Апублікаваны рэліз Netflow / IPFIX калектара Xenoeye 23.11, які дазваляе збіраць з розных сеткавых прылад статыстыку аб патоках трафіку, якая перадаецца з выкарыстаннем пратаколаў Netflow v5, v9 і IPFIX, а таксама апрацоўваць дадзеныя, генераваць справаздачы і будаваць графікі. Ядро праекту напісана на мове З, код распаўсюджваецца пад ліцэнзіяй ISC.
Калектар агрэгуе сеткавы трафік па абраных палях і экспартуе дадзеныя ў PostgreSQL. Па гэтых дадзеных можна будаваць справаздачы, графікі (выкарыстоўваючы gnuplot, скрыптамі на Python + Matplotlib) ці дашборды ў Grafana. Акрамя гэтага, калектар можа запускаць прыстасаваныя скрыпты пры перавышэнні парогаў. Для падліку хуткасці трафіку выкарыстоўваюцца слізгальныя сярэднія. У камплекце з калектарам ідзе прыклад скрыпту Telegram-робата, які можа апавяшчаць у мэсанджар аб перавышэнні хуткасці вышэй вызначаных парогаў.
Змены ў новай версіі:
- Дададзена магчымасць выкарыстоўваць GeoIP з дапамогай баз ipapi. Карыстаючыся функцыямі GeoIP можна ствараць гео-аб'екты маніторынгу (напрыклад, вылучыць увесь трафік толькі Расіі ў асобны аб'ект маніторынгу) і экспартаваць дадзеныя з разбіўкай па GeoIP. У калектары падтрымліваецца дэталізацыя па краінах, рэгіёнах і гарадах. Акрамя гэтага, з IP адрасы можна атрымаць даўгату і шырыню (хоць трэба разумець, што ўсё гэта працуе вельмі прыблізна).
- Для маршрутызатараў, якія не могуць экспартаваць нумары аўтаномных сістэм у Netflow/IPFIX, ёсць магчымасць атрымаць гэтыя нумары і іх тэкставае апісанне з дапамогай баз ip-location-db. Гэтак жа, як і для GeoIP, можна ствараць асобныя аб'екты маніторынгу, у якія ўваходзіць трафік абраных AS ці экспартаваць у СКБД назвы аўтаномных сістэм.
- Дададзена класіфікацыя трафіку па netflow-палях. Калектар можа класіфікаваць аб'екты маніторынгу, выкарыстоўваючы некаторыя палі (TCP сцягі, парты, памеры пакетаў)
- Дададзена кансольная ўтыліта xegeoq, якая дазваляе атрымаць з IP адрасоў GeoIP-інфармацыю і інфармацыю аб AS, выкарыстоўваючы лакальныя базы.
Крыніца: opennet.ru