NetFlow Analyzer PRTG БЕСПЛАТНО

[править] Архитектура NetFlow

Netflow предоставляет возможность анализа сетевого трафика на уровне
сеансов, делая запись о каждой транзакции TCP/IP.
Информация не столь подробна, как предоставляемая tcpdump’ом,
но представляет довольно подробную статистику.

Netflow имеет три основных компонента:

  1. сенсор;
  2. коллектор;
  3. система обработки и представления данных.

https://www.youtube.com/watch?v=ytadvertise

Сенсор — демон, который слушает сеть и фиксирует
данные сеанса. Также как Snort или любая другая система обнаружения вторжений,
сенсор должен иметь возможность подключиться к хабу, «зеркалированному» порту
коммутатора или любому другому устройству, для просмотра сетевого
трафика. Если вы используете систему пакетной фильтрации на базе BSD
или Linux, то это превосходное место для сенсора Netflow, так как
весь трафик будет проходить через эту точку. Сенсор будет собирать
информацию о сеансах и сбрасывать ее в коллектор.

Коллектор — второй демон, который слушает на UDP порту, указанному
вами и осуществляет сбор информации от сенсора. Полученные данные он
сбрасывает в файл для дальнейшей обработки. Различные коллекторы
сохраняют данные в различных форматах.

Наконец, система обработки читает эти файлы и генерирует отчеты в
форме, более удобной для человека. Эта система должна быть совместима
с форматом данных, предоставляемых коллектором.

В качестве каждого из элементов системы
может использоваться несколько разных вариантов программ.
Список доступного программного обеспечения, предназначенного для работы
с NetFlow приведен ниже.

ManageEngineLogin

Мы рассмотрим связку:

  • softflowd в качестве сенсора
  • flow-capture (из комплекта flow-tools) в качестве коллектора
  • flow-stat (из комплекта flow-tools) для анализа в текстовой строке
  • flowscan для визуализации и представления в Web

ПО для мониторинга NetFlow без каких-либо дополнительных затрат

iЧто такое сенсор?

В PRTG «сенсор» является виртуальной точкой измерения и обычно осуществляет мониторинг одного показателя вашей сети, например, трафик портов коммутаторов, загрузка ЦП сервера или свободное место на жестком диске. В среднем вам понадобится 5-10 сенсоров для одного устройства или один сенсор для порта коммутатора.

Посмотреть видео (3:26 Min., английский)

Сенсоры PRTG для мониторинга NetFlow

СЕНСОРЫ NETFLOW V5

Протокол NetFlow версии 5 широко используется в настоящее время.
В PRTG имеется совместимый с ним сенсор NetFlow V5, а также настраиваемый сенсор NetFlow V5.

СЕНСОРЫ NETFLOW V9

Протокол NetFlow версии 9 представляет собой расширенную форму технологии NetFlow. В PRTG имеются необходимые сенсоры для использования этого протокола: сенсор NetFlow V9 и настраиваемый сенсор NetFlow V9.

СЕНСОРЫ IPFIX

Internet Protocol Flow Information Export (IPFIX — экспорт информации о потоках IP) является расширенной формой системы NetFlow от Cisco. PRTG предлагает два сенсора для ее использования: сенсор IPFIX и настраиваемый сенсор IPFX, который можно адаптировать в соответствии с вашими специфическими потребностями.

В PRTG имеются и другие сенсоры Flow, позволяющие отслеживать протоколы обмена сообщениями, Citrix, FTP, электронную почту и другой трафик.

Протокол sFlow: При использовании сенсора sFlow передается только каждый nый пакет, благодаря чему нагрузка на систему будет еще ниже. Дополнительные сведения о сенсоре PRTG для sFlow приведены здесь.

Протокол jFlow: jFlow позволяет среди прочего отслеживать оборудование компании Juniper Networks. Здесь также можно настроить устройства специально для PRTG. Данный протокол отличается высокой степенью сходства с NetFlow5. Дополнительные сведения о нашем сенсоре jFlow

Многократно премированное программное обеспечение

Мы каждый день прилагаем все усилия на предоставление мощного и
простого программного обеспечения для наших клиентов.
Конечно, мы гордимся, когда имеем успех и благодарность за нашу работу.

awards

В качестве программного обеспечения сенсора будем использовать softflowd[5].
Другое программное обеспечение, которое может использоваться как сенсор,
перечислено ниже.

#make all
#install clean

Для работы softlflowd требуется наличие libpcap.
В FreeBSD может использоваться ng_netflow, в этом случае libpcap не обязателен.

ЧИТАЙТЕ ТАКЖЕ:  Пенсионная реформа: Кому пересчитали пенсии с 1 сентября 2019 — что будет с пенсиями? Последние новости изменения пенсионной системы, и пенсионного законодательства 23.08.2019

# softflowd -i em0 -n 172.16.13.5:8818 

Сенсор немедленно начнет
слушать сеть и посылать информацию на коллектор.

Для того чтобы программа работала после перезагрузки,
необходимо убедиться, что она
стартует на этапе начальной загрузки!

# softflowctl statistics
softflowd[40475]: Accumulated statistics:
Number of active flows: 2298
Packets processed: 268086
Fragments: 0
Ignored packets: 867 (867 non-IP, 0 too short)
Flows expired: 3103 (0 forced)
Flows exported: 6206 in 214 packets (0 failures)
...
# softflowctl dump-flows
softflowd[3716]: Dumping flow data:
ACTIVE seq:2 [192.168.15.21]:57660 {amp}lt;{amp}gt; [192.168.15.254]:18030 proto:6 octets{amp}gt;:3088 packets{amp}gt;:5 octets{amp}lt;:164 packets{amp}lt;:3 start:2006-05-27T06:39:58.098 finish:2006-05-27T06:39:58.098 tcp{amp}gt;:1b tcp{amp}lt;:13 flowlabel{amp}gt;:00000000 flowlabel{amp}lt;:00000000
EXPIRY EVENT for flow 2 in 208 seconds
...

В этом выводе нас будет интересовать число активных потоков (2298) и
строка «exported», сообщающая о количестве экспортированных потоков в
коллектор.

NetFlow Analyzer PRTG БЕСПЛАТНО

Проверить, действительно ли данные отправляются и достигают коллектора
можно с помощью ethereal, tcpdump или другого анализатора трафика.
В случае каких-либо проблем можно использовать флаг -D демона softflowd.
Softflowd посылает информацию о потоке после того, как тот будет
завершен, например, прекратится FTP-сессия или загрузится
web-страница.

Коллектор NetFlow предназначен для сбора данных, предоставляемых сенсором и
сохранения их на диск для дальнейшего хранения и обработки.

В качестве Netflow-коллектора будем использовать flow-capture,
очень популярный коллектор Netflow, входящий в состав пакета flow-tools.

В FreeBSD порт flow-tools располагается в каталоге
/usr/ports/net-mgmt/flow-tools.
Установите его обычным «make all install.»
Не делайте «make clean», так как, возможно, вам придется
устанавливать некоторые компоненты вручную. По этой самой причине не
рекомендуется использовать прекомпилированный пакет.

# cd /usr/ports/net-mgmt/flow-tools
# make all install
# # Не делайте make clean !

Создайте каталог в котором flow-capture будет хранить свои данные.
Пусть это будет /var/netflow.
Убедитесь, что на дисковом разделе, в котором создается каталог,
достаточно свободного места: на скоростной
сети данные Netflow могут составить несколько гигабайт в неделю.

Для работы системы отображения, необходимо создать каталог saved.

# /usr/local/bin/flow-capture -p /var/run/flow-capture.pid -n 287 
  -N 0 -w /var/netflow/ -S 5 0/0/8818

Большинство параметров можно оставить без изменения. Флаг -w указывает
каталог данных, заключительный аргумент обозначает локальный IP,
удаленный IP и прослушиваемый UDP порт. В этом случае, значение
0/0/8818 указывает коллектору слушать на всех локальных IP-адресах,
принимать данные с любых удаленных хостов, порт 8818. В случае, если
вы опасаетесь принимать чужие данные, то жестко задайте адрес сенсора.

ManageEngineDashboard

Параметр -n указывает, сколько раз в сутки flow-capture должен создавать
новый файл. Параметр -N задает глубину иерархии каталогов,
в которых будут храниться файлы с данными NetFlow.
Параметр -S указывает размер интервала в минутах,
в течение которого flow-capture будет записывать информацию
о счетчиках пакетов в лог-файл.

После старта flow-capture данные начинают копиться в рабочем каталоге.
Имя файла определяется как версия Netflow, дата и время начала сбора
данных. Например, имя файла tmp-v05.2005-04-28.201001-0400 означает
временный файл, содержащий данные 5 версии Netflow, собранные 28
апреля 2005 с 20:10:01, временная зона -4 часа от Гринвича.

Для того, чтобы убедиться, что данные собираются, посмотрите,
во-первых, появились ли файлы в каталоге netflow,
а во-вторых, увеличивается ли размер временного файла.

Снимки экранаТак выглядит мониторинг NetFlow в PRTG

NetFlow Analyzer PRTG
Три возможности применения 

PRTG позволяет определить, если ваши коммутаторы не в состоянии обрабатывать такой объем данных,
который используется вашим решением для резервного копирования.
Данный факт устанавливается до полной перегрузки этих коммутаторов.
Если же эти коммутаторы все равно окажутся перегружены во время выполнения резервного копирования,
PRTG позволит вам быстро найти виновника сложившейся ситуации.

 Определение «пожирателей» пропускной способности

Определение «пожирателей»
пропускной способности

Зачастую отдельные элементы в сети используют непропорционально большие объемы пропускной способности. Это могут быть отдельные пользователи, а также программы или определенные данные. Наше программное обеспечение для мониторинга NetFlow позволяет отслеживать IP-адреса и анализировать трафик NetFlow.

ЧИТАЙТЕ ТАКЖЕ:  Шпаргалки виды экспертиз Советник

 Раннее выявление пиков нагрузки

Раннее выявление
пиков нагрузки

Во многих компаниях возникают перебои с доступом к различным веб-сайтам или внутренним приложениям. Задавайте собственные пороговые значения, чтобы заранее получать уведомления при их достижении: в идеале — еще до того, как пострадает производительность системы.

 Никаких перегрузок при резервном копировании

Никаких перегрузок при резервном копировании

Полное резервное копирование может создавать проблемы для работы сети в целом. Зачастую такие проблемы возникают из-за отдельных маршрутизаторов или коммутаторов, перегрузка которых во время резервного копирования приводит к ухудшению работы всей сети. Используйте NetFlow Analyzer PRTG для выполнения мониторинга и поиска причин проблем в целях оптимизации работы сети.

Сетевой администратор, клиника «Шюхтерманн» (Германия)

PRTG ДЕЛАЕТ ВАШУ ЖИЗНЬ ПРОЩЕ!

Поручите работу по мониторингу NetFlow PRTG.
Сосредоточьтесь на более важных делах.

 PRTG ЭКОНОМИТ ВРЕМЯ

PRTG ЭКОНОМИТ ВРЕМЯ

Используя PRTG, вы получаете единый централизованный инструмент для отслеживания пропускной способности и работы сети по протоколу NetFlow, SNMP или с помощью анализа пакетов. На панелях мониторинга и картах можно быстро и легко просматривать обзорные данные.

PRTG бережет НЕРВЫ

Настроить PRTG очень просто. Когда дело касается анализа NetFlow, вы получаете все необходимые сенсоры, представленные во множестве различных форм. А это позволит сэкономить ваше время и быстро настроить мониторинг.

PRTG ЭКОНОМИТ ДЕНЬГИ

PRTG стоит своих денег. 80 % наших клиентов говорят о том, что смогли добиться экономии в сфере управления сетью. А затраты на лицензии PRTG окупаются в среднем всего за три с половиной месяца.

  • Полная версия PRTG на 30 дней
  • После 30 дней – бесплатная версия
  • Для расширенной версии – коммерческая лицензия

Практический совет: «Послушай, Джеральд, что бы ты сказал администраторам, которые хотят использовать PRTG для мониторинга NetFlow?»

«Cisco постоянно развивает технологию NetFlow. Поэтому администраторам следует заранее выяснить, какую версию NetFlow поддерживают их маршрутизаторы и коммутаторы. При использовании подходящих сенсоров PRTG можно быстро и легко настроить мониторинг NetFlow».

Джеральд Шох работает в компании PAESSLER AG техническим редактором.

NetFlow Analyzer PRTG:
Настройка за три простых шага!

Настройте протокол NetFlow маршрутизатора таким образом, чтобы он отправлял пакеты NetFlow на компьютер, где установлена программа PRTG Network Monitor:

Шаг 1

Шаг 1

Установите PRTG. Сенсоры Flow доступны даже в бесплатной пробной версии PRTG. Выберите подходящую лицензию и наслаждайтесь комплексным мониторингом с использованием более 100 сенсоров. Это можно будет сделать и позднее.

Шаг 2

Шаг 2

Настройте свой маршрутизатор или коммутатор Cisco таким образом, чтобы он экспортировал данные NetFlow и отправлял их на компьютер, где установлен зонд PRTG. На следующем этапе на этом компьютере будет создан сенсор NetFlow. Обратите особое внимание на экспортируемую версию протокола Flow, поскольку в PRTG необходимо использовать совместимый с ней сенсор.

Шаг 3

Шаг 3

Создайте сенсоры NetFlow, подходящие для экспортируемой версии Flow и целевого адреса, а также задайте в настройках сенсора порт UDP и IP-адрес, по которым сенсор будет принимать потоки данных. Также можно указать IP-адрес определенного устройства Cisco, чтобы потоки данных поступали на такое устройство, и включить режим выборки, если он был задан на целевом устройстве. Введите значение для параметра «Время ожидания активного потока», которое должно быть как минимум на одну минуту больше значения этого параметра, заданного для устройства. И, наконец, выберите, какие категории трафика данных сенсора будут отображаться в различных каналах. Для требуемых данных также можно задать дополнительный фильтр.

ЧИТАЙТЕ ТАКЖЕ:  Адвокат по алиментам в Москве (495)722-99-33

Альтернативный вариант: Если вам не требуется долгосрочный анализ трафика каждого ПК, а необходимо отслеживать только текущий и недавний трафик на основании заданного IP-адреса или протокола, то достаточно будет создать сенсор NetFlow и вести анализ трафика данных в рейтинговых списках по IP-адресу или протоколу. Дополнительные сведения о настройке: ищите ответы на вопросы пользователей в нашей базе знаний. В этой статье приведены дополнительные советы по настройке маршрутизаторов Cisco.

Мониторинг Netflow для VMware

VMware и NetFlow: VMware использует технологию NetFlow в семействе продуктов vSphere Distributed Switches (vDS). В принципе, эти виртуальные коммутаторы подключают виртуальные сетевые карты виртуальных машин (ВМ) к сети посредством физических сетевых карт хостов системы. Для этих виртуальных коммутаторов VMware использует протокол NetFlow.  

Мониторинг с помощью PRTG: Здесь можно использовать как обычный мониторинг, так и мониторинг NetFlow для физических устройств (Cisco). Включите NetFlow в VMware vCenter и настройте протокол таким образом, чтобы его потоки направлялись в программу PRTG, где соответствующий сенсор потоков будет отслеживать и отображать данные. При использовании правильной версии NetFlow для PRTG нет никакой разницы, откуда поступают потоки.

Дополнительная информация:

Более 95 % наших клиентов рекомендуют PRTG

Компания Paessler AG провела обширный опрос свыше 600 ИТ-отделов по всему миру, в которых используется PRTG.
Целью этого опроса была оптимизация и тонкая настройка нашего программного обеспечения для мониторинга работы сети
которая позволила бы лучше удовлетворить потребности администраторов.
По результатам нашего опроса более 95 % участников были готовы порекомендовать PRTG или уже сделали это.

Recommend PRTG

[править] Интеграция средств визуализации Netflow и Cacti

FlowScan является скриптом, написанным на Perl и, анализируя записи
NetFlow, сохраняет их в базе данных RRD, Round Robin Database.
RRD предназначен для хранения постоянно изменяющихся данных,
наиболее важными из которых являются последние данные,
а более старые имеют не такое важное значение, и поэтому могут храниться не целиком,
а в усреднённом виде.
За счёт этого RRD не требует много дискового пространства даже для хранения информации
о больших промежутках времени.

FlowScan позволяет сторонним модулям использовать свои процессы, для
генерирования собственных отчетов. Ниже рассматривается один из таких
модулей — CUFlow и CGI-скрипт CUGrapher.pl, который позволяет получить доступ
к нему через Web-интерфейс.

Установку flowscan мы будем делать из системы портов, каталог
программы находится в /usr/ports/net-mgmt/flowscan. Также будут
установлены несколько модулей Perl в качестве зависимостей. Весь
инструментарий FlowScan будет по умолчанию установлен в
/usr/local/var/db/flows/bin. Учтите, что сразу после установки
FlowScan не работоспособен!

Сначала, нам необходимо обновить модуль FlowScan, так как официальный
дистрибутив долгое время не обновлялся и не способен обрабатывать
записи потока. Автор написал обновленный модуль flowscan.pm, но не
включил его в состав дистрибутива. Получите FlowScan.pm версии
[6]
и скопируйте ее в каталог /usr/local/var/db/flows/bin, перезаписав
модуль версии 1.5.

FlowFileGlob /var/netflows/ft-v*[0-9]

В ReportClasses перечисляются все используемые для вывода отчетов
модули. FlowScan поставляется с двумя модулями: CampusIO и SubNetIO.
Возможно, они впоследствии окажутся кому-то полезными,
но сейчас будет использоваться
CUFlow.

ReportClasses CUFlow

Параметр WaitSeconds задает интервал ожидания между попытками FlowScan
проверить каталог. Довольно много инструментальных средств используют
пятиминутный интервал и могут некорректно работать с меньшим
значением.

WaitSeconds 300
Verbose 1

NetFlow Analyzer PRTG БЕСПЛАТНОhttps://www.youtube.com/watch?v=ytabout

Конфигурирование FlowScan закончено, но нам все еще необходимо
настроить модуль отчетов для правильного отображения информации.

Понравилась статья? Поделиться с друзьями:
Adblock
detector