応スイッチ、ルーター、またはホストからデータを収集でき、履歴データを最大1時間だけRAMに保持します。ほとんどのネットワークの問題をトラブルシューティングするのに十分なはずです。さらにステップアップしたい場合は、もちろんコストをかけてプロバージョンにアップグレードできます。これにより、デバイスの数の制限がなくなり、履歴データがディスクに保存されます。

sFlowTrendダッシュボードタブは、監視対象のデバイスとネットワークの現在の状態のクイックビューを提供します。これには、トップレベルのしきい値と潜在的なエラーのあるインターフェイスが含まれます。[ネットワーク]タブをクリックすると、sflowTrendは、ネットワークまたはデバイスレベルで要約されたパフォーマンス統計と詳細なトラフィックを表示します。アラートしきい値を定義できます。通常よりも高い帯域幅の使用またはネットワークエラーが発生したときにアラートを受信できます。しきい値違反などの問題の原因をドリルダウンできる「根本原因」タブもあります。

[ホスト]タブには、各デバイスに関する詳細情報が表示されます。仮想サーバーを含むsFlow対応サーバーのネットワーク、CPU、ディスクなどのパフォーマンスデータを提供します。[サービス]タブには、sFlowデータをエクスポートするアプリケーション（さまざまなWebサーバーを含む）のパフォーマンスデータが表示されます。[イベント]タブには、しきい値の超過や検出されたエラーなどのイベントのログが表示されます。そして最後に、[レポート]タブにはいくつかの事前定義されたレポートがありますが、カスタムレポートの作成もサポートしています。ここで、レポートを実行して結果を表示します。

sFlowTrendはJavaで記述されており、JavaベースまたはWebベースの両方のユーザーインターフェイスが付属しています。Linux、Windows、Macで利用できます。ツールの構成と使用を支援するために利用できるオンラインヘルプもあります。これは、特にsFlow対応の機器を使用する小規模な組織にとって優れたツールです。また、プロバージョンへのアップグレードパスにより、大規模なネットワークでも同様に有効な選択肢になります。

まとめ

SolarWinds NetFlowトラフィックアナライザーなどの最高のNetFlowコレクターおよびアナライザーの一部はWindowsマシンでのみ実行されますが、選択した監視ツールプラットフォームがLinuxの場合は、まだ多くのオプションを利用できます。ManageEngine NetFlowAnalyzerやPlixer'sScrutinizerなどの商用製品とオープンソースツールの間には、ニーズに完全に適合するものが必要です。

今レビューしたすべての製品は素晴らしいオプションです。フル機能を備えていないものや、セットアップにもう少し作業が必要なものもありますが、いずれもその役割を果たし、うまく機能します。そして、それらはすべて何らかの形の無料トライアルを提供しているため、または完全に無料であるため、それらのいくつかを試して、どれがあなたに適しているかを自分で確認しない理由はありません。