So generieren Sie Netflow-Daten unter Linux

17

Wir haben eine Reihe von Linux-Servern, für die ich Netflow-Daten erfassen möchte, die von einem Netflow-Analysator verarbeitet werden sollen. Ich war verwöhnt von der Leichtigkeit, mit der Mikrotik-Router die Generierung von Netflow-Daten ermöglichen, aber ich habe es nicht geschafft, ein OpenSource- Tool zu finden , mit dem Netflow-Daten für mehrere Schnittstellen auf einem Linux-System generiert werden können.

Ich bin auf fprobe gestoßen, aber es scheint ziemlich fehlerhaft zu sein . Zugegeben, ich habe noch nicht viel Zeit damit verbracht, da ich auch einige andere Möglichkeiten prüfen möchte. Das andere Tool, das ich gesehen habe, ist nprobe , das anscheinend GPL ist, aber nicht als kostenloser Download verfügbar ist, da es nur gegen eine Gebühr angeboten wird.

Die Server, auf denen ich Netflow-Daten generieren möchte, sind alle Gentoo-Systeme, aber das sollte eigentlich keinen Unterschied machen. Es bedeutet höchstens, dass ich ein Tool manuell aus dem Quellcode kompilieren müsste.

Zusammenfassung: Ich suche einen OpenSource-Netflow-Generator, der unter Linux funktioniert und das Erfassen von Flows für mehrere Schnittstellen ermöglicht.

linux networking monitoring linux-networking netflow Richard Keller
quelle

Antworten:

16

Sie sollten IPT-NETFLOW überprüfen , es scheint genau das zu sein, was Sie als Kernelmodul für IPTABLES implementieren müssen. Es wird in einigen ISPs aktiv gewartet und erfolgreich verwendet , sollte also gut genug sein. Dokumentation könnte allerdings besser sein (siehe README-Datei).

Ochoto
quelle
Ich mag die Idee, benutzerdefinierte Kernelmodule kompilieren zu müssen, nicht - das kann die Stabilität beeinträchtigen, es sei denn, es ist ein sehr gut getestetes und stabiles Modul ...
Wim Kerkhoff
Dies ist keine Freebsd, bei der solche Software gegen bereits vorhandene Kernel-Features wie Netgraph entwickelt werden kann. Kaum eine Möglichkeit, dies ohne ein benutzerdefiniertes Modul zu tun. Das Gute (und deswegen kommentiere ich) ist, dass die Quellen jetzt auf Github sind und es jetzt auch DKMS-Unterstützung gibt. Sieht sehr gut aus. github.com/aabc/ipt-netflow
Florian Heigl
8

ntop wird es tun, ist aber wahrscheinlich nicht die beste Wahl. Schauen Sie sich auf jeden Fall pmacct an . es ist genau dafür ausgelegt. Aus der Featureliste:

  • Sammelt Daten über libpcap, Netlink / ULOG, NetFlow v1 / v5 / v7 / v8 / - v9, sFlow v2 / v4 / v5 und IPFIX
  • Speichert Daten in einer Reihe von Backends, einschließlich Speichertabellen, MySQL, PostgreSQL, SQLite und BerkeleyDB
  • Exportiert Daten über IPFIX, NetFlow v5 / v9 und sFlow v5 an Remote-Collectors
  • Repliziert eingehende IPFIX-, NetFlow- und sFlow-Pakete an Remote-Collectors

Unter vielen anderen Dingen.

Wim Kerkhoff
quelle