Опубликован Netflow-коллектор Xenoeye

Доступен Netflow-коллектор Xenoeye, который позволяет собирать с различных сетевых устройств статистику о потоках трафика, передаваемую с использованием протоколов Netflow v9 и IPFIX, обрабатывать данные, генерировать отчёты и строить графики. Кроме этого, коллектор может запускать пользовательские скрипты при превышении порогов. Ядро проекта написано на языке С, код распространяется под лицензией ISC.

Особенности коллектора:

• Агрегированные по нужным Netflow-полям данные экспортируются в PostgreSQL. Предварительная агрегация происходит внутри коллектора.
• Из коробки поддерживается только базовый набор Netflow-полей, но можно добавить почти любое поле.
• Производительность коллектора в зависимости от характера трафика и отчётов может достигать нескольких сотен тысяч «flows per second» на одном CPU. Модель распределения нагрузки — по устройству (маршрутизатору) на поток.
• Коллектор использует скользящие средние для подсчёта превышения скорости трафика.
• Коллектор можно использовать для поиска заражённых хостов (рассылающих почтовый спам, HTTP(S)-flood, SSH-сканеров), для определения резких всплесков при DoS/DDoS-атаках.
• Сетевые отчёты можно можно визуализировать с помощью разных утилит: gnuplot, скриптами на Python + Matplotlib, используя Grafana
• В отличие от многих современных коллекторов в проекте не используются Apache Kafka, Elastic и т.п., основные рассчёты происходят внутри самого коллектора.

Источник: opennet.ru