Os 5 melhores coletores NetFlow para Linux em 2021

O gerenciamento de redes requer o uso de ferramentas especializadas que fornecem a visibilidade necessária para garantir que tudo funcione perfeitamente em todos os momentos. Ao contrário do tráfego rodoviário, onde lentidão e obstruções podem ser facilmente detectadas, o tráfego da rede não é algo fácil de ver. É por isso que ferramentas como o NetFlow podem ajudar. A tecnologia NetFlow pode fornecer algumas dicas sobre qual tráfego está passando pela rede, em vez de apenas quanto tráfego existe. Continue lendo enquanto revisamos alguns dos melhores coletores e analisadores NetFlow para Linux.

Começaremos nossa jornada discutindo os diferentes métodos que os administradores de rede podem usar para monitorar sua rede e localizar - e corrigir - problemas antes que se tornem problemas reais. Em seguida, explicaremos o que é NetFlow, como funciona e o que é necessário para explorá-lo. E enquanto estivermos lá, também discutiremos algumas alternativas do NetFlow que podem ser de seu interesse. Em seguida, mergulharemos no cerne da questão e revisaremos alguns dos melhores coletores e analisadores NetFlow disponíveis para a plataforma Linux. De acordo com a filosofia de código aberto do Linux, alguns deles estão disponíveis gratuitamente, enquanto outros exigem uma compra ou uma assinatura.

Redes de monitoramento

Como administrador de rede, uma de suas responsabilidades é garantir que tudo esteja funcionando perfeitamente, que não haja lentidão e que todo o tráfego da rede chegue ao seu destino dentro de um tempo aceitável. Infelizmente, o que acontece em uma rede acontece dentro de cabos, roteadores, switches e outros equipamentos onde normalmente é muito difícil ver o que está acontecendo. É daí que vem o conceito de monitoramento de rede. usando ferramentas diferentes, os administradores podem obter alguma visibilidade sobre o que está acontecendo dentro da rede.

Utilitários de linha de comando

Existem várias ferramentas que os administradores podem usar para monitorar sua rede. As ferramentas mais básicas são ferramentas de diagnóstico de linha de comando. Você provavelmente os conhece e os usa constantemente. Ping, por exemplo, permite validar se um determinado endereço IP pode ser alcançado e fornecer algumas estatísticas sobre atrasos de ida e volta e perda de pacotes. Tracert - ou traceroute, dependendo do seu sistema operacional - rastreará o caminho de rede completo entre dois dispositivos. O Nmap irá listar todos os dispositivos que estão presentes em uma sub-rede específica.

Ferramentas de captura e análise de pacotes

Em seguida, estão as ferramentas de monitoramento de rede que permitem capturar o tráfego que passa por um local específico e que permitem decodificar os pacotes e analisá-los. Eles podem ser muito úteis ao tentar resolver problemas de camada de aplicativo, mas geralmente não fornecem muitas informações sobre o desempenho real de sua rede. Uma dessas ferramentas que se tornou muito comum é o Wireshark. Tcpdump é outra ferramenta semelhante que usa uma interface de linha de comando em vez de uma GUI.

Software de análise de fluxo

Para uma visão mais precisa do que está acontecendo, faça uma análise de fluxo do que você precisa. Ele se baseia em dispositivos de rede para enviar informações de tráfego, como sistemas chamados coletores e / ou analisadores, que podem, por sua vez, interpretar os dados de fluxo e apresentá-los de maneiras significativas. O protocolo que permite isso é chamado de NetFlow. Foi criado pela Cisco Systems há vários anos, mas agora é comumente usado de uma forma ou de outra em equipamentos de rede da maioria dos principais fabricantes.

O que é NetFlow?

O NetFlow foi desenvolvido pela Cisco Systems e introduzido em seus roteadores para fornecer a capacidade de coletar o tráfego de rede IP conforme ele entra ou sai de uma interface. Os dados coletados são então analisados ​​pelos administradores de rede para ajudar a determinar a origem e o destino do tráfego, a classe de serviço e as causas do congestionamento.

O exportador de fluxo agrega pacotes em fluxos e exporta registros de fluxo para um ou mais coletores de fluxo. Este é o componente que está sendo executado nos dispositivos monitorados.

O coletor de fluxo é responsável pela recepção, armazenamento e pré-processamento dos dados de fluxo recebidos de um exportador de fluxo.

Finalmente, o fluxo Analy zer é uma aplicação que é utilizada para analisar os dados recebidos do fluxo. A análise pode ser usada para criação de perfil de tráfego ou para solução de problemas de rede.

Como funciona o NetFlow

Roteadores, switches e qualquer outro dispositivo compatível com NetFlow podem ser configurados para enviar dados de fluxo na forma de registros de fluxo e enviá-los a um coletor NetFlow. Um fluxo é uma conversa completa no sentido de IP. O dispositivo que prepara os registros de fluxo normalmente os envia ao coletor quando determina que o fluxo foi encerrado por envelhecimento - não houve nenhum tráfego dentro de um tempo limite específico - ou quando vê o encerramento de uma sessão TCP.

O registro de fluxo contém muitas informações sobre o fluxo. Inclui as interfaces de entrada e saída, as marcas de tempo de início e término do fluxo, o número de bytes e pacotes que ele contém, os cabeçalhos da camada 3, o endereço IP de origem e destino e o número da porta, o protocolo IP e o valor TOS . Os registros de fluxo não contêm os dados reais que constituíram o fluxo. Eles contêm apenas informações sobre o fluxo. Isso é importante do ponto de vista de segurança.

Exceto em grandes ambientes de vários locais, os coletores de fluxo para onde os registros são enviados são frequentemente também os analisadores de fluxo. Eles usam as informações contidas nos registros de fluxo para apresentar dados sobre o tráfego da rede de uma forma que seja útil para os administradores da rede. Diferentes coletores e analisadores NetFlow terão diferentes maneiras de apresentar dados. É aqui que nossa lista dos melhores coletores e analisadores NetFlow será útil.

Algumas alternativas ao NetFlow

Como já sugerimos, o NetFlow existe por vários nomes diferentes. Mas também existem alternativas ao NetFlow, as duas mais conhecidas são sFlow e IPFIX. O último é fortemente baseado na versão mais recente do NetFlow, exceto que é um padrão IETF. Estamos livres para pensar que a Cisco pode eventualmente substituir o NetFlow pelo IPFIX.

Quanto ao sFlow, é um sistema diferente e competitivo. Seu objetivo e princípios gerais de operação são semelhantes, mas diferentes. Alguns analisadores NetFlow também funcionam com sFlow, mas, de modo geral, os usuários de um não usam o outro.

Os melhores coletores NetFlow para Linux

Pesquisamos no mercado os melhores coletores e analisadores NetFlow para Linux. O que temos para você são cinco dos melhores produtos que encontramos, em ordem de preferência com o nosso favorito no topo da lista. Vamos revisar cada um e explorar seus principais recursos com o objetivo de ajudá-lo a escolher o pacote que melhor atende às suas necessidades.

1. ManageEngine NetFlow Analyzer

O ManageEngine NetFlow Analyzer oferece ao administrador da rede uma visão detalhada da utilização da largura de banda da rede, bem como dos padrões de tráfego. O produto é controlado por uma interface baseada na web e oferece um número impressionante de visualizações diferentes em sua rede.

Você pode, por exemplo, visualizar o tráfego por aplicativo, por conversa, por protocolo e várias outras opções. Você também pode definir alertas para avisá-lo de possíveis problemas. Por exemplo, você pode definir um limite de tráfego em uma interface específica e ser alertado sempre que o tráfego o exceder.

Mas a maior parte da força do produto vem de seus relatórios e painel. A ferramenta vem com vários relatórios pré-construídos muito úteis que são especificamente adaptados para fins específicos, como solução de problemas, planejamento de capacidade ou faturamento. Mas você não fica preso aos relatórios integrados, pois a ferramenta também permite que os administradores criem relatórios personalizados de acordo com sua preferência.

Quanto ao painel da ferramenta que mencionamos, é tão impressionante quanto seus relatórios. Inclui vários gráficos de pizza com itens como os principais aplicativos, protocolos ou conversas principais. Ele também pode exibir um mapa de calor com o status das interfaces monitoradas. E como você deve ter adivinhado, os painéis podem ser personalizados para incluir apenas as informações que você achar úteis. O painel também é onde os alertas são exibidos na forma de pop-ups. E para o administrador de rede em trânsito, há um aplicativo para smartphone que permite acessar o painel e os relatórios.

O ManageEngine NetFlow Analyzer suporta a maioria das tecnologias de fluxo, incluindo NetFlow (é claro), IPFIX, J-flow, NetStream e alguns outros. Como bônus, o também tem excelente integração com dispositivos Cisco, com suporte para ajuste de modelagem de tráfego e / ou políticas de QoS diretamente da ferramenta.

Como muitos produtos concorrentes, o ManageEngine NetFlow Analyzer vem em duas versões. A versão gratuita será idêntica à paga nos primeiros 30 dias, mas depois voltará a monitorar apenas duas interfaces de fluxos. Embora não seja muito, pode ser tudo de que você precisa.

Se você quiser a versão paga, as licenças estão disponíveis em vários tamanhos de 100 a 2500 interfaces ou fluxos com preços variando entre cerca de $ 600 a mais de $ 50K mais taxas de manutenção anual.

2. Examinador

O Scrutinizer do Plixer é outro ótimo NetFlow Analyzer. Na verdade, é ainda mais do que isso e muitos o veem como um sistema completo de resposta a incidentes. Com sua capacidade de monitorar diferentes tipos de fluxo, como NetFlow, J-flow, NetStream e IPFIX, você não está limitado a monitorar apenas dispositivos Cisco.

Com seu design hierárquico, o Scrutinizer oferece coleta de dados simplificada e eficiente e permite que você inicie pequeno e dimensione facilmente até muitos milhões de fluxos por segundo. A rede costuma ser a primeira culpada sempre que algo dá errado. Com o Scrutinizer, você pode encontrar rapidamente a causa real da maioria dos problemas de rede. O Scrutinizer funciona em ambientes físicos e virtuais e vem com recursos avançados de relatórios.

O Scrutinizer vem em quatro níveis de licença que vão da versão gratuita básica ao nível SCR completo, que pode escalar até mais de 10 milhões de fluxos por segundo. A versão gratuita é limitada a 10 mil fluxos por segundo e manterá dados de fluxo brutos por apenas 5 horas, mas deve ser mais do que suficiente para solucionar problemas de rede. Você também pode tentar qualquer nível de licença por 30 dias, após o qual será revertido para a versão gratuita. A ferramenta está disponível como um dispositivo de hardware ou como um dispositivo virtual que pode ser executado em um host Linux por meio de KVM

3. nProbe e ntopng

nProbe e ntopng são ferramentas de código aberto um pouco mais avançadas e mais complicadas. Ntopng é uma ferramenta de análise de tráfego baseada na web para monitorar redes com base em dados de fluxo, enquanto nProbe é um exportador e coletor NetFlow e IPFIX. Juntos, eles formam um pacote de análise muito flexível. Se você já administrou redes Linux antes, deve estar familiarizado com o ntop. ntopng é a versão GUI de próxima geração desta ferramenta sem idade.

Existe uma versão comunitária gratuita do ntopng e você também pode comprar versões empresariais. Eles podem ser caros, mas são gratuitos para organizações educacionais e sem fins lucrativos. Quanto ao nProbe, você pode experimentá-lo gratuitamente, mas é limitado a um total de 25.000 fluxos exportados. Para ir além disso, você precisará comprar uma licença.

Como a maioria das ferramentas modernas de análise de rede, o ntopng apresenta uma interface de usuário baseada na web que pode apresentar dados por tráfego - como locutores de alto nível, fluxos, hosts, dispositivos e interfaces. Possui uma combinação de gráficos, tabelas e gráficos. a maioria com opções de detalhamento que permitem explorar em maior profundidade. A interface é bastante flexível e permite muitas personalizações.

4. FlowScan

FlowScan é uma espécie de ferramenta de visualização que você pode usar para analisar dados do Netflow e gerar relatórios sobre eles. Ele pode produzir gráficos visuais quase em tempo real que mostram o que está acontecendo em sua rede. O FlowScan pode ser implantado em um sistema GNU / Linux ou BSD. Ele usa vários outros pacotes para coletar e processar corretamente os fluxos. Por exemplo, Cflowd é usado como o coletor de fluxo. FlowScan é, na verdade, um script Perl que constitui a maior parte do pacote de software. Este componente é responsável por carregar e executar relatórios. Um último componente importante é o RRDtool, uma ferramenta popular para armazenamento de dados em bancos de dados round-robin e plotagem desses dados em gráficos, que é usado para armazenar informações de fluxo e produzir gráficos úteis.

Os administradores de rede geralmente descobrem que coletaram poucos ou muitos dados. O perfil de fluxo fornecido pelo FlowScan oferece um compromisso pragmático entre esses extremos na coleta de dados. Como os fluxos agregam dados coletados à medida que os pacotes trafegam por uma determinada porta ou interface, eles podem ser usados ​​como uma espécie de abreviatura para uma série de pacotes que viajam entre os terminais de interesse. Mas esse recurso sozinho é insuficiente para o uso contínuo confiável: ferramentas de software adicionais são necessárias para definir, analisar e analisar esses fluxos. Essas ferramentas adicionais estão incluídas no FlowScan.

5. inMon sFlowTrend (menção especial)

Embora não seja um coletor e analisador NetFlow, mas sim um que lida com sFlow, achamos que sFlowTrend merecia estar nesta lista. Ele pode ser executado no Linux e se os componentes da sua rede usam sFlow em vez do NetFlow, é uma das melhores ferramentas disponíveis. A ferramenta é da inMon, a empresa por trás do sFlow. É uma ferramenta básica e um tanto limitada, mas muito capaz. A versão gratuita do software permite que você reúna dados de até cinco switches, roteadores ou hosts habilitados para sFlow e só mantém os dados do histórico na RAM por até uma hora. Deve ser o suficiente para solucionar a maioria dos problemas de rede. E se você quiser ir além, pode atualizar para a versão profissional - a um custo, é claro - que remove o limite de número de dispositivos e armazena dados de histórico em disco.

A guia sFlowTrend Dashboard fornece uma visão rápida do estado atual dos dispositivos e redes monitorados, inclui limites de nível superior e interfaces com erros em potencial. Quando se clica na guia Rede, sflowTrend revela estatísticas de desempenho resumidas e tráfego detalhado no nível da rede ou do dispositivo. Limites de alerta podem ser definidos. Ele permite que você receba alertas quando ocorrer um uso de largura de banda maior que o normal ou um erro de rede. Há até uma guia de causa raiz onde você pode detalhar a causa de um problema, como uma violação de limite.

A guia Hosts é onde você encontrará informações mais detalhadas sobre cada dispositivo. Ele fornece dados de desempenho na rede, CPU, disco, etc, para servidores habilitados para sFlow - incluindo os virtuais. Na guia Serviços, você encontrará dados de desempenho de aplicativos (incluindo vários servidores da web) que exportam dados sFlow. Na guia Eventos, você encontrará um registro de eventos, como limites excedidos ou erros detectados. E, finalmente, a guia Relatórios fornece vários relatórios predefinidos, mas também oferece suporte à criação de relatórios personalizados. É aqui que você irá para executar relatórios e visualizar seus resultados.

sFlowTrend é escrito em Java e vem com uma interface de usuário baseada em Java ou na web. Ele está disponível para Linux, Windows e Mac. Também há ajuda online disponível para ajudá-lo a configurar e usar a ferramenta. É uma ótima ferramenta, especialmente para organizações menores com equipamentos habilitados para sFlow. E o caminho de atualização para a versão profissional o torna uma escolha igualmente válida para redes maiores.

Empacotando

Embora alguns dos melhores coletores e analisadores NetFlow, como o SolarWinds NetFlow Traffic Analyzer, só sejam executados em máquinas Windows, ainda há muitas opções disponíveis se a plataforma de ferramenta de monitoramento de sua escolha for Linux. Entre produtos comerciais como o ManageEngine NetFlow Analyzer ou Plixer's Scrutinizer e ferramentas de código aberto, deve haver um que atenda perfeitamente às suas necessidades.

Todos os produtos que acabamos de analisar são ótimas opções. Alguns podem não ser tão completos ou podem exigir um pouco mais de trabalho para configurá-los, mas qualquer um deles fará seu trabalho e fará bem. E uma vez que todos eles oferecem algum tipo de teste gratuito - ou são totalmente gratuitos, não há razão para não experimentar alguns deles e ver por si mesmo qual é o certo para você.